高達(dá) 7 億 LinkedIn 用戶的數(shù)據(jù)被擺在網(wǎng)上公然出售��,此次事件也成為迄今為止規(guī)模最大的 LinkedIn 數(shù)據(jù)泄露���。
很多朋友安心把個(gè)人數(shù)據(jù)交付給 LinkedIn���,相信他們有能力得到安全而妥善的保管。但真是這樣嗎�?截至 2021 年,LinkedIn 已經(jīng)先后曝出兩起安全事故�,證明不法分子有意愿、也完全有能力從這套職場(chǎng)網(wǎng)絡(luò)平臺(tái)當(dāng)中收集到可觀的用戶數(shù)據(jù)����。
由此產(chǎn)生的影響也極為廣泛����,包括身份盜用、網(wǎng)絡(luò)釣魚(yú)攻擊�����、社會(huì)工程攻擊等等。在深入探討最新事件的后果之前��,讓我們先來(lái)回顧一下事件過(guò)程�。
1到底怎么回事?
今年 6 月 22 日���,某黑客通過(guò)論壇賬戶宣布將出售高達(dá) 7 億 LinkedIn 用戶的個(gè)人數(shù)據(jù)���。為了證明所言非虛,該賬戶甚至發(fā)布了一份包含 100 萬(wàn) LinkedIn 用戶數(shù)據(jù)的樣本��。我們檢查了樣本內(nèi)容��,并發(fā)現(xiàn)其中包含以下信息:
這是我們見(jiàn)過(guò)的���、規(guī)模最大的 LinkedIn 數(shù)據(jù)泄露之一����。
該賬戶宣稱�,完整的數(shù)據(jù)庫(kù)中包含 7 億 LinkedIn 用戶的個(gè)人信息����?紤]到 LinkedIn 的用戶總量也不過(guò) 7.56 億��,這意味著有 92% 的 LinkedIn 用戶都受到此次事件的直接影響���。
下圖所示,為我們?cè)诠嫉臉颖緮?shù)據(jù)中看到的少部分內(nèi)容��,可以看到單一記錄中就包含有大量敏感數(shù)據(jù)�����。
在樣本中���,我們可以看到用戶全名�����、LinkedIn 用戶名����、Facebook 用戶名����、電子郵件賬戶���、手機(jī)號(hào)碼�、專業(yè)數(shù)據(jù)、推斷薪酬等等�。
根據(jù)我們的分析、樣本數(shù)據(jù)內(nèi)容以及結(jié)合其他公開(kāi)信息的交叉檢查���,似乎所有數(shù)據(jù)內(nèi)容都真實(shí)可信而且能夠與特定用戶關(guān)聯(lián)起來(lái)��。此外����,數(shù)據(jù)也相當(dāng)“新鮮”����,樣本部分主要來(lái)自 2020 年至 2021 年期間。
雖然我們?cè)跈z查的樣本中沒(méi)有找到任何登錄憑證或財(cái)務(wù)數(shù)據(jù)�����,但惡意分子仍然可以利用其中的信息獲取經(jīng)濟(jì)利益��。關(guān)于具體影響�,我們將在后文中做出剖析。
2數(shù)據(jù)是怎么泄露的�����?
我們直接聯(lián)系了在黑客論壇上發(fā)布數(shù)據(jù)以供出售的賬戶,對(duì)方宣稱這些數(shù)據(jù)收集自 LinkedIn 負(fù)責(zé)收集用戶上傳內(nèi)容的專用 API����。
截至撰稿時(shí),這部分?jǐn)?shù)據(jù)仍在公開(kāi)出售�。
我們還聯(lián)系了 LinkedIn,希望對(duì)方就最新數(shù)據(jù)泄露事件發(fā)表評(píng)論�����,但目前尚未收到回應(yīng)�。
3最新 LinkedIn 數(shù)據(jù)泄露可能產(chǎn)生哪些影響
雖然此次 LinkedIn 泄露中不包含任何財(cái)務(wù)記錄或登錄憑證,但仍有可能引發(fā)嚴(yán)重后果��。這 7 億用戶也許將面臨以下風(fēng)險(xiǎn):
身份盜用
網(wǎng)絡(luò)釣魚(yú)攻擊
社會(huì)工程攻擊
賬戶丟失
網(wǎng)絡(luò)犯罪分子可以將泄露文件中的信息與其他數(shù)據(jù)配合使用�����,借此整理出關(guān)于潛在受害者們的完整個(gè)人資料���。此外��,犯罪分子也可以利用用戶名�、電子郵件及個(gè)人信息等數(shù)據(jù)奪取其他網(wǎng)絡(luò)平臺(tái)賬戶��。
最重要的是�����,LinkedIn 用戶還可能因此面臨更為嚴(yán)峻的其他安全威脅�。
而個(gè)人數(shù)據(jù)一旦泄露,就再也無(wú)法真正挽回�����。
4個(gè)人數(shù)據(jù)泄露����,企業(yè)一方需不需要承擔(dān)經(jīng)濟(jì)責(zé)任?
這就引出了一個(gè)有趣的問(wèn)題——當(dāng)用戶數(shù)據(jù)被惡意人士所利用時(shí)���,企業(yè)一方需不需要承擔(dān)責(zé)任�?在此次案例中�,LinkedIn 服務(wù)器似乎并未受到黑客入侵,也不存在傳統(tǒng)意義上的真正“違規(guī)”�����。然而,黑客證實(shí)這部分?jǐn)?shù)據(jù)是經(jīng)由 LinkedIn 自己的 API(應(yīng)用程序接口)收集獲得的��。這么說(shuō)來(lái)��,社交網(wǎng)站該如何處理隱私倒成了最核心的問(wèn)題�。
或者說(shuō),在選擇使用社交網(wǎng)站的那一刻�����,我們普通用戶到底該對(duì)隱私風(fēng)險(xiǎn)做多少可能的預(yù)期��?
5數(shù)據(jù)落入他人手中����,風(fēng)險(xiǎn)也將隨之而來(lái)
之前已經(jīng)說(shuō)過(guò),這里再?gòu)?qiáng)調(diào)一次:任何掌握了您個(gè)人數(shù)據(jù)的企業(yè)����、個(gè)人或?qū)嶓w,都會(huì)給您帶來(lái)相應(yīng)風(fēng)險(xiǎn)�����。這種風(fēng)險(xiǎn)是大是小,具體取決于數(shù)據(jù)內(nèi)容�����、由誰(shuí)掌握以及意外丟失可能產(chǎn)生的影響���。為了盡可能降低這種風(fēng)險(xiǎn),用戶需要限制他人所能觸及的個(gè)人數(shù)據(jù)量���。
具體方法可能包括徹底退出所有社交網(wǎng)絡(luò)��、限制您發(fā)布的信息等等�。另外�����,大家也可以選擇那些以不獲取個(gè)人信息為賣點(diǎn)的產(chǎn)品與服務(wù)��。
當(dāng)然���,在保護(hù)個(gè)人信息的同時(shí)��,也請(qǐng)大家時(shí)刻做好攻勢(shì)來(lái)襲的準(zhǔn)備�。這是個(gè)網(wǎng)絡(luò)全球化的時(shí)代,最差的打算總是要做的�。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
