Ledger顾客资料外泄后的防范手段，专家提醒隐私防护非常重要

数字货币硬件钱包制造商Ledger 日前证实其第三方电子商务合伙人Global|e发生顾客资料外泄事件，致使部分透过官方线上商城购买冷钱包商品的顾客个资被窃取，事件揭秘后，引发数字货币社群对冷钱包与硬件钱包的安全性产生疑虑。

顾客私钥未外泄、但用户名字与联络方法被窃取

依据Ledger 说明，此次事件未涉及私钥、钱包内资金或支付资讯，但外泄资料包括用户名字与联络方法。安全研究职员指出，这种资讯一旦落入恶意人士手中，仍可能被用于针对性诈骗、社会工程攻击，甚至带来现实层面的威胁(像是抢劫)。在资料外泄消息传出后数小时内，已有用户回报收到很多钓鱼邮件与诈骗讯息。攻击者还冒充Ledger 或Global|e 客服职员，借助外泄的个人资讯打造信赖感，以「帐户异常」、「设施需要更换」等说法施压，诱导用户提供敏锐资料。这并不是Ledger 初次遭遇资料外泄。 2020 年，该公司曾发生影响近30 万名用户的大规模资料泄露事件；2021 年，诈骗者更曾在钓鱼攻击中寄送伪造的Ledger 硬件钱包。安全研究职员指出，过往事件后，确实出现钱包遭盗、财务损失，甚至在极端状况下引发针对持币者的实体暴力威胁。

专家表示防范社会工程学与保护个资非常重要

专家表示，风险并不只限于资料被列入外泄名单的用户。任何被外面认知为持有硬件钱包或加密货币的人，都可能成为钓鱼或社会工程攻击的目的。 Zengo Wallet 实行长、钱包安全专家Ouriel Ohayon 指出个资外泄的用户已成为明确目的，所承担的风险将会更高，而顾客服务职员主动联系本身就是一个危险讯号，永远不要与其他人推荐助记词或是其他个资，用户应该验证邮件的实质寄件者，防止回覆未经请求的私讯或透过非官方管道，特别是邮件、即时通讯应用甚至纸本信件收到的「顾客服务讯息」。

以太坊域名服务 首席资讯安全长Alexander Urbelis 则提醒，外泄资料的种类会干扰威胁程度，其中实体住址特别敏锐。一旦家庭地址与硬件钱包用户身分产生连结，潜在风险将显著上升。

是不是需要转移资金或更换钱包？

专家警告不要由于恐慌而急着进行链上操作，转移资金未必能减少风险，假如用户仓促行事，反而可能带来新的危险，一旦被辨别为钱包所有者，数字货币储存在哪儿就不重要了。攻击者的目的已经是个人，而不是钱包本身，转移资金有时或许会事与愿违，由于资金转移是公开的，骇客也会追踪到线索。在现在针对Ledger 用户的诈骗手法中，攻击者多半不依靠技术漏洞，而是透过心理操纵，诈骗者会先用真实名字或订单细节打造可信度，再透过制造紧急情境迫用户飞速回话，平时就保护好我们的个资，碰到情况时Don't Trust, verify 是最好的方法面对潜在攻击。