Ledger 客戶資料外洩後的防範措施，專家提醒隱私防護最重要

加密貨幣硬體錢包製造商 Ledger 近日證實其第三方電商合作夥伴 Global-e 發生客戶資料外洩事件，導致部分透過官方線上商城購買冷錢包產品的客戶個資被竊取，事件曝光後，引發加密貨幣社群對冷錢包與硬體錢包的安全性產生疑慮。

客戶私鑰未外洩、但用戶姓名與聯絡方式被竊取

根據 Ledger 說明，此次事件未涉及私鑰、錢包內資金或支付資訊，但外洩資料包含用戶姓名與聯絡方式。安全研究人員指出，這類資訊一旦落入惡意人士手中，仍可能被用於針對性詐騙、社會工程攻擊，甚至帶來現實層面的威脅 (像是打劫)。在資料外洩消息傳出後數小時內，已有用戶回報收到大量釣魚郵件與詐騙訊息。攻擊者還冒充 Ledger 或 Global-e 客服人員，利用外洩的個人資訊建立信任感，以「帳戶異常」、「設備需要更換」等說法施壓，誘導用戶提供敏感資料。這並非 Ledger 首次遭遇資料外洩。2020 年，該公司曾發生影響近 30 萬名用戶的大規模資料洩露事件；2021 年，詐騙者更曾在釣魚攻擊中寄送偽造的 Ledger 硬體錢包。安全研究人員指出，過往事件後，確實出現錢包遭盜、財務損失，甚至在極端情況下引發針對持幣者的實體暴力威脅。

專家表示防範社會工程學與保護個資最重要

專家表示，風險並不僅限於資料被列入外洩名單的用戶。任何被外界認知為持有硬體錢包或加密資產的人，都可能成為釣魚或社會工程攻擊的目標。Zengo Wallet 執行長、錢包安全專家 Ouriel Ohayon 指出個資外洩的用戶已成為明確目標，所承擔的風險將會更高，而客戶服務人員主動聯繫本身就是一個危險訊號，永遠不要與任何人分享助記詞或是其他個資，用戶應該驗證電子郵件的實際寄件者，避免回覆未經請求的私訊或透過非官方管道，尤其是電子郵件、即時通訊應用甚至紙本信件收到的「客戶服務訊息」。

ENS 首席資訊安全長 Alexander Urbelis 則提醒，外洩資料的類型會影響威脅程度，其中實體住址尤其敏感。一旦家庭地址與硬體錢包使用者身分產生連結，潛在風險將顯著上升。

是否需要轉移資金或更換錢包？

專家警告不要因為恐慌而急著進行鏈上操作，轉移資金不一定能降低風險，如果用戶倉促行事，反而可能帶來新的危險，一旦被識別為錢包所有者，加密貨幣儲存在哪裡就無關緊要了。攻擊者的目標已經是個人，而不是錢包本身，轉移資金有時可能會適得其反，因為資金轉移是公開的，駭客也會追蹤到線索。在目前針對 Ledger 用戶的詐騙手法中，攻擊者多半不依賴技術漏洞，而是透過心理操縱，詐騙者會先使用真實姓名或訂單細節建立可信度，再透過製造緊急情境迫使用戶迅速回應，平常就保護好自己的個資，碰到狀況時 Don’t Trust, verify 是最好的方式面對潛在攻擊。

這篇文章 Ledger 客戶資料外洩後的防範措施，專家提醒隱私防護最重要 最早出現於 鏈新聞 ABMedia。