Ledger确认客户数据通过支付处理商Global-e泄露

来源：CryptoTale 原始标题：Ledger确认客户数据通过Global-e系统泄露 原始链接：

概述

• Global-e的未授权访问暴露了Ledger客户的姓名和联系方式。
• Ledger确认未访问到钱包的资金恢复短语或私钥。
• 安全专家警告，泄露的联系数据增加了钓鱼和诈骗的风险。

事件详情

硬件钱包制造商Ledger在其第三方支付处理商Global-e系统发生未授权访问后，面临一次新的数据泄露事件。此次事件涉及从Global-e云基础设施中获取的客户个人信息，如姓名和联系方式。目前没有迹象表明钱包资金、私钥或恢复短语受到影响。

Global-e通过电子邮件通知受影响的客户，称其在部分云环境中检测到异常活动，并已启动调查。该消息未披露受影响的Ledger客户人数或具体的利用时间。该通知在社交媒体上由区块链调查员ZachXBT分享后，首次公开流传。

Ledger确认了此次事件，表示此次泄露完全发生在Global-e的系统内。公司表示Global-e作为数据控制方，因此负责向客户发出通知。

第三方泄露确认

Global-e表示已发现异常活动，并迅速采取安全措施以控制问题。随后，该公司聘请外部取证专家对事件进行了详细审查。

审查确认有限范围的客户个人数据被不当访问。Global-e告诉客户，调查人员确认“部分个人数据，包括姓名和联系方式，被不当访问。”声明未提及支付信息或认证凭证。

Ledger随后也确认了这些发现。公司表示未授权访问影响了存储在Global-e信息系统中的订单数据。Ledger重申此次事件未涉及其内部基础设施、设备或应用程序。

Ledger的应对措施与安全范围

Ledger强调其自托管产品未受到此次事件的影响。

公司澄清，Global-e无法访问恢复短语、钱包余额或数字资产密钥。Ledger表示其硬件和软件系统仍在正常运行。

“这不是Ledger平台、硬件或软件系统的安全漏洞，”公司表示。

此外，Ledger补充说，Global-e仅处理通过Ledger.com购买的客户的购买和订单相关信息。公司还解释了为何Global-e会直接联系客户。Ledger表示，Global-e控制受影响的数据，因此对泄露通知负有责任。截至发布时，两家公司尚未公布受影响客户的具体数量。

历史背景与持续风险

此次事件紧随Ledger过去几次安全事件之后。2020年6月，一次配置错误的第三方API暴露了营销和电子商务数据。此次泄露泄露了大约一百万个电子邮件地址和9500个客户的详细联系方式。

2023年，攻击者利用与Ledger相关的被攻破的软件库发起攻击。在五小时内，攻击耗尽了价值约48.4万至60万美元的加密货币。

安全专家持续警告，泄露的联系数据即使没有钱包访问权限，也可能助长社会工程攻击。一些专家建议在购买硬件钱包时使用最少或备用的联系信息，以减少数据库泄露后被定向钓鱼的风险。