针对爱立信某服务供应商的语音钓鱼诈骗导致超过15000名用户的个人数据泄露,攻击者通过电话诱骗员工获取了系统访问权限。
据美国州监管部门的文件披露,这起事件可追溯到2025年4月,诈骗分子针对一家为爱立信美国业务提供支持的第三方供应商的单一员工发起攻击。
根据公司披露,该服务供应商于2025年4月28日发现了这起违规事件,发现了所谓的"语音钓鱼"攻击——本质上是通过电话进行的社会工程学攻击。第三方供应商后来确定,攻击者可能在4月17日至4月22日期间访问了数据。
警报拉响后,供应商表示已引入外部网络安全专家,强制重置密码,通知联邦调查局,并对呼叫者获取的信息展开调查。
瑞典网络和电信巨头爱立信的美国分公司爱立信公司直到几个月后才得知这一事件。服务供应商于2025年11月10日通知爱立信,与该公司相关的数据已卷入此次违规事件。
接下来是较为缓慢的违规响应阶段:准确确定可能暴露了哪些人的信息,并追踪这些人的联系方式。该过程于2026年2月23日结束,爱立信本周确认有15661名用户受到影响。
提交给缅因州检察长的文件显示,泄露的数据可能包括姓名和社会安全号码,但提交给德克萨斯州监管机构的单独披露表明,数据泄露规模可能要大得多。
根据德克萨斯州的文件,仅该州就有4377名用户受到影响,泄露的数据可能包括姓名、地址、社会安全号码、驾驶执照号码以及护照或州身份证号码等其他政府颁发的身份证件。
在某些情况下,泄露的记录还可能包括银行账户或支付卡号码等金融信息,以及医疗信息和出生日期。
爱立信表示,目前尚未发现任何被盗信息被滥用的证据,但受影响的用户将获得12个月的信用监控服务,并获得密切关注银行账户、信用报告以及任何可能突然出现异常行为的常规建议。
根据披露,涉事供应商自违规事件发生以来也增加了新的安全防护措施和额外的员工培训。正如这个案例所显示的,有时网络中的薄弱点不是软件——而是接电话的人。
Q&A
Q1:什么是语音钓鱼攻击?
A:语音钓鱼(vishing)是一种通过电话进行的社会工程学攻击,攻击者通过电话诱骗受害者提供敏感信息或系统访问权限,本质上是传统网络钓鱼的电话版本。
Q2:这次爱立信数据泄露事件影响了多少人?
A:这次事件总共影响了15661名用户。其中德克萨斯州就有4377名用户受到影响,泄露的数据可能包括姓名、地址、社会安全号码、驾驶执照号码等个人敏感信息。
Q3:受影响用户应该采取什么防护措施?
A:爱立信为受影响用户提供12个月的信用监控服务,建议用户密切关注银行账户、信用报告,留意任何异常活动。用户还应定期检查个人财务状况,及时发现可能的身份盗用行为。
热门跟贴