上周電腦大廠Dell爆發4,900萬筆用戶個資外洩,媒體《Bleeping Computer》報導,駭客是利用Dell合作夥伴的API漏洞,得以竊取到用戶個人及設備資訊。
此事是在多名用戶反映接到Dell資料外洩的通知,疑似證實4月底《The Daily Dark Web》的報導。該報導指一名代號為Menelik的駭客在地下論壇上兜售4,900萬筆消費者個人及公司用戶資料,涵括用戶名及客戶號碼、住家地址、獨特的系統7位數服務標籤、出貨日期、監視器序列號碼、Dell訂單號碼等。這些用戶分布美、加、澳、中國、印度等國。
Menelik周五向《Bleeping Computer》透露取得這些資料的方法。他是先找到Dell提供給經銷商、零售商等合作夥伴的入口網站,然後以假公司身分註冊多個帳戶,這些只要到Dell網站上填上申請表即可存取網站,也無需驗證。駭客開發了一支能產生7位數服務標籤的程式,於3月上傳Dell入口網站,並利用該程式下指令查詢,並蒐集網站回傳的用戶資料。此外,由於Dell系統未設定流量限制,因此駭客以每分鐘5,000次呼叫網站長達3周,都沒有遭到Dell網站阻撓。
這名駭客也透露,外洩資料包含來自美、加、澳洲、中國與印度的個人及消費產業公司。他還透露,用戶使用的裝置涵括監視器、Chromebooks、Alienware、Optiplex、Latitude筆電、Inspiron筆電、Inspiron桌機、Poweredge、Precision、Vostro、XPS等品牌。
駭客並說在4月中曾以電子郵件聯繫Dell告知有漏洞,但始終沒有獲得Dell回應。他最後將部分資料上傳駭客論壇並求售。其貼文之後遭論壇版主刪除。
Dell回應媒體,證實有接獲駭客聯繫。Dell以已經報警,執法機關正在調查為由未透露其他細節,也說已經修正了網站問題。但Dell堅稱公司在駭客聯繫前即已偵測到惡意活動。
熱門新聞
2024-12-08
2024-12-08
2024-11-29