前段时间,在某个黑客论坛上,包含5亿个LinkedIn用户个人资料的数据档案被出售,不久后,在地下论坛又出现了包含7亿条LinkedIn用户记录的新帖子。这两个事件是否有关联关系呢,目前还没有办法确认。相比上次泄漏的数据,这次泄漏的数据增加了2亿条。
在RaidForums论坛一个名叫TomLiner的黑客正在出售数据,其称共有7亿条数据,还能查看部分样本来确保数据的真实性。
研究人员对其提供的样本进行检查后发现,这批数据中包含全名、性别、电话号码、电子邮件地址以及行业信息。但是对于数据的来源目前并不清楚。几个月前,LinkedIn平台的5亿条数据被泄漏后,官方表示,被泄漏的信息是来自多个公司和网站的数据汇总以及可以公开查看的会员资料数据。但是对于这次事件,LinkedIn虽然对数据泄漏的具体原因进行调查,但是他们否认这是一起网络攻击事件。根据初步分析,可能是恶意分子违反了LinkedIn的服务条款进行了非法的数据抓取,而非数据泄露。
被泄漏数据的用户可能会因此而收到垃圾邮件的目标,或者被身份盗用,还有可能被通过邮件地址追踪到其他敏感信息,并由此成为暴力攻击、网络钓鱼邮件、勒索等行为的受害者。因此用户亟需更新密码或者启用双因素身份验证来保护自己的账户。
根据我国网络安全法“谁收集,谁负责”的基本原则,平台需要加强对用户信息的保障,那么我们的应用在上线前就需要做好充分的安全测试,确保用户信息安全。道普云测试平台可以提供静态代码分析工具Fortify 和动态应用程序测试工具WebInspect的免费试用,欢迎大家申请体验。