上周电脑大厂Dell爆发4,900万笔用户个资外泄,媒体《Bleeping Computer》报导,骇客是利用Dell合作伙伴的API漏洞,得以窃取到用户个人及设备资讯。
此事是在多名用户反映接到Dell资料外泄的通知,疑似证实4月底《The Daily Dark Web》的报导。该报导指一名代号为Menelik的骇客在地下论坛上兜售4,900万笔消费者个人及公司用户资料,涵括用户名及客户号码、住家地址、独特的系统7位数服务标签、出货日期、监视器序列号码、Dell订单号码等。这些用户分布美、加、澳、中国、印度等国。
Menelik周五向《Bleeping Computer》透露取得这些资料的方法。他是先找到Dell提供给经销商、零售商等合作伙伴的入口网站,然后以假公司身分注册多个帐户,这些只要到Dell网站上填上申请表即可存取网站,也无需验证。骇客开发了一支能产生7位数服务标签的程式,于3月上传Dell入口网站,并利用该程式下指令查询,并搜集网站回传的用户资料。此外,由于Dell系统未设定流量限制,因此骇客以每分钟5,000次呼叫网站长达3周,都没有遭到Dell网站阻挠。
这名骇客也透露,外泄资料包含来自美、加、澳洲、中国与印度的个人及消费产业公司。他还透露,用户使用的装置涵括监视器、Chromebooks、Alienware、Optiplex、Latitude笔电、Inspiron笔电、Inspiron桌机、Poweredge、Precision、Vostro、XPS等品牌。
骇客并说在4月中曾以电子邮件联系Dell告知有漏洞,但始终没有获得Dell回应。他最后将部分资料上传骇客论坛并求售。其贴文之后遭论坛版主删除。
Dell回应媒体,证实有接获骇客联系。Dell以已经报警,执法机关正在调查为由未透露其他细节,也说已经修正了网站问题。但Dell坚称公司在骇客联系前即已侦测到恶意活动。