最近,戴尔数据泄露事件的幕后威胁者透露,他们利用合作伙伴门户网站的 API,以虚假公司的身份获取了 4900 万条客户记录的信息。
昨天,戴尔已开始发送通知,警告客户他们的个人数据在数据泄露事件中被盗。此次数据泄露事件包含客户订单数据,包括保修信息、服务标签、客户姓名、安装地点、客户编号和订单编号。
4 月 28 日,一个名为 Menelik 的威胁行为者在 Breached 黑客论坛上出售这些数据,版主很快删除了该帖子。
被盗的方式是黑客可以通过以虚假公司名称注册多个账户来访问该门户网站,并在两天内无需验证即可访问。
“注册成为合作伙伴非常简单。你只需填写一份申请表,例如”你输入公司的详细信息,想成为合作伙伴的理由,然后他们就会批准你,并允许你访问这个 “授权”门户。整个过程需要 24-48 小时。
获得门户访问权后,所谓的合作伙伴可以创建一个程序,生成 7 位数的服务标签,并从 3 月份开始将这些标签提交到门户页面,以获取返回的信息。
据报道,由于该门户网站不包含任何费率限制,黑客声称他们可以通过每分钟生成 5000 个请求的方式获取 4900 万条客户记录的信息,并持续三周,而戴尔公司不会阻止这些尝试。
被窃取的客户记录包括以下硬件明细:
- 显示器:22,406,133
- Alienware 笔记本电脑:447,315
- Chromebook:198,713
- Inspiron灵越笔记本电脑:11,257,567
- Inspiron灵越台式机:1,731,767
- Latitude 笔记本电脑:4,130,510
- Optiplex:5,177,626
- Poweredge:783,575
- Vostro 台式机:798,018
- Vostro 笔记本电脑:486,244
- Vostro 笔记本电脑:148,087
- Vostro 台式机:37,427
- Xps Notebooks:1,045,302
- XPS/Alienware 台式机:399,695
黑客称,他们于 4 月 12 日和 14 日向戴尔公司发送电子邮件,向其安全团队报告了这一漏洞。不过,黑客承认,在联系戴尔公司之前,他们已经获取了 4900 万条记录。
黑客称,戴尔从未回复过邮件,直到大约两周后,也就是被盗数据首次在 Breach Forums 黑客论坛上出售时,戴尔才修复了漏洞。
戴尔公司证实,他们收到了威胁者的电子邮件,但拒绝回答任何进一步的问题,因为他们说该事件已成为一项积极的执法调查。
不过,该公司声称,在收到威胁者的电子邮件之前,他们已经发现了这一活动。
TechCrunch 最早报道了 Menelik 使用该 API 搜刮戴尔客户数据的事件。
在数据泄露事件中,API 被滥用的情况越来越多
近年来,易于访问的 API 已成为公司的一个巨大弱点,黑客滥用这些 API 搜刮敏感数据并将其出售给其他黑客。
2021 年,黑客滥用 Facebook API 漏洞,将电话号码与 5 亿多个账户联系起来。这些数据几乎是在一个黑客论坛上免费泄露的,只需要一个账户并支付 2 美元就可以下载。
同年 12 月,黑客利用 Twitter API 漏洞,将数百万电话号码和电子邮件地址链接到 Twitter 账户,然后在黑客论坛上出售。
最近,去年有人利用 Trello API 漏洞,将一个电子邮件地址链接到 1500 万个账户,这些账户再次被放到黑客论坛上出售。这些数据后来与 Have I Been Pwned 共享,以便向那些在漏洞中暴露的用户发出通知。
虽然所有这些事件都涉及到了数据搜刮,但由于访问 API 的便利性以及对同一主机每秒可发出的请求数量缺乏适当的速率限制,这些事件都被允许发生。
