Ledger 確認客戶資料因支付處理商 Global-e 而曝光

資料來源：CryptoTale 原文標題：Ledger 確認客戶資料透過 Global-e 系統曝光 原文連結：

概述

• Global-e 的未經授權存取曝光了 Ledger 客戶的姓名與聯絡資料。
• Ledger 確認未存取資金恢復短語或錢包私鑰。
• 安全專家警告，洩露的聯絡資料增加釣魚與詐騙風險。

事件詳情

硬體錢包製造商 Ledger 正處理一起新的資料曝光事件，原因是其第三方支付處理商 Global-e 系統內發生未經授權存取。事件涉及從 Global-e 雲端基礎設施取得的個人客戶資料，如姓名與聯絡資訊。目前沒有跡象顯示錢包資金、私鑰或恢復短語曾被洩露。

Global-e 以電子郵件通知受影響的客戶，表示其在部分雲端環境中偵測到異常活動，並已展開調查。該通知未披露受影響的 Ledger 客戶數量或攻擊的確切時間。此通知在社群媒體由區塊鏈調查員 ZachXBT 分享後，首次公開流傳。

Ledger 確認事件，表示該漏洞完全發生在 Global-e 系統內。公司指出 Global-e 作為資料控制者，因此發出客戶通知。

第三方資料外洩確認

Global-e 表示已偵測到異常活動，並迅速採取安全措施來控制問題。公司隨後聘請外部鑑識專家進行詳細調查。

調查結果確認有限範圍的個人資料被不當存取。Global-e 告知客戶，調查人員確認「部分個人資料，包括姓名與聯絡資訊，遭到不當存取。」該聲明未提及支付詳情或認證憑證。

Ledger 也隨後證實這些調查結果。公司表示未經授權存取影響了存放在 Global-e 系統中的訂單資料。Ledger 重申，事件未觸及其內部基礎設施、設備或應用程式。

Ledger 的回應與安全範圍

Ledger 強調其自我保管產品未受到此次事件影響。

公司澄清，Global-e 無法存取恢復短語、錢包餘額或數位資產密鑰。Ledger 表示其硬體與軟體系統仍正常運作。

「這不是 Ledger 平台、硬體或軟體系統的漏洞，」公司表示。

此外，Ledger 補充說，Global-e 只處理通過 Ledger.com 購買的客戶的購買與訂單相關資訊。公司也解釋了為何 Global-e 會直接聯絡客戶。Ledger 表示，Global-e 控制受影響的資料，因此負責通知資料外洩。截止發稿，兩家公司尚未公布受影響客戶的估計數。

歷史背景與持續風險

此事件緊接著 Ledger 之前的多起安全事件。2020 年 6 月，一個配置錯誤的第三方 API 泄露了行銷與電子商務資料，約一百萬封電子郵件地址與 9,500 位客戶的詳細聯絡資料被外洩。

2023 年，攻擊者利用一個與 Ledger 相關的被破壞軟體庫進行攻擊。在五小時內，攻擊耗盡約 48.4 萬美元至 60 萬美元的加密貨幣。

安全專家持續警告，洩露的聯絡資料即使沒有錢包存取權，也能助長社交工程攻擊。有些建議在購買硬體錢包時使用最少或替代的聯絡資訊，以降低資料庫外洩時的釣魚攻擊效果。