個資外洩事件餘波未平,冷錢包供應商 Ledger 和合作電商平台 Shopify 本周正式遭用戶提起集體訴訟,主要指控 Ledger 在去年的事件中先是駁斥消息為假、事後受害用戶頻因釣魚攻擊、威脅勒索而不堪其擾,該投訴中指稱此事件讓用戶的加密資產暴露在巨大風險之中。
(前情提要:Ledger遭駭追蹤|用戶遭歹徒威脅「不付錢,就入侵你家」,執行長「只道歉,不賠償」)
(事件背景:瑞波|冷錢包 Ledger 驚傳大規模釣魚攻擊,駭客已盜走「28 萬美元 — 115萬顆 XRP」)
加密貨幣冷錢包製造商 Leger 去年成為電子商務開店平台 Shopify 駭客事件的受害者,導致將近 100 萬條電子郵件地址以及 9,500 名用戶資料外洩。其中雖不包含密碼,但這些個資已足以被歹徒用來發動釣魚攻擊,詐勒索事件風聲四起、引動相關用戶人心惶惶。當事者 Ledger 起初駁斥爆料不實,爾後在去年七月底證實受害後,又表示不會賠償用戶,引來眾怒。
4 月 6 日起,部分 Ledger 用戶正式向美國加州北區地方法院遞表,對 Ledger 與合作廠商 Shopify 發起集體訴訟,指控其「疏忽導致個資外流事件發生,且兩家廠商在事件發生後卻試圖掩蓋了事。」
對於駭客來說,Ledger 用戶清單就像黃金一般。駭客可以利用該資訊,操縱或強迫名單內的人將他們的加密資產以難以追蹤且不可逆的方式轉移至駭客地址。因此,個資外洩受害者的資產安全風險是巨大的。
投訴內容中指控道。
對於遭提集體訴訟,Ledger 的法律顧問安東尼(Antoine Thibault)向外媒《 Decrypt》表示,不對正在進行的司法程序置評。並補充提醒用戶,不要向任何人洩漏其 24 個註記詞,並務必確認交易對方的身份。
集體訴訟始末 & 不賠償發言
不同於熱錢包,冷錢包由於不須時刻連網、露在網路攻擊風險下,理論上與到駭客竊盜的機率更低。
然而,去年 5 月底,一位駭客卻在以太坊論壇上聲稱自己利用了電商巨頭 Shopify 的系統漏洞,竊取了平台上的合作公司包含 Trezor、Ledger 和 KeepKey 三大冷錢包供應商的用戶數據資料,其中 Ledger 在調查後發現受害用戶高達 29 萬人。
儘管外洩資料中並未包含未取得用戶密碼、無法直接控制加密資產,但這些資料卻被歹徒用來發動釣魚詐騙、或是寄發勒索信件。動區先前報導便曾提及一位用戶因地址外洩,遭勒索 500 美元、否則便要侵入他家。
延伸閱讀:Ledger遭駭追蹤|用戶遭歹徒威脅「不付錢,就入侵你家」,執行長「只道歉,不賠償」
事件爆發後,Ledger 起初在調查尚未完成時,便直言爆料者的指控與事實不符,2 個月後才承認被駭事件為真,Ledger 執行長高帝耶(Pascal Gauthier)卻年底卻向外媒《Decrypt》表示,Ledger 公司將不會賠償數據遭洩露的用戶、而是把資源用在讓下一代的產品更安全:
Ledger 的公司規模太小,所以我們無法對 100 萬用戶提供補償,這是不可能的事,此舉足以扼殺整間公司。
儘管 Ledger 後續宣布諸多處理措施,包含追蹤釣魚詐騙者的錢包、與其他公司聯手關閉超過 216 個釣魚網站,卻已經無法澆熄受害用戶的憤怒。
推特用戶 Ryan Olah 便於 Ledger 推文下說:「現在情況已經惡化一萬倍了」,並表示如果有人要發起集體訴訟,他相信很多人會加入這場討回公道的征途。比特幣安全專家洛普(Jameson Lopp)也曾在推特上嘲諷 Ledger 善後不當造成人心惶惶:
「用『硬體』保護您的資產」。(附上手槍照片)
Protect your private keys with hardware. pic.twitter.com/t1PzfWnLeA
— Jameson Lopp (@lopp) December 21, 2020
📍相關報導📍
交易所恐成下個Ledger未爆彈?美國政府一昧追求「加強KYC」衍伸的個資外洩風險
Ledger資安風波|29萬受害用戶頻傳釣魚攻擊!現懸賞「10枚比特幣」追捕Shopify內賊
Ledger爆資安危機!駭客網站公開超過27,000名客戶隱私訊息,源自6月數據洩漏事件
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
