Ledger 資料外洩事件通過 Global-e：日益增加的釣魚風險與第三方安全疑慮

來源：CryptoValleyJournal 原文標題：Ledger 透過支付服務供應商 Global-e 再次資料外洩 原文連結：

Ledger 透過支付供應商遭遇資料外洩

硬體錢包製造商 Ledger 再次受到資料外洩事件的影響。此次事件是透過第三方供應商 Global-e 發生的，該公司是 Ledger 的支付服務供應商。區塊鏈分析師 ZachXBT 公開了安全漏洞，並警告用戶 phishing 攻擊風險增加。

Global-e 確認未經授權存取 Ledger 客戶的個人資料，包括姓名和聯絡資訊。然而，該公司未披露受影響用戶的確切數量。在初步聲明中，Ledger 強調其自身基礎設施未被入侵。此次安全漏洞僅影響 Global-e 的雲端系統。恢復短語、私鑰、錢包餘額或支付資訊未受到影響，因為 Global-e 無法存取這些敏感資料。

第三方供應商風險成為安全辯論焦點

此事件凸顯硬體錢包供應商透過外部服務供應商的脆弱性。Global-e 發現其網路中的異常活動，並立即採取對策。公司聘請鑑識專家調查安全漏洞的範圍。分析結果確認攻擊者已存取個人資料。

Ledger 使用 Global-e 作為國際支付的電子商務合作夥伴。這種做法使硬體錢包製造商能夠服務不同地區的客戶，但也產生依賴性。將支付流程外包給專業服務供應商在行業中很常見。然而，這也擴展了攻擊面，因為客戶資料存放在多個公司。

被洩露的資訊——姓名和聯絡資料——乍看之下似乎不如錢包存取憑證重要。然而，安全專家仍警告其潛在後果。這些資料可用於針對性 phishing 攻擊，攻擊者可能冒充 Ledger 員工，誘使用戶透露其恢復短語。

資料外洩後 phishing 風險升高

被曝光的資料為網路犯罪分子提供了進行高階社交工程攻擊的基礎。受影響的用戶必須預期詐騙電子郵件的增加。這些郵件設計專業，看起來合法。攻擊者利用真實客戶資料來建立信任。

Ledger 在先前事件後已警告，該公司從不要求提供恢復短語、密碼或驗證碼。這一基本規則仍是保護數位資產的核心。用戶應將任何要求輸入敏感資料的通訊視為詐騙——不論其看起來多麼真實。

安全研究人員建議受影響用戶保持高度警覺，包括忽略可疑電子郵件、不點擊來自未驗證來源的連結，以及一般不掃描要求輸入恢復短語的 QR 碼。此外，用戶應在可能的情況下啟用雙重驗證。

Ledger 反覆發生安全事件的歷史

此次事件加入了近年來多次資料外洩的行列。2020年7月，發生迄今最嚴重的安全漏洞。攻擊者取得公司電子商務和行銷資料庫的存取權，並洩露約110萬個電子郵件地址，以及27萬2千名客戶的詳細資料，包括全名、電話號碼和住址。

被盜資料最初在2020年12月於黑客論壇出售並公開發布。這引發了一波 phishing 攻擊和勒索行動。當時，Ledger 表示在兩個月內已關閉171個釣魚網站。但其後果遠不止數位攻擊。犯罪分子利用曝光的加密貨幣持有者地址進行實體攻擊——所謂的「扳手攻擊」。2025年1月，攻擊者綁架了 Ledger 聯合創始人 David Balland 和其妻子，地點在法國的家中。攻擊者勒索加密貨幣贖金，並割斷了 Balland 的一根手指。法國警方在數日拘禁後將夫妻倆解救。此事件顯示，加密公司資料外洩可能帶來生命威脅的後果。

2020年12月，另一事件則是透過電子商務服務供應商 Shopify 發生。當時，腐敗員工在2020年4月和6月非法出口客戶交易資料。隨後，針對 Ledger 和 Shopify 的集體訴訟於2021年11月被加州法院駁回。2023年12月，攻擊者透過供應鏈攻擊入侵 Ledger 的 Connect Kit JavaScript 函式庫。在短暫的時間內，近50萬美元被竊取，受影響的去中心化應用程式用戶遭受損失。這次事件不僅首次影響客戶資料，也導致直接的財務損失。

信任問題與行業標準

反覆的安全事件引發了對硬體錢包供應商韌性的質疑。Ledger 一貫強調，實體硬體錢包和存放其中的私鑰未被入侵。產品安全與公司資料的分離在技術上是正確的，但仍不夠完善。

資料外洩的長期後果體現在持續的 phishing 攻擊中。受2020年外洩影響的人，即使多年後仍會遭遇詐騙聯繫。只要受影響者持有加密貨幣，這些資料對犯罪分子來說仍具有價值。

對於行業而言，問題在於第三方供應商的安全標準應如何制定。硬體錢包製造商不僅要保護自身系統，也要確保合作夥伴實施相當的安全措施。外包支付流程和行銷服務會產生難以控制的依賴性。Ledger 用戶面臨是否繼續信任公司的抉擇。硬體錢包本身仍被視為安全——前提是用戶不透露其恢復短語。更大的風險在於被曝光的身份作為加密貨幣持有者，攻擊者可以利用這點進行有針對性的攻擊。