黑客声称入侵了包含230万订阅者记录的WIRED数据库

黑客泄露了一个包含超过 230 万 WIRED 订阅者记录的数据库，这标志着其母公司康泰纳仕集团遭遇了一次重大数据泄露事件。

威胁行为者“Lovely”声称这仅仅是个开始，并承诺将发布多达 4000 万条来自 Vogue 和《纽约客》等品牌的唱片。​

2025 年圣诞节前后，黑客论坛 Breach Stars 和 BreachForums 等网站发布了泄露的数据，其中包括 230 万个电子邮件地址、285936 个姓名、102479 个家庭住址和 32426 个电话号码。

记录包含 JSON 格式的个人资料，字段包括用户 ID、创建日期（2011 年至 2022 年）以及截至 2025 年 9 月 8 日的近期活动。泄露的屏幕截图显示了康泰纳仕旗下各网站上的大量文件列表和经过编辑的订阅者详细信息。​

Hudson Rock 的研究人员通过将 WIRED 数据与 RedLine 和Raccoon 信息窃取程序的日志进行交叉比对，验证了该数据的合法性，确认了被盗凭证的高度重叠。

该公司警告称，康泰纳仕集团的共享身份系统可能面临高达4000万行的数据泄露风险，该系统涵盖《名利场》、《GQ》和《建筑文摘》等出版物。虽然首次泄露的数据中没有出现密码或支付信息，但个人身份信息（PII）的泄露增加了网络钓鱼、人肉搜索和虚假报警的风险。​

攻击者利用不安全的直接对象引用 (IDOR) 通过遍历用户 ID 来抓取个人资料，从而导出大量 JSON 文件。

账户端点的访问控制存在缺陷，导致未经身份验证的用户能够访问和修改电子邮件、密码和个人资料。集中式平台的这些缺陷使得用户无需经过完整身份验证即可进行批量数据窃取。


2025 年 11 月，“Lovely”假扮成研究员“Dissent Doe”，联系了DataBreaches.net，帮助通知 Condé Nast 六个漏洞。

尽管多次联系，包括通过《连线》杂志记者和安全团队，康泰纳仕集团始终没有公开回应，也没有提供 security.txt 文件。感到沮丧的 Lovely 将《连线》的数据泄露，并称之为“圣诞煤块”，指责该公司无视用户。​

受影响的用户在诸如Have I Been Pwned之类的暗网监控网站上报告了此次数据泄露事件，该网站也记录了此次泄露事件。康泰纳仕的沉默加剧了风险，因为共享的登录信息可能会波及多个品牌。专家敦促用户重置密码并加强监控，并强调媒体巨头需要更好地披露安全漏洞。