语音钓鱼引发的安全漏洞
近日,专注于身份防盗与在线安全保护的公司Aura发布声明,确认公司内部发生了一起严重的数据泄露事件。据公司透露,此次攻击的起因是一名员工遭遇了精准的“语音钓鱼”(Vishing)攻击,导致攻击者获得了访问权限。此次泄露的数据总量约为90万条,主要包含姓名及电子邮件地址。
Aura作为一家定位为“全方位数字安全”的科技公司,其核心业务涵盖身份防盗、信用与欺诈监控,以及在线防钓鱼工具。然而,讽刺的是,这家本应为用户提供安全屏障的公司自身却成了攻击者的目标。
泄露数据的来源与范围
根据Aura的后续说明,这90万条泄露记录并非全部属于其现有客户。这些数据源于Aura在2021年收购的一家公司所使用的营销工具。在被泄露的记录中,仅包含约2万名现任客户和1.5万名前客户的敏感信息,其余大部分为营销联系人名单。
Aura官方强调,此次泄露的信息仅限于全名、电子邮件地址、家庭住址和电话号码。公司特别指出,社会安全号码(SSN)、账户密码以及银行财务信息均未受到此次事件的影响。然而,数据泄露监测服务平台“Have I Been Pwned”(HIBP)在分析泄露数据后指出,除上述信息外,客户服务评论和IP地址也遭到曝光。
勒索组织ShinyHunters的介入
此次攻击事件背后,臭名昭著的黑客组织ShinyHunters声称对该事件负责。该组织在其数据勒索网站上发布了约12GB的被盗文件,其中包括个人身份信息(PII)及部分企业内部数据。ShinyHunters声称,他们曾试图与Aura进行协商,但因双方未能达成协议,最终选择将数据公开。
对于HIBP报告的约90.1万条受影响账户数据与Aura官方口径存在的微小差异,Aura方面坚持其统计数字准确,并将差异归结为收购历史数据管理的复杂性。目前,Aura拒绝就ShinyHunters的勒索声明及有关Okta单点登录(SSO)被入侵的传言发表进一步评论。
应对措施与后续影响
面对此次安全危机,Aura表示正在与外部网络安全专家合作进行深入的内部审查,并已向执法部门报案。公司承诺,将尽快向所有受影响的个人发送个性化通知,告知其信息泄露的具体情况。
值得注意的是,HIBP指出,此次泄露的电子邮件地址中,有90%此前已在其他安全事故中被泄露过。这一事实再次提醒广大用户,在多平台使用相同凭证的风险极高。对于Aura而言,如何重塑客户信任,并加强员工防范社会工程学攻击的意识,将是其未来一段时间内面临的核心挑战。
