【私隱危機】LinkedIn 12 億數據抓取受害者恐已成網絡攻擊目標
網絡私隱問題一直令人擔心,但若放在社交媒體的資料被錯誤利用,又該如何處理?早前求職社交平台 LinkedIn 有 88,000 名美國企業主的完整數據庫,被發布在黑客論壇中,逾 12 億項資料經數據抓獲曝光。就在針對 LinkedIn 的數據抓取事故被發現幾天後,一個黑客論壇出現證據,而這些資料正被整理和完善以識別特定目標,意味著或將有針對 LinkedIn 用戶的攻擊發生。
威脅者在 RaidForums 的地下市場,發布了含有 7 億份 LinkedIn 用戶文件的個人資料作兜售,因而揭發數據抓取事件。發現事件的 Privacy Sharks 研究人員指,威脅者後來稱有 10 億條記錄在手。最新的數據抓取是在 4 月份的一項操作之後發生,該事故令 5 億 LinkedIn 用戶資料曝光。據指,一共至少有 12 億條用戶記錄,甚至更多的個人和專業用戶,將面臨網絡釣魚、勒索軟件、顯示名稱的詐騙行動。
據 CyberNews 報導,一個包含 88,000 名美國企業僱主的個人資訊的數據庫,早前在 RaidForum 上遭共享,該數據庫發布者稱,該數據庫專門隔離了過去 90 天內換過工作的美國企業僱主。值得注意的目標數據庫包括全名、電子郵件地址、工作詳細資料,以及在 LinkedIn 上公開列出的其他相關資料。而這群剛開始新工作,忙於與新同事打交道的群組,可能很容易被誘騙點擊惡意連結。
LinkedIn 回應時承認事件是濫用 LinkedIn 內的數據,但指由於這些都是公開的資料,技術上來說不是違規行為。LinkedIn 回應 Threatpost 的聲明中指出,其團隊已在調查一系列涉嫌出售的 LinkedIn 數據的事件,但表明這次事故不是數據洩露,也沒有洩露任何 LinkedIn 成員的私人數據。Threatpost 問及 LinkedIn 是否已經或計劃實施對數據抓取的保護時,LinkedIn 發言人沒有直接置評,但強調該公司正積極努力保護會員的資料,並表示從 LinkedIn 抓取數據的行為,違反了平台的服務條款,當有人試圖獲取會員數據並將其用於未經 LinkedIn 和會員同意的目的時,LinkedIn 會努力阻止他們,並追究責任。
KELA 的威脅情報分析師 Victoria Kivilevich 向 Threatpost 透露,她們已獲得威脅者所分享的樣本記錄,指根據她們對數據集中可用字段標題的審視,該公司「非常有信心地」評估出這一系列的數據資料,是透過加拿大銷售自動化平台 Growth Genius 公司的 API 抓取的。
數據抓取即是在未經數據被抓取者明確許可的情況下,遭從網站提取數據的過程。IDX 總裁兼首席執行官 Tom Kelly 向 Threatpost 解釋時指,數據抓取通常很危險,因為它會令用戶的個人身份信息 (PII) 變得脆弱,或導致個人私隱受損害。數據抓取可為網絡犯罪分子和黑客打開大門,讓他們使用這些資料,發動進一步的網絡攻擊,並使黑客能夠進行非常有效的魚叉式網絡釣魚攻擊。
數據抓取並不是第一次發生,早於今年 4 月,據指超過 5.33 億 Facebook 用戶的數據,在 2019 年 9 月被抓取。不過 Paubox 創始人兼首席執行官 Hoala Greevy 指,LinkedIn 的公共數據對威脅者來說更有價值,因為可以從 LinkedIn 收集的商業智能。Paubox 表示,現時用戶都刻意保持他們的 LinkedIn 個人資料是最新的,職位和現任僱主在 LinkedIn 上得到了特別的修飾,但如果可以大規模抓取這些信息,就可以確定每個人的工作地點,以及他們在組織架構圖中的位置。
Paubox 更指,如果不法分子能夠繪製出一個組織的組織結構圖,他們就可以利用它來發動顯示名稱欺騙攻擊,這些攻擊是有針對性的網絡釣魚攻擊,以電子郵件的顯示名稱字段來冒充公司高層;而這種攻擊之所以有效,是因為 70% 的員工都是以智能手機閱讀電郵。