背景圖片取自Jr Korpa on Unsplash

上周電腦大廠Dell爆發4,900萬筆用戶個資外洩，媒體《Bleeping Computer》報導，駭客是利用Dell合作夥伴的API漏洞，得以竊取到用戶個人及設備資訊。

此事是在多名用戶反映接到Dell資料外洩的通知，疑似證實4月底《The Daily Dark Web》的報導。該報導指一名代號為Menelik的駭客在地下論壇上兜售4,900萬筆消費者個人及公司用戶資料，涵括用戶名及客戶號碼、住家地址、獨特的系統7位數服務標籤、出貨日期、監視器序列號碼、Dell訂單號碼等。這些用戶分布美、加、澳、中國、印度等國。

Menelik周五向《Bleeping Computer》透露取得這些資料的方法。他是先找到Dell提供給經銷商、零售商等合作夥伴的入口網站，然後以假公司身分註冊多個帳戶，這些只要到Dell網站上填上申請表即可存取網站，也無需驗證。駭客開發了一支能產生7位數服務標籤的程式，於3月上傳Dell入口網站，並利用該程式下指令查詢，並蒐集網站回傳的用戶資料。此外，由於Dell系統未設定流量限制，因此駭客以每分鐘5,000次呼叫網站長達3周，都沒有遭到Dell網站阻撓。

這名駭客也透露，外洩資料包含來自美、加、澳洲、中國與印度的個人及消費產業公司。他還透露，用戶使用的裝置涵括監視器、Chromebooks、Alienware、Optiplex、Latitude筆電、Inspiron筆電、Inspiron桌機、Poweredge、Precision、Vostro、XPS等品牌。

駭客並說在4月中曾以電子郵件聯繫Dell告知有漏洞，但始終沒有獲得Dell回應。他最後將部分資料上傳駭客論壇並求售。其貼文之後遭論壇版主刪除。

Dell回應媒體，證實有接獲駭客聯繫。Dell以已經報警，執法機關正在調查為由未透露其他細節，也說已經修正了網站問題。但Dell堅稱公司在駭客聯繫前即已偵測到惡意活動。