Social Blade确认数据泄露暴露了暗网上的PII

社交媒体数据分析工具Social Blade宣布，12月14日其系统受到影响，用户的个人身份信息(PII)被泄露，这些信息随后在暗网上出售。

该公司并未就此事件发布公开警告，但已通过电子邮件直接向用户发出警告。最近，一名用户在流行的新聚合平台Ycombinator上发布了这封信的内容。

电子邮件中写道:“12月14日，我们接到了一起潜在的数据泄露事件的通知，有个人获得了我们用户数据库的导出数据，并试图在黑客论坛上出售。样品已经发布，我们证实了它们确实是真的。这个人似乎利用了我们网站上的一个漏洞，进入了我们的数据库。”

该公司已经证实，这些数据不包括任何信用卡信息，但包含其他可能被视为个人信息的数据，包括电子邮件、IP地址和家庭地址，以及密码哈希值。

Social Blade补充道:“虽然账户密码散列被泄露，但我们从未以纯文本的形式存储你的密码，所以你的密码仍然是安全的。”

KnowBe4的安全意识倡导者埃里希·克朗(Erich Kron)表示：“虽然在这种情况下，密码被散列是件好事，但社会工程师可以利用被盗信息来创建更真实的攻击，尤其是针对高价值目标。”

该公司业务API用户的客户端id和令牌、连接帐户的认证令牌以及其他非个人和内部数据类型也受到了损害。

该公司解释说:“我们已经解决了这个第三方用来访问系统的方法，我们正在进行额外的审查，以确保我们所有系统的安全性得到进一步加强，以防止未来发生类似事件。”

Kron补充道:“在这种情况下，我对Social Blade如此迅速地发表声明感到印象深刻，而且看起来非常坦率。考虑到许多组织都有可能被入侵，这种做法应该受到赞扬。”

此外，安全专家呼吁此次攻击的受害者要意识到，有针对性的电子邮件钓鱼、钓鱼和诈骗攻击可能会增加。

虽然密码是散列的，但修改(它们)是个好主意，确保密码是这个网站唯一的，而不是在其他地方使用。

根据Surfshark 10月份的一份报告，数据泄露在2022年第三季度增加了70%。今年最后一个季度也出现了进一步的增长，尤其是在澳大利亚。