愛立信供應商遭語音釣魚攻擊致上萬用戶數據泄露

針對愛立信某服務供應商的語音釣魚詐騙導致超過15000名用戶的個人數據泄露，攻擊者通過電話誘騙員工獲取了系統訪問權限。

據美國州監管部門的文件披露，這起事件可追溯到2025年4月，詐騙分子針對一家為愛立信美國業務提供支持的第三方供應商的單一員工發起攻擊。

根據公司披露，該服務供應商于2025年4月28日發現了這起違規事件，發現了所謂的"語音釣魚"攻擊——本質上是通過電話進行的社會工程學攻擊。第三方供應商后來確定，攻擊者可能在4月17日至4月22日期間訪問了數據。

警報拉響后，供應商表示已引入外部網絡安全專家，強制重置密碼，通知聯邦調查局，并對呼叫者獲取的信息展開調查。

瑞典網絡和電信巨頭愛立信的美國分公司愛立信公司直到幾個月后才得知這一事件。服務供應商于2025年11月10日通知愛立信，與該公司相關的數據已卷入此次違規事件。

接下來是較為緩慢的違規響應階段：準確確定可能暴露了哪些人的信息，并追蹤這些人的聯系方式。該過程于2026年2月23日結束，愛立信本周確認有15661名用戶受到影響。

提交給緬因州檢察長的文件顯示，泄露的數據可能包括姓名和社會安全號碼，但提交給德克薩斯州監管機構的單獨披露表明，數據泄露規模可能要大得多。

根據德克薩斯州的文件，僅該州就有4377名用戶受到影響，泄露的數據可能包括姓名、地址、社會安全號碼、駕駛執照號碼以及護照或州身份證號碼等其他政府頒發的身份證件。

在某些情況下，泄露的記錄還可能包括銀行賬戶或支付卡號碼等金融信息，以及醫療信息和出生日期。

愛立信表示，目前尚未發現任何被盜信息被濫用的證據，但受影響的用戶將獲得12個月的信用監控服務，并獲得密切關注銀行賬戶、信用報告以及任何可能突然出現異常行為的常規建議。

根據披露，涉事供應商自違規事件發生以來也增加了新的安全防護措施和額外的員工培訓。正如這個案例所顯示的，有時網絡中的薄弱點不是軟件——而是接電話的人。

Q&A

Q1：什么是語音釣魚攻擊？

A：語音釣魚（vishing）是一種通過電話進行的社會工程學攻擊，攻擊者通過電話誘騙受害者提供敏感信息或系統訪問權限，本質上是傳統網絡釣魚的電話版本。

Q2：這次愛立信數據泄露事件影響了多少人？

A：這次事件總共影響了15661名用戶。其中德克薩斯州就有4377名用戶受到影響，泄露的數據可能包括姓名、地址、社會安全號碼、駕駛執照號碼等個人敏感信息。

Q3：受影響用戶應該采取什么防護措施？

A：愛立信為受影響用戶提供12個月的信用監控服務，建議用戶密切關注銀行賬戶、信用報告，留意任何異常活動。用戶還應定期檢查個人財務狀況，及時發現可能的身份盜用行為。