今年4月才发生5亿用户资料外泄事件不久,LinkedIn日前再度惊爆第二次大规模资料外泄,这次规模更胜第一次,高达7亿名用户(占7.56亿全部用户92%)资料外泄。目前含电话号码、物理地址、地理位置资料和AI推理薪资等记录的数据库在暗网公开销售。
获得外泄资料的黑客发布100万笔记录样本,这些资料且经查验证实皆是真的且为最新。隐私安全新闻网《RestorePrivacy》报道,黑客似乎采取滥用官方LinkedIn API漏洞的攻击手法下载资料,这与4月类似资料外泄事件的手法如出一辙。
6月22日,知名黑客论坛有一名用户推销出售7亿笔LinkedIn用户资料。论坛用户发布一个含100万名LinkedIn用户资料的样本。我们查验样本,发现含以下信息:
根据我们将样本资料与其他公开可用信息的分析与交叉检测结果,所有资料似乎都是真的,且与真实用户绑定在一起。此外,这些资料具备2020年到2021年的样本,似乎也是最新的。
我们直接联系了在黑客论坛上公开出售资料的论坛用户。他声称,通过劫持LinkedIn API的手法,以收集人们上传到LinkedIn官网上的信息。
虽然外泄资料不含密码,但对有心黑客而言仍极具价值,因黑客可盗用身份,也可发动容易误信的网络钓鱼攻击,这些攻击本身也可获取LinkedIn及其他网站的登录凭证。
前一次大规模资料外泄事件,LinkedIn确认共5亿笔资料外泄,包括从服务器获得,但同时声称也有从其他来源获得。PrivacyShark指出,LinkedIn这次也发类似声明:
虽然我们仍在调查这问题,但初步分析表明,资料集包含从LinkedIn截取的信息,以及从其他来源获得的信息。这不算是LinkedIn资料外泄,调查已确认,并没有外泄LinkedIn会员个人信息。凡是从LinkedIn截取资料的行径,皆违反我们的服务条款,我们一直努力确保会员隐私受保护。
但毋庸置疑的是,如今确实有人能大剌剌从LinkedIn官网拦截上亿笔记录,无论是用API漏洞还其他手法,绝对是安全漏洞,也是重大资料外泄事件。
(首图来源:LinkedIn)