Ledger CEO 回應27 萬用戶數據洩露:不會賠償、責任不在公司


Ledger CEO Pascal Gauthier 表示,該公司不會對個人數據意外洩露的客戶做出任何賠償,將投入時間與資金構建新的安全層。

推薦閱讀:《翻遍27 萬條Ledger 用戶信息,我得到了最硬核的加密貨幣用戶畫像

原文標題:《27 萬用戶數據洩露,CEO:不會賠償、不要把威脅當真》
撰文:Tim Copeland
翻譯:核子可樂

12 月21 日,黑客網站Raidforums 公開了從硬件錢包製造商Ledger 中竊取的100 多萬封客戶電子郵件。 Ledger 隨後表示「確實可能是我們2020 年6 月電子商務數據庫的內容」。 Ledger 公司估計目前已經有27 萬用戶的姓名、配送地址以及電話號碼等敏感信息被洩露在網上。

網絡安全網站haveibeenpwned.com 稱,從最初的黑客攻擊開始,該數據庫中69% 的地址已經被洩露。

Ledger CEO 回應27 萬用戶數據洩露:不會賠償、責任不在公司

Ledger CEO:不會做出任何賠償

Ledger 公司推出的加密錢包,可接入計算機以訪問加密貨幣賬戶。黑客最初的攻擊目標是Ledger 營銷和電子商務數據庫,這意味著只涉及聯繫人和訂單的詳細信息。攻擊中沒有暴露任何財務信息、恢復語句或密鑰。 Ledger 市場營銷副總裁Benoit Pellevoizin 警告說,洩露的信息可能會被用於網絡釣魚攻擊,以試圖欺騙Ledger 客戶交出其私鑰。

Ledger 發布推文強調,即使有人自稱Ledger 工作人員,用戶也切勿與任何人共享密鑰。該公司還建立了一個網頁,用戶可以在其中報告網絡釣魚攻擊的詳細信息。

但該公司態度依然強硬。 Ledger 公司CEO Pascal Gauthier 今天表示,該公司不會對個人數據意外洩露的客戶做出任何賠償。

Gauthier 在採訪中表示,「我們的公司體量太小,無法針對上百萬用戶做出全面補償,這根本不現實。相反,我們只能著眼於未來。Ledger 公司目前正投入大量時間與資金以構建新的安全層,努力為用戶帶來更多更為安全的產品。」

根據相關報導,這批敏感數據的外洩導致網絡釣魚攻擊出現進一步升級。在此之前,已經有不少釣魚郵件要求Ledger 用戶下載惡意鏈接並提交私鑰,藉此竊取其加密貨幣。如今,新的郵件則提醒用戶其姓名及地址已遭竊取,因此除非支付贖金,否則攻擊者可能會「登門拜訪」、直接竊取加密貨幣。

Gauthier 指出,「這只是網上常見的騙局,旨在恐嚇普通用戶。攻擊者總愛使用這類伎倆,但真正的上門行動成本高昂、根本就不現實。」

很明顯,這位高管是在勸受害者們不要把威脅當真。

「即使有這種可能性——雖然可能性很低很低,大家也不用太過驚異。數據庫入侵事件實際發生在今年6 月,而迄今為止還沒有任何關於相關攻擊的報告。」

Gauthier 辯稱,欺詐者一直很重視成本,因此才更傾向於用廣撒網式的網絡釣魚攻擊接觸大量客戶,而非選取一少部分進行針對性攻擊。

Gauthier 提到,客戶們用不著急轉移。當然,客戶也不應把私鑰留在自己家中,特別是考慮到私鑰對應著數額巨大的加密貨幣這一現實情況。 「您會在家裡存放上百萬美元現金嗎?如果數額達到這個級別,就不該這麼大意。」Ledger 公司還建議用戶將私鑰存儲在其他人無法訪問的安全位置。

目前,已有很多Ledger 用戶公開表態,要對Ledger 提起集體訴訟。而對此,Ledger 則回應稱,官方一直在與執法部門合作起訴黑客,並阻止一些詐騙者。

另外,Reddit 用戶「u/relephants」表示,一些在6 月的信息洩露事件中受害的Ledger 用戶已經收到威脅性的電子郵件,郵件要求他們支付500 美元,否則將有遭受人身攻擊的風險。

責任不在Ledger 公司?

Gauthier 可能沒有在自己家裡遭到襲擊,但Casa CTO Jameson Lopp 對個人安全問題很有發言權。 2017 年,他在家中遭到特警毆打。之後,他用了不少時間和精力隱藏起行跡,甚至花了5000 美元僱傭私家偵探,想看看對方能不能追踪到他(結果是追踪不到)。

Lopp 在採訪中表示,「黑客入侵是不可避免的。從本質上講,信息是免費的,一切存儲有大量信息的服務平台都出現過這類問題,特別是有價值的個人身份信息。我們也沒法指望身份洩露事件能在一夜之間徹底消失。」

Lopp 強調,企業應該盡可能嘗試刪除此類數據(但這方面工作在歐洲GDPR 條例的衝擊下恐怕難以實施)。

關於威脅性網絡釣魚攻擊,他認為「其中大部分確實只是口頭恐嚇,並不會付諸實際行動。」

但他也提到,欺詐分子確實可能對某些重要目標發動此類攻擊。上門盜竊風險很高,所以攻擊者會首先進行大量調查取證,了解哪些客戶擁有豪車大宅。

Lopp 表示,「但這確實可能成為新一波物理攻擊的催化劑或者說轉折點。未來,也許會有更多人開始認真關注自己的隱私信息。」

他還補充道,受到影響的客戶應權衡自身實際情況, 並決定採取哪些措施以保護身份數據。 「總之,如果您的大部分資產都以加密貨幣為承載形式,而且在以易受物理攻擊影響的方式保護這些資產,那麼您就很容易蒙受損失。一旦私鑰外洩,只需點擊幾下按鈕,就能強制轉移您的大部分甚至全部財富。」

他還建議符合上述情形的客戶們著重關注人身安全,畢竟現實盜竊確實有發生的可能。

Lopp 指出,客戶們確實不應該把黑客攻擊的責任歸咎於Ledger 公司。大家在使用當中,本該使用郵箱甚至企業地址來增強隱私性,但既然使用了個人真實住址、就該為此承擔責任。

「所以,人們因此要求退款真的很荒謬。Ledger 的產品沒有問題,據我們所知,這些產品仍然安全可靠。是使用這些產品的人出了問題,這完全是兩碼事。」Lopp 表示。

來源鏈接:decrypt.co

.



Source link