家得宝证实第三方数据泄露事件导致员工信息遭暴露

家得宝是全球最大的家装零售商，位于北美地区拥有2300多家商店，员工数量超过47.5万名。上周四，威胁行动者 IntelBroker 在一个黑客论坛中泄露了约1万名家得宝员工的数据。该论坛帖子指出，“2024年4月，家得宝遭数据泄露事件，1万名员工的企业信息被暴露。”

家得宝证实称，其第三方 SaaS 厂商错误地暴露了员工数据样本。该公司提到，“一家第三方 SaaS厂商不可避免地公开了包含员工姓名、工作邮件地址及用户身份的少量样本。”虽然该数据的敏感性并不高，但可被威胁行动者用于针对性钓鱼攻击中。

这些钓鱼攻击可收集更多敏感信息如家得宝凭据，之后被出售给其他威胁行动者或用于攻陷公司网络，窃取企业数据或部署勒索软件。为此，家得宝的所有员工应警惕包含要求企业凭据或其它信息的页面链接邮件。一旦收到，应当告知家得宝IT团队以验证真实性。

IntelBroker 是一家为人熟知的威胁行动者，后者此前攻陷负责管理美国众议院成员、员工及其家庭人员的医疗计划。该事件引发大量媒体关注，国会也进行了相关听证会。影响人员达到17万名，包括美国众议院成员和员工等。其它与该组织相关的网络安全事件包括 PandaBuy、Acuity、HPE、Weee! 百货店服务以及 General Electric Aviation等。