LinkedIn 再爆驚天級資料外洩第二彈!92% 共 7 億筆用戶資料在網路「待價而沽」

作者 | 發布日期 2021 年 06 月 30 日 15:30 | 分類 網路 , 資訊安全 Telegram share ! follow us in feedly


今年 4 月才發生 5 億用戶資料外洩事件不久,LinkedIn 日前再度驚爆第二次大規模資料外洩,這次規模更勝第一次,高達 7 億名用戶(佔 7.56 億全部用戶 92%)資料外洩。目前含電話號碼、實體地址、地理位置資料和 AI 推理薪資等紀錄的資料庫在暗網公開銷售。 

獲得外洩資料的駭客發布 100 萬筆紀錄樣本,這些資料且經查驗證實皆是真的且為最新。隱私安全新聞網《RestorePrivacy》報導,駭客似乎採取濫用官方 LinkedIn API 漏洞的攻擊手法下載資料,這與 4 月類似資料外洩事件的手法如出一轍。

6 月 22 日,知名駭客論壇有一名使用者推銷出售 7 億筆 LinkedIn 用戶資料。論壇使用者張貼一個含 100 萬名 LinkedIn 用戶資料的樣本。我們查驗樣本,發現含以下資訊:

  • 電子郵件地址
  • 全名
  • 電話號碼
  • 實體地址
  • 地理位置紀錄
  • LinkedIn 使用者名稱和個資 URL
  • 個人和專業經歷/背景
  • 性別
  • 其他社群媒體帳號和使用者名稱

根據我們將樣本資料與其他公開可用資訊的分析與交叉檢測結果,所有資料似乎都是真的,且與真實用戶綁定在一起。此外,這些資料具備 2020 年到 2021 年的樣本,似乎也是最新的。

我們直接聯繫了在駭客論壇上公開出售資料的論壇用戶。他聲稱,透過劫持 LinkedIn API 的手法,以收集人們上傳到 LinkedIn 官網上的資訊。

雖然外洩資料不含密碼,但對有心駭客而言仍極具價值,因駭客可盜用身分,亦可發動容易誤信的網路釣魚攻擊,這些攻擊本身也可獲取 LinkedIn 及其他網站的登錄憑證。

前一次大規模資料外洩事件,LinkedIn 確認共 5 億筆資料外洩,包括從伺服器獲得,但同時聲稱也有從其他來源獲得。PrivacyShark 指出,LinkedIn 這次也發類似聲明:

雖然我們仍在調查這問題,但初步分析表明,資料集包含從 LinkedIn 擷取的資訊,以及從其他來源獲得的資訊。這不算是 LinkedIn 資料外洩,調查已確認,並沒有外洩 LinkedIn 會員個資。凡是從 LinkedIn 擷取資料的行徑,皆違反我們的服務條款,我們一直努力確保會員隱私受保護。

但無庸置疑的是,如今確實有人能大剌剌從 LinkedIn 官網攔截上億筆紀錄,無論是用 API 漏洞還其他手法,絕對是安全漏洞,也是重大資料外洩事件。

(首圖來源:LinkedIn