Facebook与领英各泄露超 5 亿用户数据 | 你收到的offer可能是黑客在钓鱼

自 2020 年疫情催生远程办公后，数据泄露事件似乎达到了历年来的顶峰。1 月份，我们曾对 2020 年较为重大的泄露事件进行盘点，发现有很多泄露的信息都以“亿”为单位计算。最近一周，Facebook 泄露 5.33 亿用户数据、领英泄露超 5 亿用户数据，更是验证了信息泄露的常态化和大规模化……

4 月 3 日，某黑客论坛公布超过 5.33 亿 Facebook 用户数据，包括 3200 多万条美国用户记录，1100 万条英国用户记录和 600 多万条印度用户信息，共涉及到 106 个国家，Facebook CEO 扎克伯格本人以及欧盟司法专员 Didier Reynders、卢森堡首相 Xavier Bettel 等数十名欧盟官员都中招。样本显示，泄露的数据包括用户Facebook ID、手机号码、姓名、性别、位置、社交关系、职业、出生日期和邮件地址等。

Facebook 声明，黑客利用的是 2019 年Facebook “同步联系人”工具的漏洞，获取到 Facebook 用户的手机号码信息。而在 2019 年漏洞出现后，就得到了修复。同时，Facebook发言人还说，遭窃的数据不包括用户的财务、健康和密码信息，考虑到用户无法自行修补漏洞，且这些用户的数据已经被公布于网络，因此决定不再专门通知相关用户。

但是，就算不涉及密码，这些数据依旧能成为进一步攻击的敲门砖，对用户个人乃至企业都造成影响。看来剑桥分析事件之后美国联邦贸易委员会开出的 50亿美元罚单以及今年 1 月份美国联邦政府开出的 6.5 亿罚单并没有让 Facebook 更重视用户隐私。

4 月 6 日，Cyber News 报道，领英超 5 亿用户数据在黑客论坛出售。售卖者放出了 200 万数据样本证实真实性。泄露的数据包括用户姓名、性别、教育经历、工作经历、邮箱、手机号及其它社交媒体链接等。

4 月 8 日，领英发布声明，表示被出售的LinkedIn数据确实是来自网站和公司的数据汇总，有一部分内容是可以公开查看的会员资料数据，并不是由于 LinkedIn 数据泄露，里面也不含LinkedIn的私人会员账户数据。

这个回复跟 Facebook 不能说非常接近，简直是如出一辙。目前，领英没有说是否会通知用户，但根据彭博社报道，意大利官方已经就隐私问题开始调查领英。

就在 Cyber News 报道领英数据泄露的前一天，网络安全公司 eSentire 公开最近出现的一种新型网络钓鱼攻击：收集受害者的 LinkedIn 资料，发送与受害者在 LinkedIn 上意向职位接近的虚假工作邮件，在邮件中植入木马，感染受害者系统，并将系统访问权限出售给其他网络犯罪团伙。

这是一种典型的鱼叉式钓鱼攻击，危害在于攻击者利用疫情以来很多人在网上找工作的大环境，在获取了受害者信息后，进行精准邮件投放。同时，攻击者通过常见方式发送邮件，难以被杀毒软件识别，所以很具有迷惑性，容易让人上当。

无独有偶，谷歌安全团队发现，今年年初那个“社工安全研究员、不讲武德”的黑客团体，也成立了一家公司，并把阵地转移到了领英，号称要招聘网络安全人才，实际是开始了新一轮的社工。

谷歌安全团队发现的两个伪装身份的领英账号

https://blog.google/threat-analysis-group/update-campaign-targeting-security-researchers/

也许，Facebook 和领英这一轮用户信息大公开，又为攻击者提供了大批新鲜目标……

疫情以来，远程办公的人数不断增加，而在家办公的网络环境不如企业网络环境安全性高。黑客可以将家庭网络中的任意弱点（如物联网设备漏洞等）作为跳板，获取用户信息作为入侵企业内网的凭证，或通过通过跳板入侵 VPN 进一步攻入企业内网。在 GeekPwn 2020 大赛现场，已经有选手展示过类似的风险。

完整版可点击下方链接查看 

https://www.bilibili.com/video/BV1Gt4y1C7ws?p=22

另一方面，尽管大批量用户信息的售价并不高：领英的 5 亿多用户数据打包售价最低为几千美元，在泄露 Facebook 数据的论坛中，只需要使用价值不到 3 美元的积分，就能查看这些数据。然而，利用这些信息进行勒索或发动其他攻击所带来的利益，足以成为黑客获取隐私信息的动力，他们可能通过爬虫、漏洞利用等不同方式，各处搜集信息。

泄露一旦发生就无法挽回。Facebook 和领英可能会接受进一步调查，受到相应惩罚或约束。而对于用户来说，能做的是后续的防范：利用 Have I Been Pwned 网站或者 Nordpass 网站，检索自己邮箱、手机号、密码是否被泄露及泄露范围。然后尽快修改密码。

在后续收到陌生邮件时，尤其是含有“工作机会”字眼的邮件，就算姓名等信息都对，也不要轻易打开。有陌生人通过搜索手机号添加好友，多留个心眼。在各类社交软件的隐私设置中关闭位置信息、关闭手机号搜索、增加验证条件。警惕杀猪盘及各类诈骗，遇事三思……

在此前的《明星健康宝照片 2 元 70 张？@所有粉丝，你爱豆的隐私信息又又又泄露了……》和《2021 开年暴击 | 从源代码到信用卡，还有什么是不会泄露的吗？》推文中，我们也分享过一些应对和防护方法。可点击相应文字查看。

*参考来源：

cybernews; theverg; eSentire 等

*https://nordpass.com

*https://haveibeenpwned.com