《华盛顿邮报》上周四告知用户,其招聘网站遭到黑客攻击,大约127万用户的ID和电子邮件地址被泄露,但用户密码等其它个人信息未受影响。
华盛顿邮报对黑客入侵事件发表了正式声明,称:“我们非常认真地对待这次事件,出事后很快地确认了漏洞并将其关闭,我们正在推动执法部门解决此事。我们诚挚地对给用户带来的不便表示道歉。”
此外,《华盛顿邮报》还告诫用户,警惕由此带来的网络钓鱼诈骗,不可轻易提供个人隐私信息,尤其是银行卡密码等关键信息,或点击邮件中的可疑链接;(《华盛顿邮报》告知用户,他们绝不会要求用户通过邮件的方式提供个人敏感信息)并称已经采取了增强的新措施以防范未来的类似攻击,而且正在对就业招聘网站进行全面的安全审计。
遭黑后遗症
安全专家认为,由于密码没有被盗,用户即使在其他网站上使用了与之相同的密码,也无须修改这些账户的密码。
但是被盗的邮箱地址可以被用来进行钓鱼攻击——通过社会工程技巧,给受害者发送邮件,引诱受害者提交敏感信息,或者安装恶意应用程序。例如,黑客可能会发送自称来自于《华盛顿邮报》的邮件,诱使收件人泄露自己的密码或信用卡信 息。
应用安全首席技术官(CTO)Josh Shaul表示,求职者尤其易于上网络钓鱼的当,因为他们会经常查看自己的邮箱以获取潜在雇主的招聘信息。此外,对于那些有工作但依旧在寻找更好工作的人来说,他们也不愿自己的信息被老板看到。甚至,他们的信息可能会被用于敲诈受害者。
从攻击者的角度来看,此次攻击收获了127万邮箱地址,这在垃圾邮件的地下市场将能卖出一定的价格。因此,或可推断此次攻击是以获取经济利益为目的。
