Aura 公司证实数据泄露,90 万营销联系人信息遭曝光

身份保护公司奥拉（Aura）证实，有未经授权方获取了近 90 万条包含姓名和电子邮箱地址的客户记录。

该公司称，此次事件由一起针对其员工的语音网络钓鱼攻击引发，导致 2 万名现有客户和 1.5 万名前客户的敏感数据泄露。

本周，奥拉公司在一份通报中表示，这些数据源自其 2021 年收购的一家公司所使用的营销工具，泄露的信息有限。

奥拉是一家面向消费者的数字安全公司，提供身份盗窃防护、信用与欺诈监测以及针对网络钓鱼的在线安全工具，将自身定位为一站式在线保护服务提供商。

本周早些时候，威胁组织 “闪亮猎人”（ShinyHunters）在其数据勒索网站上宣称实施了此次攻击，并表示他们窃取了 12GB 包含客户个人身份信息（PII）以及公司数据的文件。

该威胁行为者泄露了所窃取的文件，并表示尽管他们给出了各种机会和条件，奥拉公司仍 “未能与他们达成协议”。

闪亮猎人网站上泄露的奥拉公司数据

来源：BleepingComputer

据奥拉公司称，遭泄露的客户信息包括全名、电子邮箱地址、家庭住址和电话号码。该公司强调，社会安全号码（SSN）、账户密码以及财务信息并未泄露。

“我是否已遭泄露”（Have I Been Pwned，HIBP）服务对泄露数据进行了分析，并将其添加到自身数据库中，同时指出客户服务评论和 IP 地址也被曝光。HIBP 还表示，此次事件中曝光的电子邮箱地址，90% 已因过往安全事件存在于其数据库中。

BleepingComputer 就 HIBP 报告称受影响账户略超 90.1 万个与奥拉公司数据存在差异一事向奥拉询问，奥拉公司表示自家数据准确。

这是因为 2021 年收购公司时继承了通过该营销工具收集的数据。然而，数据库中仅有 3.5 万名奥拉客户。该公司拒绝对 “闪亮猎人” 的说法或所谓的奥克塔（Okta）单点登录系统遭入侵一事进一步置评。

目前，奥拉公司正与外部网络安全专家合作开展深入内部审查，并向 BleepingComputer 证实已通知执法部门。

奥拉公司告知我们，很快将向所有受影响人员发送个性化通知。