- Ledger確認了一起與其第三方支付處理商Global-e相關的客戶資料外洩事件。
- 洩漏的資訊包括姓名及聯絡方式;並未有錢包助記詞、私鑰或加密資產遭到洩漏。
- 此次事件最早由區塊鏈調查員 ZachXBT公開揭露,促使Ledger發出客戶通知並持續進行鑑識調查。
Ledger 用戶在 Global-e 發現其雲端系統部分區域遭未授權訪問後收到通知。此次揭露再次引發對加密貨幣商業第三方風險的討論,即使核心錢包基礎設施並未受到影響。
事件概述:第三方資料外洩,非錢包遭駭
Ledger 公開表示本次事件發生於
根據寄發給客戶的通知,Global-e 發現異常活動後即刻實施管控措施。獨立鑑識調查後確認有部分客戶訂單資料被不當訪問。被洩露的欄位包含姓名及其他聯絡資訊,支付資訊則未受影響。
Ledger 特別強調一點:Global-e 無法取得復原助記詞、私鑰、餘額或任何與自我保管資產相關的機密資訊。因此,此次外洩不影響 Ledger 設備的加密安全性。
哪些資料被洩漏,哪些未被洩漏
此類事件應有明確界線。事實顯示這是一宗資料隱私事件,並非加密資產遭竊事件。
洩漏
- 客戶姓名
- 與訂單相關聯絡資訊(如電子郵件或寄送地址)
未洩漏
- 復原助記詞(24字)
- 私鑰或錢包機密
- 鏈上餘額或交易簽名
- 信用卡資料
這樣的確認將資料外洩的範圍限制在直接財務風險,但遭定向網釣的可能性更高。駭客可利用外洩資料設計逼真的詐騙訊息,假冒錢包服務商名義行騙。
自我保管限制資料外洩的破壞範圍
Ledger 採用的自我保管模式建立了嚴格的防線。即便第三方訂單資訊遭到洩漏,攻擊者也無從竊取資金或發起交易。威脅轉向社交工程而非資產竊取,防範意識成為首要防線。
事件曝光過程
該事件受關注始於 ZachXBT 在 X 社群上發布,引用了客戶提供的電子郵件,詳述 Global-e 資料外洩。此類揭露加快了意識的提升,串聯起鏈上文化與鏈下資安通報。
不久後,Ledger 迅速主導事件並釐清責任歸屬。Global-e 作為訂單資料控制者,主動通知受影響客戶。Ledger 也協調溝通,確保用戶了解外洩範圍與界線。
這樣的角色分工在電子商務產業屬常態,也凸顯加密貨幣公司為拓展國際市場必須依賴外部處理商時所面臨的持續威脅。
為何第三方風險屢次衝擊加密貨幣品牌
加密貨幣公司在支付、物流、合規等領域愈加仰賴專業供應商,這些整合都增加了錢包或協議本身的攻擊面。
Ledger 的案例反映出一個更大的趨勢:
- 核心加密系統依然安全無虞
- 周邊服務如電子郵件、訂單、客服工具成為攻擊目標
- 資料外洩促使網釣而非直接駭入
對駭客而言,客戶資料庫極具價值。加密硬體錢包購買者的名單可被詐騙集團利用,結合實際購買、出貨資訊或客服單資訊發動詐騙。
