硬体钱包公司爆资安漏洞！Ledger上百万用户电邮遭泄

知名加密货币硬体钱包开发商Ledger 日前发文指出，公司商务数据库曾于今年6月发生数据泄露事件，不过，用户资产并未受影响，并且，Ledger已第一时间修复了漏洞。

Ledger 称，上述事件是由一位参与漏洞赏金计划的研究人员所发现。在修复漏洞后，Ledger 对此展开调查后发现，这个漏洞在6 月25 日就已经被第三方利用，包括公司的商务数据库也遭到了入侵，访问该数据库的API 密钥之后已被停用。文内提及，

数据泄漏的原因在于：网页上托管的第三方API 密钥配置有误，而这个错误的API 密钥是于2018 年8 月9 日开始运行。根据手上掌握的资料，我们可以断定，这个漏洞是在2020 年4 月至2020 年6 月28 日间被第三方发现并利用的。

据了解，被骇客入侵的数据库内有约100 万名客户的电邮地址，另外还有近万名客户的名字、姓氏、电话号码、订单明细等资料也遭泄露。Ledger 表示，目前为止，尚未发现有任何用户个资数据被放到网路上贩卖。

Ledger 表示，幸运的是，骇客并未获取任何用户密码或支付资料，只有入侵到资料数据库，所以，硬体钱包方面并未受到任何影响，用户所有的资产也都仍安全。

然而，为了安全起见，Ledger 已第一时间通知法国数据保护局(CNIL)，并在上周跟Orange Cyber​​defense 合作分析了这次数据泄漏事件的影响深度，还要求有关部门对此事进行全面调查。