作为加密行业最受欢迎的硬件钱包提供商之一,莱杰(Ledger)在最近几周遇到了许多困难,包括该公司客户联系人数据库的漏洞以及钱包漏洞使用户的比特币(BTC)处于危险之中。 最近发生的事件仅仅是几个艰难星期的总结,还是正在发挥更大的作用?
Ledger首席技术官Charles Guillemet告诉Cointelegraph:“就数据库漏洞而言,攻击者可以通过在我们的网站上配置错误的第三方API密钥来访问我们的电子商务和营销数据库的一部分,从而允许未经授权的访问我们的客户的联系方式和订单数据。”
Ledger的数据已泄露
违规可追溯到2020年6月和2020年7月。如Cointelegraph的报告所详述,Ledger在7月14日收到一条提示,提到该公司的网站以及可能存在的相关弱点。 尽管Ledger根据提示修复了该问题,但该公司发现有人在6月25日利用了漏洞,导致将近100万电子邮件地址泄漏-受影响的9,500名客户看到其他私人数据泄漏,例如他们的电话号码和姓名。
Guillemet说Ledger在同一天修复了该问题并禁用了麻烦的API密钥。 他补充说:“此外,付款信息,凭证(密码)或加密货币都没有受到影响。” 他解释说:“此数据泄露对我们的硬件钱包和Ledger Live应用程序没有链接,也没有影响。” 他说:“客户加密资产一直都是安全的,并且没有危险。”莱杰称赞莱杰的设备结构具有安全性,因为它可以将资金的授权返还给用户。
加密货币Decred的项目负责人Jake Yocom-Piatt表示,他对这一事件并不感到惊讶,他指出公司通常对电子商务数据库防御的关注较少。 他对Cointelegraph表示:“当核心产品是安全硬件时,很容易忘记电子商务软件系统的安全性也很重要。许多大型组织将软件安全性视为沉没成本,因为它不在考虑范围之内。他们的核心产品,因此他们无法推销产品和获取利润。”
钱包存在软件漏洞
数据泄露后不久,随着软件漏洞浮出水面,Ledger设备的持有者在8月5日得知有关他们选择的钱包的另一个困难。 该漏洞本质上为比特币与其各种分支(例如Litecoin(LTC))之间的桥梁提供了桥梁。 利用该缺陷,攻击者可以使交易看起来像与一项资产相关联,同时确认设备上的交易将批准针对另一项资产的单独交易-这是钱包所有者所不知道的。
Ledger在同一天发布了软件更新,以更正此问题。 8月26日,当要求提供更多评论时,Ledger公共关系代表在8月5日发布的公司博客上指出了对此情况的解释,该博客解释说赏金猎人发现了此漏洞,从而导致Ledger提到了更新。 Ledger在本文中澄清说:“我们想向您保证,此漏洞不能用于获取敏感数据,例如私钥或恢复短语。”
账本钱包仍然有效
尽管最近遇到了困难,但Ledger钱包仍然是加密存储的流行选择。 Yocom-Piatt补充说:“账本和其他硬件钱包是普通加密货币用户的主要安全升级,因为它可以防止成功进行远程访问攻击(例如,键盘记录),”
“但是,硬件钱包附带的针对远程盗窃的保护通常会显着降低隐私,因为硬件钱包供应商可以准确看到钱包控制的硬币。”
Twitter用户CryptoGainz在8月13日发布了一条推文,称自己在使用Ledger钱包时遇到的困难是软件不可靠。 尽管在8月5日漏洞问题发生后不久发表了评论,但事实证明这种情况无关紧要,CryptoGainz仍对钱包公司作为加密存储选项表示了信心。
有关:Uniswap和自动化做市商解释
CryptoGainz在Twitter DM聊天中对Cointelegraph表示:“这是一种安全的存储加密货币的方式,它们只是通过Uniswap上的元掩码进行交易而已。”他引用在线钱包提供商/去中心化应用程序渠道以及最新的去中心化交易所交易热潮Uniswap告诉Cointelegraph。
分类帐客户保护
尽管Ledger的钱包提供了增强安全性的参数,但用户仍然必须了解保护资产的最佳实践和策略。 Guillemet解释说:“我们最担心网络钓鱼尝试-诈骗者冒充我们的电子邮件。”
当恶意方发送电子邮件或另一种形式的通信,伪装成其他人或公司,以从目标中获取私人信息时,就会发生网络钓鱼诈骗。 Guillemet说:“我们绝不会要求客户提供其恢复短语的24个单词,”他敦促客户利用两因素身份验证,同时还指向Ledger网站上有关安全性的教育信息。
除了网络钓鱼攻击之外,Ledger还拥有针对恶意软件的防护措施。 Guillemet解释说:“ Ledger设备旨在保护用户资金免受用户计算机上的恶意软件(包括伪造的Ledger Live应用程序)的侵害,”他引用Ledger的桌面应用程序与钱包设备进行交互。 他指定用户应确保从Ledger的官方在线网站或应用程序商店获取该应用程序。
Yocom-Piatt还谈到了防止公司数据泄露的措施,例如Ledger遭受的损失。 他说:“由于电子商务系统通常安全性较弱,因此我建议订购这些设备的用户将其发送到不是其主要居住地的地址。”
使用不同的物理地址可以使客户避免他们的住所暴露,以防发生此类泄露,从而有助于防止潜在的个人账本钱包设备盗窃。 “此外,在可能的情况下,您应该避免使用硬件钱包供应商提供的钱包软件来最大程度地保护您的隐私,”他补充说。
尽管需要知识和技术实力,但对资产进行自我监管是加密行业的主要卖点。 涉及的复杂性可能解释了对主流加密交易产品的推动,例如交易所交易基金,公司在其中为投资者托管资产。