知名加密货币硬体钱包开发商Ledger 日前发文指出,公司商务数据库曾于今年6月发生数据泄露事件,不过,用户资产并未受影响,并且,Ledger已第一时间修复了漏洞。
Ledger 称,上述事件是由一位参与漏洞赏金计划的研究人员所发现。在修复漏洞后,Ledger 对此展开调查后发现,这个漏洞在6 月25 日就已经被第三方利用,包括公司的商务数据库也遭到了入侵,访问该数据库的API 密钥之后已被停用。文内提及,
数据泄漏的原因在于:网页上托管的第三方API 密钥配置有误,而这个错误的API 密钥是于2018 年8 月9 日开始运行。根据手上掌握的资料,我们可以断定,这个漏洞是在2020 年4 月至2020 年6 月28 日间被第三方发现并利用的。
据了解,被骇客入侵的数据库内有约100 万名客户的电邮地址,另外还有近万名客户的名字、姓氏、电话号码、订单明细等资料也遭泄露。Ledger 表示,目前为止,尚未发现有任何用户个资数据被放到网路上贩卖。
Ledger 表示,幸运的是,骇客并未获取任何用户密码或支付资料,只有入侵到资料数据库,所以,硬体钱包方面并未受到任何影响,用户所有的资产也都仍安全。
然而,为了安全起见,Ledger 已第一时间通知法国数据保护局(CNIL),并在上周跟Orange Cyberdefense 合作分析了这次数据泄漏事件的影响深度,还要求有关部门对此事进行全面调查。