两个月前,领英(LinkedIn)曾被曝出有 5 亿用户的个人资料被黑客挂在论坛上叫卖。 近日,又有一位名叫“TomLiner”的卖家在兜售宣称包含了 7 亿条记录的文件。 这位“GOD User”还在 RaidForums 论坛上挂出了一份百万级的样本,以证实其确实已于 6 月 22 日持有 7 亿条记录。
而后 Privacy Shark 研究人员证实,其中确实包含了用户全名、性别、电子邮件、电话号码、以及所属行业等信息。
在与 LinkedIn 官方联系求证后,Leonna Spilman 给出了如下声明:
尽管我们仍在调查过程中,但初步分析已表明数据集合中包括了从 LinkedIn 上抓取的信息、以及从其它来源获得的信息。
这不是所谓的 LinkedIn 数据泄露,相关调查并不涉及用户的私人数据。LinkedIn 一直在努力确保会员的隐私得到有效保护,但从平台上扒取数据的行为,还是违反了网站的服务条款。
至于本次事件是否与上次泄露的性质相同,LinkedIn 方面亦在一份声明中指出:
之前的数据泄露,包含了来自多个网站与企业的数据汇总,以及公开可查的会员资料数据。
但从技术层面来看,它并不涉及违例,因为并没有发生私密信息被盗的情况。
基于此,Privacy Shark 认为本次叫卖的所谓 7 亿条记录,似乎又是此前泄露数据的累积,相关来源可能包括了公共与私人资料。有兴趣深入调查的网友,也请不要助长倒卖者的牟利行为。
至于本次事件给 LinkedIn 用户意味着什么,首先是他们的个人资料会被某些买家拿去用于发送垃圾邮件。更糟糕的情况,甚至会让他们成为身份被盗用的受害者。
其次,就算这些记录不包含信用卡等隐私信息,熟练的黑客仍可仅通过电子邮件地址来追踪敏感数据,且 LinkedIn 用户可能成为钓鱼邮件或诈骗电话的受害者。
最后,受信息泄露影响的 LinkedIn 用户需要防范暴力攻击,比如黑客可能尝试各种密码来暴力破解受害者的账户,甚至投送具有针对性的广告。
综上所述,尽管密码和电子邮件地址组合不是近期泄露的一部分,大家最好还是在使用线上服务时注意适当的防护。
除了定期更换和为不同服务设置不同的强密码,还得启用双因素身份验证来防范暴力攻击。
如不确定自己是否已经躺枪,可通过 Have I Being Pwned 等靠谱的网站,来检查你的电子邮件地址或电话号码是否已被卷入任何形式的数据泄露事件。
