知名加密貨幣硬體錢包開發商 Ledger 日前發文指出,公司商務數據庫曾於今年 6 月發生數據洩露事件,不過用戶資產並未受影響,且已第一時間修復了漏洞。
Ledger 稱,上述事件是由一位參與漏洞賞金計劃的研究人員所發現。在修復漏洞後,Ledger 對此展開調查後發現,這個漏洞在 6 月 25 日就已經被第三方利用,包括公司的商務數據庫也遭到了入侵,訪問該數據庫的 API 密鑰之後已被停用。文內提及,
數據洩漏的原因在於:網頁上託管的第三方 API 密鑰配置有誤,而這個錯誤的 API 密鑰是於 2018 年 8 月 9 日開始運行。根據手上掌握的資料,我們可以斷定,這個漏洞是在 2020 年 4 月至 2020 年 6 月 28 日間被第三方發現並利用的。
據了解,被駭客入侵的數據庫內有約 100 萬名客戶的電郵地址,另外還有近萬名客戶的名字、姓氏、電話號碼、訂單明細等資料也遭洩露。 Ledger 表示,目前為止,尚未發現有任何用戶個資數據被放到網路上販賣。
Ledger 表示,幸運的是,駭客並未獲取任何用戶密碼或支付資料,只有入侵到資料數據庫,所以,硬體錢包方面並未受到任何影響,用戶所有的資產也都仍安全。
然而,為了安全起見,Ledger 已第一時間通知法國數據保護局(CNIL),並在上週跟 Orange Cyberdefense 合作分析了這次數據洩漏事件的影響深度,還要求有關部門對此事進行全面調查。