Linkedin 今年 4 月已發生過一起 5 億用戶個資外洩事件，然而這樣的情況在本月再次發生，造成了嚴重的影響。

據研究人員稱，在一個駭客論壇上出現了一個擁有 7 億筆 Linkedin 記錄的新帖子。來自 Privacy Sharks 的分析師偶然發現了一個自稱 「GOD 用戶TomLiner 」的駭客今年 6 月 22 日在 RaidForums 上出售數據，聲稱緩存中包括 7 億筆 Linkedin 資料，並提供100萬筆資料的樣本作為 「證明」。Privacy Sharks 檢查了這些免費資料，裡頭包括全名、性別、電子郵件地址、電話號碼和行業信息。目前還不清楚這些數據的來源是什麼--但對公共資料的抓取（web-scraping）可能是原因，也是4月份外洩的 5億筆LinkedIn資料的背後引擎。當時外洩的資料包含 「來自一些網站和公司的數據匯總」，以及 「可公開查看的會員資料數據。」

Linkedin表示，其網路沒有被入侵。

「雖然我們仍在調查這個問題，但我們的初步分析表明，數據集包括從LinkedIn刮取的信息以及從其他來源獲得的信息。這並非來自LinkedIn的數據泄露，我們的調查已經確定，沒有任何LinkedIn的私人會員數據被暴露。從LinkedIn刮取數據違反了我們的服務條款，我們一直在努力確保我們會員的隱私得到保護。」—— Linkedin

Privacy Sharks 在其文章中指出 「這一次，我們無法確定這些記錄是否是以前的違規行為和公共檔案的數據累積，或者這些信息是否來自私人賬戶，我們採用嚴格的政策，抵制被盜數據的賣家，因此並沒有購買泄露的名單來驗證所有的記錄。」研究人員補充說，這次收集的記錄多了2億條，所以很可能是新的數據被颳走了，而且這不僅僅是前一組記錄的翻版。

好消息是，根據Privacy Shark的分析，信用卡數據、私人信息內容和其他敏感信息並不是該事件的一部分。但這並不是說沒有嚴重的安全影響。但駭客可能仍然能夠通過電子郵件地址追蹤到敏感數據。LinkedIn用戶也可能成為電子郵件或電話詐騙的受害者，這些詐騙欺騙他們交出敏感憑證或轉移大量資金」。

然後還有需要關註的暴力攻擊。研究人員警告說：「利用記錄中提供的電子郵件地址，駭客可能試圖使用各種常見密碼字元的組合來訪問用戶的賬戶。」

最後，這些數據對社會工程來說可謂是黃金。攻擊者可以簡單地訪問公共檔案來鎖定某人，在一個地方有這麼多記錄，就有可能利用用戶的工作和性別等細節信息自動進行有針對性的攻擊。駭客可以針對LinkedIn上的求職者，提供虛假的工作機會，使他們感染後門木馬。例如，Golden Chickens集團就使用了這種帶有LinkedIn誘餌的個性化釣魚攻擊。

用戶應該通過更新密碼和啟用雙因素認證來保護他們的LinkedIn賬戶。

參考資料：
https://threatpost.com/data-700m-linkedin-users-cyber-underground/167362/