被一个我从未订阅过的网站所拥有 - 他们怎么知道我的电子邮件地址?

信息安全 数据泄露 敏感数据暴露
2021-08-11 14:17:31

我在https://haveibeenpwned.com/ 中搜索了我的电子邮件地址

我的一个电子邮件地址结果被盗用,并且存在于数据泄露中,特别是 Apollo 数据泄露:

Apollo:2018 年 7 月,销售参与初创公司 Apollo 留下了一个数据库,其中包含数十亿个数据点,在没有密码的情况下公开暴露。这些数据是由安全研究员 Vinny Troia 发现的,他随后将包含 1.26 亿个唯一电子邮件地址的数据子集发送给 Have I Been Pwned。Apollo 留下的数据被用于他们的“收入加速平台”,其中包括姓名和电子邮件地址等个人信息,以及包括工作地点、人们担任的角色和他们所在位置在内的专业信息。阿波罗强调,暴露的数据不包括密码、社会保险号或财务数据等敏感信息。Apollo 网站上有一个联系表格,供那些希望与该组织取得联系的人使用。

我从未订阅过 Apollo 或将我的地址提供给 Apollo。

他们首先是如何获得我的电子邮件地址的?

网页抓取?

2个回答

网络抓取确实是一种可能性,正如这篇连线文章中提到的:

正如 Apollo 在给客户的信中所指出的,它从网络上的公共资源中获取了大量信息,包括姓名、电子邮件地址和公司联系信息。但它也刮掉了 Twitter 和 LinkedIn。

我怀疑发生的事情是该站点的数据库被黑客入侵/泄露,并且该站点告诉您您是否被盗用并不会检查您是否在该站点上创建了一个帐户,或者您是否只是凭借在互联网上拥有电子邮件地址。

任何创建帐户并设置密码的人都需要更改他们的密码(以及他们的做法:创建帐户),您被列为 pwned,因为有些人为该网站设置了密码,并且所有网站都通知他们拥有/没有使用过的人pwned 不区分那些已经开户和那些没有开户的人(正确的政策,你更安全,因为它没有)。

如果这是您被列为 pwned 的唯一地方,那么您做得很好,请尊重您的密码管理器。

其它你可能感兴趣的问题
上一篇安全的 FTP 访问;最佳实践 下一篇如何在另一台机器上提高最终信任的密钥?