美国FinCEN针对加密钱包提出新规，要求其适用《银行保密法》

本文来自 Decrypt，原文作者：Stephen Graves

Odaily 星球日报译者 | 念银思唐

摘要：

- 黑客网站 Raidforums 上已经公开了一个包含超过百万封 Ledger 客户电子邮件的数据库。

- 这些数据是在 2020 年 6 月 Ledger 的电子商务数据库遭到黑客攻击时被盗的。

- 攻击中没有暴露任何财务信息、恢复语句或密钥。

今天，一个黑客网站公开了超过 100 万封从硬件钱包制造商 Ledger 窃取的客户电子邮件。Ledger 表示，仍在确认事件细节，但承认这些数据“确实可能我们从 2020 年 6 月开始的电子商务数据库的内容。”

泄露的数据公布在 Raidforums 上，包括 Ledger 客户的姓名、实际地址和电话号码，这一数据泄露似乎源于 6 月份 Ledger 电子商务数据库遭到的一次黑客攻击。

全部泄露的邮件地址超过 100 万个，实际地址和电话号码超过 27 万个。

据悉，该漏洞是由一名参与漏洞赏金计划的研究人员发现的，并已在 7 月 14 日向 Ledger 报告，Ledger 表示已经修复了这个漏洞。

根据网络安全网站 haveibeenpwned.com 的说法，从最初的黑客攻击开始，它已经将被攻击数据库中 69%的地址列为已被泄露。

Ledger 在一系列推文中指出，其已经接到数据库信息被公开的警报，并“仍在确认”泄露的信息是否属实。“早期迹象表明，这确实可能是我们从 2020 年 6 月开始的电子商务数据库的内容，”该公司承认了这一事实，“我们对于发生这种情况深感遗憾。”

哪些信息被泄露了？

最初的黑客攻击目标是 Ledger 的营销和电子商务数据库，这意味着只涉及联系人和订单的详细信息；攻击事件并未涉及财务信息、恢复短语或密钥。在 9500 个案例中，电话号码、邮政地址和购买产品的细节被曝光。

攻击者能够使用一个 API 密钥（自那之后已被禁用）访问电子商务数据库。

今年早些时候，Ledger 市场营销副总裁 Benoit Pellevoizin 在接受 Decrypt Daily 播客的采访时警告说，泄露的信息可能被用于网络钓鱼攻击，试图欺骗 Ledger 客户交出他们的私钥。Pellevoizin 提醒道：“基本上，通过电子邮件，他们（网络不法分子）可以以我们的客户为目标，冒充 Ledger，要求他们提供种子短语，从而获得钱包中的加密货币……请注意，我们从来不会提出这种要求。”

Ledger 在今天的一条推文中重申，请用户永远不要与任何人分享他们的 24 字恢复短语，“即使他们假装是 Ledger 的代表。”该公司还设立了一个网页，用户可以报告网络钓鱼攻击的细节。

Ledger 在最初的黑客攻击事件发生时曾在一份声明中称，法国的数据保护局 CNIL 于 7 月 16 日接到了有关该漏洞的通知。