4个月里第3次!高达6亿份LinkedIn个人数据被出售 – 作者:中科天齐软件安全中心

来自网络安全新闻团队的研究人员再次发现,威胁行为者出售从该平台上抓取的6亿份 LinkedIn个人资料。

在过去四个月里,LinkedIn似乎第3次经历了另一次由恶意行为者进行的大规模数据抓取。数以亿计的用户个人资料数据档案出现在黑客论坛上,目前正在以未公开的价格出售。

图片[1]-4个月里第3次!高达6亿份LinkedIn个人数据被出售 – 作者:中科天齐软件安全中心-安全小百科

他们还声称,这些数据是新的,比前几次收集到的数据“更好”。

图片[2]-4个月里第3次!高达6亿份LinkedIn个人数据被出售 – 作者:中科天齐软件安全中心-安全小百科

作者共享的档案样本包括全名、电子邮件地址、用户社交媒体帐户的链接以及用户在其 LinkedIn个人资料中公开列出的其他数据点。

虽然不是很敏感,但恶意行为者仍然可以使用这些信息根据犯罪分子喜欢的社会工程方法快速轻松地找到新的目标。

LinkedIn拒绝将恶意抓取视为安全问题,这可能使网络犯罪分子能够不受惩罚地收集有关新受害者的数据。然而,这家社交媒体平台对此事持不同意见:

“我们的团队调查了一系列涉嫌出售的LinkedIn数据。我们要明确表示,这不是数据泄露,也没有泄露LinkedIn成员的私人数据,”LinkedIn在6月29日关于之前的数据抓取(恶意行为者从7亿个人资料中收集数据)的声明中说。

尽管 LinkedIn 的代表说没有泄露私人数据是正确的,但大规模收集公开可用的信息仍然会使用户面临垃圾邮件和网络钓鱼攻击的风险。

网络攻击者出售的数据都有什么?

从作者分享的样本来看,这些档案似乎包含从LinkedIn个人资料中收集的各种公开可用的专业信息,包括:

领英 ID

全名

电子邮件地址

电话号码

LinkedIn个人资料URL

其他社交媒体资料的链接

性别

出生日期

地址

职称和其他工作相关数据

论坛帖子作者提供的样本包含632,699个LinkedIn个人资料条目,其中包括154,204个用户电子邮件地址。

从样本中抓取数据的示例:

图片[3]-4个月里第3次!高达6亿份LinkedIn个人数据被出售 – 作者:中科天齐软件安全中心-安全小百科

泄露的LinkedIn个人资料数据

幸运的是,档案中似乎没有包含诸如个人消息内容、文档扫描或信用卡信息这样的高敏感度数据。话虽如此,即使是电子邮件地址或电话号码也足以让持续存在的网络犯罪分子对其受害者造成伤害。

数据被搜集很危险,因为这可让犯罪分子轻松找到新目标

尽管从6亿份LinkedIn个人资料中收集的数据不是由于泄露而获得,但允许第三方大规模抓取LinkedIn用户个人资料可能会导致这些用户受到恶意行为者以各种方式的攻击。

例如,网络钓鱼者和垃圾邮件发送者经常使用从抓取工具获取的数据来寻找新的受害者:他们可以提取抓取的公共联系方式并将其用于自动电话、垃圾邮件列表和社会工程攻击,从而网络钓鱼者和诈骗者可以尝试操纵用户透露他们的个人信息和银行信息。这就是许多web应用程序使用抓取缓解工具的原因,这些工具有助于防止机器人和威胁参与者收集恶意数据。

在过去的四个月里,LinkedIn经历了3次大规模的爬虫事件,但其似乎仍然没有认真对待恶意抓取。犯罪分子似乎仍然能够在几乎不受阻拦的情况下收集用户相关信息,这使得LinkedIn拒绝通过实施强有力的反抓取措施来打击第三方抓取变得更加复杂。

如果您受到影响了怎么办?

如果您怀疑您的LinkedIn个人资料数据可能已被威胁者窃取,我们建议您:

从您的公开LinkedIn个人资料中删除您的电子邮件地址和电话号码,以避免将来被恶意第三方窃取。

更改您的LinkedIn和电子邮件帐户的密码。

在您的所有在线帐户上启用双因素身份验证 (2FA)。

警惕社交媒体上的可疑消息和陌生人的联系请求。

考虑使用密码管理器创建独特的强密码并确定存储安全。

此外,要谨防网络钓鱼电子邮件和短信。同样,不要点击任何可疑的链接或回复任何你不认识的人。

个人数据安全需重视

随着信息技术和人类生产生活交汇融合,各类数据迅猛增长、海量聚集,对经济发展、人民生活产生了重大而深刻的影响。“十四五”规划和2035年远景目标纲要明确提出,加强涉及国家利益、商业秘密、个人隐私的数据保护,加快推进数据安全、个人信息保护等领域基础性立法,强化数据资源全生命周期安全保护。相关针对数据安全的监管行动也不断展开。最新一批工信部通报下架今年第5批侵害用户权益APP共计48款,此前中国打车龙头企业滴滴疑因个人数据安全问题被下架,这说明国家开始高度重视网络数据安全问题。

确保数据安全的同时也需要软件安全。确保软件安全是网络安全的最后一道防线。通过加强软件安全避免遭受网络攻击,可以降低数据泄露的概率保障数据安全。

参读链接:

https://www.woocoom.com/b021.html?id=d11a092c303c4a8a85671a6105525f69

https://securityaffairs.co/wordpress/120009/cyber-crime/600m-linkedin-profiles-scraped.html

http://news.sina.com.cn/c/2021-07-12/doc-ikqciyzk4888815.shtml

来源:freebuf.com 2021-07-14 10:10:46 by: 中科天齐软件安全中心

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享