今年 4 月才发生 5 亿用户资料外泄事件不久,LinkedIn 日前再度惊爆第二次大规模资料外泄,这次规模更胜第一次,高达 7 亿名用户(占 7.56 亿全部用户 92%)资料外泄。目前含电话号码、实体地址、地理位置资料和 AI 推理薪资等纪录的数据库在暗网公开销售。
获得外泄资料的骇客发布 100 万笔纪录样本,这些资料且经查验证实皆是真的且为最新。隐私安全新闻网《RestorePrivacy》报导,骇客似乎采取滥用官方 LinkedIn API 漏洞的攻击手法下载资料,这与 4 月类似资料外泄事件的手法如出一辙。
6 月 22 日,知名骇客论坛有一名使用者推销出售 7 亿笔 LinkedIn 用户资料。论坛使用者张贴一个含 100 万名 LinkedIn 用户资料的样本。我们查验样本,发现含以下资讯:
- 电子邮件地址
- 全名
- 电话号码
- 实体地址
- 地理位置纪录
- LinkedIn 使用者名称和个资 URL
- 个人和专业经历/背景
- 性别
- 其他社群媒体账号和使用者名称
根据我们将样本资料与其他公开可用资讯的分析与交叉检测结果,所有资料似乎都是真的,且与真实用户绑定在一起。此外,这些资料具备 2020 年到 2021 年的样本,似乎也是最新的。
我们直接联系了在骇客论坛上公开出售资料的论坛用户。他声称,透过劫持 LinkedIn API 的手法,以收集人们上传到 LinkedIn 官网上的资讯。
虽然外泄资料不含密码,但对有心骇客而言仍极具价值,因骇客可盗用身份,亦可发动容易误信的网络钓鱼攻击,这些攻击本身也可获取 LinkedIn 及其他网站的登录凭证。
前一次大规模资料外泄事件,LinkedIn 确认共 5 亿笔资料外泄,包括从服务器获得,但同时声称也有从其他来源获得。PrivacyShark 指出,LinkedIn 这次也发类似声明:
虽然我们仍在调查这问题,但初步分析表明,资料集包含从 LinkedIn 撷取的资讯,以及从其他来源获得的资讯。这不算是 LinkedIn 资料外泄,调查已确认,并没有外泄 LinkedIn 会员个资。凡是从 LinkedIn 撷取资料的行径,皆违反我们的服务条款,我们一直努力确保会员隐私受保护。
但无庸置疑的是,如今确实有人能大剌剌从 LinkedIn 官网拦截上亿笔纪录,无论是用 API 漏洞还其他手法,绝对是安全漏洞,也是重大资料外泄事件。
- LinkedIn breach reportedly exposes data of 92% of users, including inferred salaries [U]
(首图来源:LinkedIn)
