38億Clubhouse和Facebook用戶(hù)數(shù)據(jù)泄露被出售。

　　9月4日，有用戶(hù)在某知名黑客論壇出售一個(gè)包含38億Clubhouse和Facebook用戶(hù)記錄的數(shù)據(jù)庫(kù)。黑客稱(chēng)該數(shù)據(jù)庫(kù)中含有來(lái)自Clubhouse私密數(shù)據(jù)庫(kù)和用戶(hù)Facebook介紹中的38億手機(jī)號(hào)碼。

　　研究人員編譯發(fā)現(xiàn)該數(shù)據(jù)庫(kù)中包含用戶(hù)名、手機(jī)號(hào)和其他數(shù)據(jù)：

　　從出售數(shù)據(jù)的帖子來(lái)看，完整38億條記錄的售價(jià)為10萬(wàn)美元，同時(shí)黑客也可以將數(shù)據(jù)庫(kù)分割出售給有意愿購(gòu)買(mǎi)的買(mǎi)家。

　　目前，研究人員還未確認(rèn)該數(shù)據(jù)庫(kù)的真實(shí)性，但該數(shù)據(jù)庫(kù)有可能是黑客將泄漏的Facebook個(gè)人簡(jiǎn)介數(shù)據(jù)與其他泄漏的數(shù)據(jù)進(jìn)行了拼湊。

　　泄漏的Clubhouse用戶(hù)信息除了手機(jī)號(hào)碼并沒(méi)有其他關(guān)于用戶(hù)的信息，對(duì)攻擊者來(lái)說(shuō)并沒(méi)有什么用處。之前的Clubhouse信息也被該論壇標(biāo)記為不好的樣本，并沒(méi)有引起垃圾郵件攻擊者的興趣。但如果泄漏的信息是真實(shí)的，那么對(duì)垃圾郵件攻擊者來(lái)說(shuō)就是一座金礦。安全研究人員Sasnauskas稱(chēng)，如果泄漏的信息屬實(shí)，攻擊者可以根據(jù)現(xiàn)有信息獲取更多關(guān)于泄漏的手機(jī)號(hào)屬主的信息，包括用戶(hù)名、根據(jù)手機(jī)號(hào)前綴獲取位置信息等。因此，攻擊者很容易就可以根據(jù)這些泄漏的信息來(lái)偽造個(gè)性化的垃圾郵件并發(fā)起大規(guī)模垃圾郵件攻擊活動(dòng)。

　　攻擊者利用這些信息可以發(fā)起潛在的攻擊活動(dòng)：

　　?發(fā)起定向釣魚(yú)和其他社會(huì)工程攻擊活動(dòng)；

　　?暴力破解受影響的Facebook用戶(hù)密碼。

　　研究人員建議用戶(hù)：

　　?使用個(gè)人數(shù)據(jù)泄露檢查工具檢查Facebook或Clubhouse數(shù)據(jù)是否泄露；

　　?修改Facebook或Clubhouse賬戶(hù)密碼；

　　?使用密碼管理器來(lái)創(chuàng)建強(qiáng)密碼，并安全存儲(chǔ)密碼；

　　?對(duì)在線(xiàn)賬戶(hù)使用雙因子認(rèn)證。