Ledger資安風波｜29萬受害用戶頻傳釣魚攻擊！現懸賞「10枚比特幣」追捕Shopify內賊

硬體錢包公司 Ledger 僱用了熱門的電商平台 Shopify 來管理其冷錢包的銷售。Shopify 為 Ledger 提供了一整套服務，包括支付、市場行銷、運輸。然而，Ledger 發現這種合作關係使他們付出了代價。
（前情提要：Ledger遭駭追蹤｜用戶遭歹徒威脅「不付錢，就入侵你家」，執行長「只道歉，不賠償」）

本文目錄

市值高達 1400 億美元的加拿大跨國電商 Shopify 先前的資安漏洞已經洩漏了與其合作約 200 個商家底下的客戶個資。冷錢包供應商 Ledger 也同樣遭到波及，此次是 Ledger 用戶個資近期內遭受的第二次攻擊。

Ledger 去年底就已有 27 萬個用戶的個資被竊取，用戶的交易細節、手機號碼、郵件帳號、居住地址都被駭客公開在網路上。儘管 Shopify 這次大多的數據外洩與 Ledger 去年所洩漏的資料相同，但這次還造成了額外的 2 萬多條用戶記錄外洩。

Shopify 表示去年 9 月，公司內部的兩名「無良」員工從大約 200 個合作的商家竊取了底下客戶 4 月到 6 月的交易記錄。這些資料後來洩漏在網路論壇上，並被用來對數千名消費者發起網路釣魚攻擊。弔詭的是，此事件於去年 9 月 22 日便曝光，但是 Ledger 表示他們在去年 12 月 23 日才知情此事。

延伸閱讀：Ledger爆資安危機！駭客網站公開超過27,000名客戶隱私訊息，源自6月數據洩漏事件

Ledger 在官方推特寫道：

「近期，我們都會將資安問題報告給大家。去年 12 月 23 日，我們被電商合作夥伴 Shopify 告知，去年四月到六月，他們的無良員工外洩了與電商合作的商家底下的用戶資料。 Ledger 也包含其中。」

Recently, we shared news of a data dump. On December 23, we were alerted by our e-commerce provider Shopify about an incident in April & June '20 where their rogue team members exported merchants' customer databases. Ledger was included. More details: https://t.co/NHU3IbDL0a pic.twitter.com/DHQQ9arxCu

— Ledger (@Ledger) January 13, 2021

Ledger 的後續處理

對此，Ledger 也宣布了未來他們會改變處理客戶資料的方式，讓客戶個資盡量不要長時間儲存在數據庫中。此外，Ledger 表示他們會從訂單確認電子郵件中刪除敏感資料，以避免電商平台未來的資安漏洞。同時，他們將在自家應用程式 Ledger Live 中增加一個訊息傳輸的機制，以減少與客戶使用電子郵件溝通。

目前，Ledger 正與美國聯邦調查局（FBI）聯手調查資案洩漏的案件，而法國檢方也已經對 Shopify 的內部人員提起控訴。與此同時，Ledger 也與提供區塊鏈數據分析的公司 Chainalysis 合作，追蹤網路釣魚詐騙者的錢包。除此之外，Ledger 也與另一家提供類似服務的公司 Corsearch 關閉現有的釣魚網站，目前已成功關閉了 216 個網站。

雖然駭客的活動已受到調查，但網路釣魚攻擊及勒索威脅仍持續困擾著 Ledger 的用戶。有鑑於此，Ledger 提供了 10 枚比特幣作為懸賞金，相當於 38 萬美元，支付給任何可以對該案提供進一步線索的人。