• 發布單位:TWCERT/CC
• 更新日期:2021-04-09
• 點閱次數:3076

繼 5.33 億名 Facebook 用戶個資在駭侵相關討論區遭免費公開後，LinkedIn 的近 5 億用戶個資，也被張貼到駭侵討論區中求售。

繼 5.33 億名 Facebook 用戶個資，在駭侵相關討論區遭免費公開後，全球最大的求職求才社群平台 LinkedIn 也有近 5 億用戶個資，被不明駭侵者張貼到駭侵討論區中求售。

資安專家發現在一個知名的駭侵者相關討論區中，有一篇貼文試圖販賣 5 億個以不明方法搜刮而來的 LinkedIn 用戶個資，欄位包括用戶的 LinkedIn ID、 Email 信箱、手機號碼、完整姓名、性別、LinkedIn 個人檔案連結、用戶在其他社群平台的個人檔案連結、工作職稱、經歷、履歷等資訊。

被放上駭侵討論區求售的檔案，一共分成四個；貼文者開價不低於四位數的金額；貼文者另外也釋放出一個含有 200 萬用戶個資料檔案，供有意購買者，以一個 LinkedIn 用戶以若干該討論區點數（約美金 2 元）的價格，用以驗證資料的正確性。

資安媒體 Cybernews 驗證部分資料後，證實不明駭侵者張貼的這批資料，確實是取自 LinkedIn，但目前無法確認貼文者是用什麼方法取得這些資料，也無法得知這些資料是在何時取得的。

雖然這批外洩資料含有相當多 LinkedIn 用戶的個資欄位，但並不包括 LinkedIn 用戶的登入資訊和金流支付資訊；資安專家警告，即使這些資料無法直接用於竊取用戶登入權限，但在駭侵者手中，仍足以用來發動進一步的攻擊，例如魚叉式釣魚攻擊、假冒真實用戶騙取更多資訊的社交工程攻擊，或是用以進行暴力試誤登入等。