短短4个月以来,社交巨头LinkedIn已经经历了三轮大规模用户个人资料恶意抓取泄露,规模均为数亿级别:5亿、7亿、6亿;
LinkedIn拒绝将恶意抓取视为安全问题,但这显然会令犯罪分子更加肆无忌惮,以不受任何惩罚的方式收集更多受害者的数据。
短短四个月来,LinkedIn已经经历了两次大规模数据泄露事件,如今第三次泄露又“如约而至”。近日,数亿名LinkedIn用户的个人资料再度出现在黑客论坛上,不过销售价格暂未公开。这一次,论坛用户发帖称出售的信息来自共6亿份LinkedIn个人资料。对方表示,此次出售的数据是最新的,而且质量要比之前收集的数据“更好”。在论坛公布的样本数据中,可以看到相关用户的全名、邮件地址、社交媒体账户链接以及用户在自己LinkedIn个人资料中公开的其他数据等。虽然看似不太敏感,恶意攻击者仍然可以利用这些信息通过社会工程方式轻松找到新的侵扰目标。LinkedIn拒绝将恶意抓取视为安全问题,但这显然会令犯罪分子更加肆无忌惮,以不受任何惩罚的方式收集更多受害者的数据。在6月29日发布的声明中,LinkedIn针对攻击者从7亿份个人资料中收集数据的行为表示,“我们的团队调查了一组涉嫌在线销售的LinkedIn数据。需要明确指出,事件并不属于数据泄露,也不存在任何LinkedIn用户私人数据外泄情况。”这么讲虽然有那么几分道理,但这种大规模收集公开信息的行为,仍然会极大提升用户面临垃圾邮件及网络钓鱼攻击的风险。恶意人士出售的是什么数据?
从帖子作者发布的样本来看,归档文件似乎包含收集自LinkedIn个人资料的各类公开职业信息,包括:LinkedIn ID
全名
电子邮件地址
电话号码
LinkedIn个人资料URL
指向其他社交媒体资料的链接
性别
出生日期
所在地
职称及其他工作相关数据
帖子作者发布的样本中包含632699个LinkedIn个人资料条目,其中包含154204个用户电子邮件地址。样本中的数据示例:幸运的是,归档文件中似乎并不涉及个人消息内容、文档扫描或信用卡详情等高度敏感信息。话虽如此,网络犯罪分子单凭电子邮件地址或电话号码也足以对受害者开展持续侵扰。恶意抓取数据很危险,
攻击者能够借此轻松找到新的攻击目标
虽然这6亿份LinkedIn个人资料数据不算是违规泄露,但这种允许第三方开展大规模用户资料抓取的现状很可能导致众多LinkedIn使用者遭受攻击影响。例如,网络钓鱼攻击者及垃圾邮件发送方完全可以使用这些抓取数据寻找新的目标:他们可以收集抓取到的公开联系方式,并借此实施自动呼叫、垃圾邮件列表以及社会工程攻击,进而诱导用户透露自己的更多个人身份及财务信息。也正因为如此,大部分Web应用程序才会使用相关工具防止爬网程序及恶意人士大量收集这类数据。算上这一次,LinkedIn公司在短短四个月当中已经遭遇三轮大规模数据抓取事件,但这家职场社交巨头对此似乎仍然态度消极。犯罪分子仍能够在几乎毫无反抗的情况下收集用户相关信息,很难理解LinkedIn为什么不上线强大的反抓取机制以打击这批恶意第三方。受影响用户该怎么办?
如果您怀疑自己的LinkedIn个人资料数据可能已经被恶意人士抓取,我们建议您:在公开的LinkedIn个人资料中删除电子邮件地址及电话号码,避免后续再次被恶意第三方所窃取。
更换LinkedIn与电子邮件账户密码。
在所有在线账户上启用双因素身份验证(2FA)功能。
当心社交媒体上的可疑消息与来自陌生人的连接请求。
考虑使用密码管理器创建唯一强密码并安全存储。
此外,请关注您是否收到网络钓鱼邮件和短信。同样的,万勿点击任何可疑内容或回复您不认识的人。