近日，移动支付应用Cash App的母公司Block披露了一起由前员工引发的用户数据泄露事件。Block的报告显示，一位前员工于去年12月违规窃取了Cash App上约820万名用户的数据，主要包括姓名和股票账户号码。目前，Block已上报执法部门展开调查，并称该事件不会对其业务运营或财务周转产生重大影响。

公开资料显示，Cash App是由金融服务公司Block推出的一款移动支付应用，主要功能为帮助用户发送、接收和存储钱款以及购买理财产品等，相关服务仅能在英国和美国使用。根据2021年9月的一项报告，Cash App拥有约7000万用户，年利润高达18亿美元。

Block的报告

近日，Block公布了一份提交给美国证券交易委员会（U.S. Securities and Exchange Commission，SEC）的报告。报告显示，去年12月，一位前员工在离职后违规下载了Cash App中约820万名用户的个人信息，主要包括姓名和股票账号。此外，还有部分用户被窃取了一些额外信息，如理财投资组合的价值、持有量以及一个交易日的股票交易记录等。

报告特别声明，被泄露的用户信息并不包括用户名、密码、身份证号、出生日期、支付卡信息、地址、银行账户信息等可识别个人信息，也不涉及任何用于访问Cash App账户的安全代码、访问代码或密码。除股票交易外，其他现金应用程序产品和功能都可正常使用，仅美国用户受到该事件影响。

数据泄露发生后，Block随即与其法律顾问在某取证公司的帮助下展开调查。Cash App试图与约820万名受到影响的用户取得联系，向他们通报调查进展并提供救济渠道，解答用户疑问。同时，Block还及时通知了相关监管机构和执法部门。

谈及该事件在未来可能带来的损失，Block的报告直言很难进行预测，但总体态度较为乐观。“尽管公司尚未完成对这一事件的调查，但初步判断认为不会对业务运营或财务周转产生重大影响。”Block还承诺，其非常重视用户信息的安全性，今后将加强信息管理和技术防护。

那么，这次用户数据被盗可能带来哪些隐患？据悉，网络安全公司ZeroFox的情报服务总监亚当·达拉（Adam Darrah）向媒体分析，被盗取的信息本身并没有价值，必须与其他数据搭配才能使用，因此该事件不会直接影响用户。然而，这些数据为不法分子锁定并入侵特定用户账户后开展违法活动创造了条件。

为此，达拉建议，所有Cash App的用户都应更新密码，并启用双重身份验证，以保护自己免受干扰。

离职员工窃取内部数据是公司面临的网络安全风险之一。Beyond Identity research公布的一项数据显示，有高达四分之一的离职员工仍可访问此前工作的数据系统。Block的发言人菲奥娜·李（Fiona Lee）表示，公司已知晓用户数据是如何被访问和窃取的，但拒绝解答该前员工是如何获得访问权限以及事件发生后，Block是否进行了相应调整这些问题。

“前员工访问公司系统的现象比你想象的要普遍，这意味着一个巨大的安全风险，但目前为止还没有被重视。在未来，我们很可能会看到更多这种类型的数据泄露事件。”Grip Security的产品管理副总裁约夫·沙克德（Yoav Shaked）在评论时说道。

综合/编译：南都见习记者 樊文扬

编辑：蒋琳

本文作者

樊文扬

3640W

南方都市报记者