高达 7 亿 LinkedIn 用户的数据被摆在网上公然出售，此次事件也成为迄今为止规模最大的 LinkedIn 数据泄露。

很多朋友安心把个人数据交付给 LinkedIn，相信他们有能力得到安全而妥善的保管。但真是这样吗？截至 2021 年，LinkedIn 已经先后曝出两起安全事故，证明不法分子有意愿、也完全有能力从这套职场网络平台当中收集到可观的用户数据。

由此产生的影响也极为广泛，包括身份盗用、网络钓鱼攻击、社会工程攻击等等。在深入探讨最新事件的后果之前，让我们先来回顾一下事件过程。

1到底怎么回事？

今年 6 月 22 日，某黑客通过论坛账户宣布将出售高达 7 亿 LinkedIn 用户的个人数据。为了证明所言非虚，该账户甚至发布了一份包含 100 万 LinkedIn 用户数据的样本。我们检查了样本内容，并发现其中包含以下信息：

• 电子邮件地址

• 用户全名

• 电话号码

• 居住地址

• 地理位置记录

• LinkedIn 用户名与个人资料 URL

• 个人与专业经历 / 背景

• 性别

• 其他社交媒体账户及用户名

这是我们见过的、规模最大的 LinkedIn 数据泄露之一。

该账户宣称，完整的数据库中包含 7 亿 LinkedIn 用户的个人信息。考虑到 LinkedIn 的用户总量也不过 7.56 亿，这意味着有 92% 的 LinkedIn 用户都受到此次事件的直接影响。

下图所示，为我们在公布的样本数据中看到的少部分内容，可以看到单一记录中就包含有大量敏感数据。

在样本中，我们可以看到用户全名、LinkedIn 用户名、Facebook 用户名、电子邮件账户、手机号码、专业数据、推断薪酬等等。

根据我们的分析、样本数据内容以及结合其他公开信息的交叉检查，似乎所有数据内容都真实可信而且能够与特定用户关联起来。此外，数据也相当“新鲜”，样本部分主要来自 2020 年至 2021 年期间。

虽然我们在检查的样本中没有找到任何登录凭证或财务数据，但恶意分子仍然可以利用其中的信息获取经济利益。关于具体影响，我们将在后文中做出剖析。

2数据是怎么泄露的？

我们直接联系了在黑客论坛上发布数据以供出售的账户，对方宣称这些数据收集自 LinkedIn 负责收集用户上传内容的专用 API。

截至撰稿时，这部分数据仍在公开出售。

我们还联系了 LinkedIn，希望对方就最新数据泄露事件发表评论，但目前尚未收到回应。

3最新 LinkedIn 数据泄露可能产生哪些影响

虽然此次 LinkedIn 泄露中不包含任何财务记录或登录凭证，但仍有可能引发严重后果。这 7 亿用户也许将面临以下风险：

• 身份盗用

• 网络钓鱼攻击

• 社会工程攻击

• 账户丢失

网络犯罪分子可以将泄露文件中的信息与其他数据配合使用，借此整理出关于潜在受害者们的完整个人资料。此外，犯罪分子也可以利用用户名、电子邮件及个人信息等数据夺取其他网络平台账户。

最重要的是，LinkedIn 用户还可能因此面临更为严峻的其他安全威胁。

而个人数据一旦泄露，就再也无法真正挽回。

4个人数据泄露，企业一方需不需要承担经济责任？

这就引出了一个有趣的问题——当用户数据被恶意人士所利用时，企业一方需不需要承担责任？在此次案例中，LinkedIn 服务器似乎并未受到黑客入侵，也不存在传统意义上的真正“违规”。然而，黑客证实这部分数据是经由 LinkedIn 自己的 API（应用程序接口）收集获得的。这么说来，社交网站该如何处理隐私倒成了最核心的问题。

或者说，在选择使用社交网站的那一刻，我们普通用户到底该对隐私风险做多少可能的预期？

5数据落入他人手中，风险也将随之而来

之前已经说过，这里再强调一次：任何掌握了您个人数据的企业、个人或实体，都会给您带来相应风险。这种风险是大是小，具体取决于数据内容、由谁掌握以及意外丢失可能产生的影响。为了尽可能降低这种风险，用户需要限制他人所能触及的个人数据量。

具体方法可能包括彻底退出所有社交网络、限制您发布的信息等等。另外，大家也可以选择那些以不获取个人信息为卖点的产品与服务。

当然，在保护个人信息的同时，也请大家时刻做好攻势来袭的准备。这是个网络全球化的时代，最差的打算总是要做的。