- Ledger確認暴露的來源來自第三方系統,而其錢包和核心基礎設施仍然安全。
- 客戶姓名及聯繫資料曾被披露,但沒有付款或加密貨幣存取資料受到影響。
- 這起事件顯示,即使擁有強大的安全措施,第三方供應商仍可能為加密貨幣公司帶來數據風險。
Ledger客戶為 知悉 最近披露的數據涉及他們在處理國際訂單時使用的第三方電商提供商。此案涉及Global-e,這是一家為Ledger提供物流和電商服務的平台,代表Ledger進行跨境業務。入侵事件發生在Global-e的系統中,洩露了一些與Ledger購買相關的客戶有限信息。
Ledger 表示,問題與其內部系統、硬體錢包或軟體基礎設施無關。這項披露揭示了加密貨幣行業目前第三方資料處理的問題。
資料外洩範圍
被泄露的資料包括存儲在 Global-e 雲端環境中的客戶姓名和聯繫資料。值得注意的是,沒有信用卡付款資料或財務資料被泄露。
此外,沒有取得任何錢包恢復短語、個人金鑰和區塊鏈相關資訊。Ledger 的產品採用自我托管方式,這意味著外部平台無法存取敏感的加密資產。Global-e 發現系統出現異常活動,並採取了遏制措施。後續調查證實,部分客戶訂單資料遭未經授權的存取。
然而,Global-e 並未說明受影響的客戶數量。該公司也未能具體說明非法訪問的時間範圍。此次事件的影響範圍超出了 Ledger。Global-e 表示,受影響的系統中存儲了幾個品牌的資料。
Ledger 的立場與行動
Ledger確認在事件被發現後收到Global-e的通知。該公司強調,資料外洩並非在其環境中發生。由於Global-e是交易的記載商戶,因此是受影響交易的資料控制者。結果,Global-e處理了客戶通知。
Ledger聲稱,它正在與Global-e合作,以便為受影響的用戶提供正確的建議。同時,該公司建議客戶謹慎對待可疑信息。
Ledger的公開頻道尚未顯示任何活躍威脅。其各平台的運營繼續不受干擾。Ledger最近透露了明年在美國進行首次公開招股(IPO)的計劃,以吸引更多投資者並擴大其在紐約的影響力。該公司也重申,其安全模型在外部事件中能限制風險敞口。客戶的數位資產通過離線密鑰存儲仍受到保護。
Historical Context Raises Scrutiny
此次事件繼之前涉及Ledger客戶資料的安全挑戰後發生。2020年,攻擊者透過另一個電子商務合作夥伴獲取了個人信息。此類資料外洩事件揭露了逾270,000名客戶的資訊,並導致釣魚攻擊和個人安全問題。事故引發了訴訟,並造成持續性的聲譽損失。
在2023年,Ledger在去中心化金融應用方面再次遭受損失。該事件的範圍不同,且不涉及個人身份資料。早在去年,Ledger 阻止了一個 Discord 詐騙行為 該網站欺騙用戶在假網站上分享種子短語。雖然目前的曝光度似乎較有限,但與以往事件的比較再次浮現。因此,信任和數據治理仍然是敏感的問題。
加密貨幣商業的更廣泛影響
這起事件凸顯了與第三方服務提供商相關的風險。即使安全的產品也可能通過外部供應商間接暴露風險。隨著加密貨幣公司向全球擴張,對國際商業平台的依賴不斷增加。這種依賴性提高了對供應商的監管重要性。此外,去年 Coinbase 偷渡事件曝光 敏感數據,加密貨幣持有者對物理安全的需求增加。
客戶亦對數據在系統間的流動要求更多透明度。資料保護領域的監管壓力亦持續增加。這種情況表明,加密貨幣公司在成長過程中會出現更大的問題。外部合作夥伴管理已變得與取得核心技術一樣重要。