电子商务巨头 Mercado Libre 确认源代码数据泄露

阿根廷电子商务巨头 Mercado Libre 本周已确认其部分源代码遭遇黑客攻击致数据泄露。Mercado 同时还表示，大约 30万名用户数据被暴露。

该公司的公告是在数据勒索组织 Lapsus$ 进行的一项民意调查之后，他们威胁要泄露据称从 Mercado 和其他知名公司窃取的数据。

 30万名 MercadoLibre 用户数据被泄露

在 BleepingComputer 今天看到的一份新闻稿和一份 8-K 表格文件中，MercadoLibre 确认其部分源代码遭到未经授权的访问。

此外，根据最初的分析，访问了 MercadoLibre 的 30万名用户的数据。目前，Mercado 的 IT 基础设施似乎没有受到影响，敏感信息似乎没有受到损害。

目前尚不清楚这 30万名 Mercado 用户的信息是否存储在其中一个源代码存储库中 ——BleepingComputer 之前 在报告一些数据泄露案例时遇到过这种做法。

该公司表示已激活安全协议，正在进行全面分析。

“我们没有发现任何证据表明我们的基础设施系统遭到破坏，或者任何用户的密码、账户余额、投资、财务信息或信用卡信息被获取。我们正在采取严格的措施来防止进一步的事件发生，”Mercado 说。

MercadoLibre 总部位于布宜诺斯艾利斯，是拉丁美洲最大的电子商务和支付生态系统。

该公司拥有约 1.4 亿独立活跃用户的用户群，业务遍及阿根廷、巴西、墨西哥、哥伦比亚、智利、委内瑞拉和秘鲁等 18 个国家。

该公司的美国分公司 Mercado Libre, Inc. 运营着包括mercadolibre.com在内的在线市场。

Lapsus$ 声称已违反 24,000 个回购协议

正如 BleepingComputer 所见，数据勒索组织 Lapsus$ 声称已经访问了 MercadoLibre 和 Mercado Pago 的 24,000 个源代码存储库。

Lapsus$ 运营的 Telegram 频道于 3 月 7 日发布了一项民意调查，嘲讽地要求用户投票给 Lapsus$ 下一个数据应该泄露的公司。

据称受害者名单还包括 Impresa 和 Vodafone。Lapsus$ 表示，投票将于 2022 年 3 月 13 日 00:00 结束。

这一发展类似于 Lapsus$ 上周泄露的 190 GB 大档案，该组织声称其中包含“机密的三星源代码”。同一周，三星证实威胁者确实入侵了其网络并窃取了机密信息，包括 Galaxy 智能手机中的源代码。

像 Lapsus$ 泄露受害者这样的勒索组织，但与像勒索软件运营商那样加密机密文件不同，这些参与者窃取并保留受害者的专有数据，并在他们的勒索要求未得到满足时发布。

本月早些时候，Lapsus$ 声称对美国芯片制造商巨头 NVIDIA 的数据泄露事件负责。该违规行为导致 71,000 多份 NVIDIA 员工凭证被盗，其中一些凭证在网上泄露。