Ledger CEO帕斯卡(Pascal)在官方博客写了篇文章,解释清楚了12月份整个事件的来龙去脉。仔细看了下,一身冷汗。
其实早在2020年7月14日,Ledger 就已经发生了信息泄露。
当时一名研究人员通过 Ledger 的悬赏计划与他们联系,告诉他们 Ledger 的电商和营销数据库数据泄露,有超过100万个电子邮件地址和大约9500个客户记录(包括名称,地址,订购的产品和电话号码)被脱裤。
这意味着,半年前 Ledger 就已经知道了这件事,但是他们选择不公开承认。
到了2020年12月20日,Ledger 被盗的客户数据库在某个论坛上被彻底公开(其实现在还有,我就不放了),除了曾经那100万个电子邮件地址之外,还有大约272,000条客户详细记录赫然在列。
这时候 Ledger 高层开始紧张,决定给所有受影响的客户发电子邮件,提醒他们谨防钓鱼。
2020年12月23日,Shopify 猪队友补刀,告知 Ledger 他们遭遇了商户数据泄露事件,涉及200多个商户,其中就有 Ledger。
其实 Shopify 一开始也不确定 Ledger 被影响,因为这起数据泄露在早在9月份就已经发生了,而直到12月21日,Shopify 才查明 Ledger 也是受害的200多个商户之一,这才姗姗来迟的通知了他们。
事已至此,Ledger 面临海量的用户投诉,以及可以肯定有不少用户被钓鱼邮件骗光家产,用户对 Ledger 的愤怒瞬间拉满。
在硬件钱包领域当了这么久老大,Ledger 终于遭遇滑铁卢。
这帮法国人痛定思痛,开始放下傲气,陆续做了这么几件事:
1)承诺今后所有 Ledger 的订单和客户个人数据都会被及时删除。
2)Leger Live(也就是配合硬件的客户端)会通过加密技术主动推送重要的安全信息。
3)设立金额为 10BTC 的赏金用来给逮捕和起诉罪犯提供帮助的人。
4)推出某个新的技术方案,来避免24位助记词成为安全钱包的唯一弱点(我猜可能是独立的二次校验手段,不太可能是助记词分片)。
5)设立投资者保险,帮助受害者挽回部分损失。
这里给大家一些提醒和建议:
1)如果你在在2020年6月底之后从官网购买的Ledger产品,或者第三方渠道购买,那就不受这次隐私泄露事件的影响。
2)泄露的只是客户订单数据,只要助记词不泄露,资金依然是安全的,不用多虑。
3)不要瞎点邮箱里来路不明的邮件,要知道发件人都可以伪装。
4)只从官网下载客户端。
5)永远不要告诉别人你的助记词。
以上,创业不易,希望 Ledger 顺利渡过这次信任危机。