吳明宜電腦大廠 Dell 被爆遭駭客以假冒的公司存取合作夥伴網站 API,竊走 4,900 萬筆客戶資料。
上周,多家媒體報導 Dell 發送電子郵件通知客戶,公司發生「事件」導致用戶個資外洩。外洩的資料包含客戶訂單、如保固資訊、服務標籤、客戶全名、地點、客戶號碼及訂單號碼。
四月底代號 Menelik 的駭客在駭客論壇上兜售竊自 Dell 系統的資料,但不久後版主將其貼文撤除。 Menelik 告訴媒體,他(們)先是發現 Dell 合作夥伴、經銷商及零售商的入口網站,可用於查詢訂單資訊。
駭客用人頭公司註冊了多個合作夥伴帳號,只要填完申請表格就獲得 Dell 許可,二天內就得以無驗證登入該入口網站。
成功存取網站後,駭客開發了能產生 7 位數服務標籤碼的程式,三月上傳入口網站頁後,就開始下指令讓網頁回傳客戶資訊。由於 Dell 網站沒有流量限制,因此駭客得以產生每分鐘 5,000 次呼叫,一共長達 3 星期,都沒有遭到 Dell 系統阻撓,最後成功竊走 4,900 萬筆客戶資料。
這些資料包含來自美、加、澳洲、中國與印度的個人及消費產業公司資料。他還透露,用戶使用的裝置涵括監視器、 Alienware 、 Chromebooks 、 Inspiron 筆電與桌機、 Poweredge 、 Precision 、 Vostro 、 XPS 等電腦。
駭客在四月 12 到 14 日之間聯繫 Dell,告知有漏洞,並說 Dell 從未回覆電子郵件,也等了兩星期才修補漏洞。那時駭客已將這些資料都上傳駭客論壇。
Dell 坦承有接到駭客信件,但拒絕回應其他問題,理由是執法機關已經介入調查。同時 Dell 宣稱他們早在接到信件前已經偵測到惡意活動,並非對攻擊從頭到尾渾然不知。
這也是最新一起因 API 漏洞而起的資料外洩事件。 2021 年臉書及推特(現為 X)的 API 漏洞分別導致駭客竊走 5 億筆及數百萬筆用戶個資。最近則是雲端專案平台 Trello,因 API 漏洞外洩 1,500 萬筆用戶個資並被上網兜售。