美52GB個人身份信息泄露:國防部、沃爾瑪、花旗集團等都未能幸免
近日,網絡安全專家兼微軟區域主管 Troy Hunt 在博客上披露了他收到的一份多達 52GB 的數據庫資料。內容包含近 3400 萬美國人的個人身份信息(PII),且覆蓋種類多樣——從姓名、職位,郵箱、電話到公司盈利情況,雇員數量等林林總總,甚至還有國防部下轄軍人檔案信息!
千瘡百孔
在安全狀況頻出的今天,發生數據泄漏的問題并不是什么稀罕事,不過本次爆料里還是有諸多看點值得一提。
首先,這批數據的來源是世界商業信息服務公司巨頭——鄧白氏(Dun&Bradstreet),不熟悉的同學可以去 Google 一下該公司的體量。鄧白氏前不久受到了由 Ethisphere 頒發的“2017 全球最具商業道德公司”的提名(當然現在聽上去可能有些諷刺),并且曾在 2015 年以 1.25 億美元收購了 NetProspex——一家服務于各大機構,提供 B2B 數據管理的公司。NetProspex 宣稱自己“擁有多元化的數據處理流程,依托世界最大的商業數據庫并無縫對接用戶的市場系統。”但無論如何,證據顯示本次泄漏的數據庫就是當時交易的一部分,鄧白氏對此也予以了承認。
目前本次泄漏事件在 Have I Been Pwned 排在第 16 位,意味著受影響人數超過 Ashley Madison 被黑事件
其次,泄漏的數據細節詳盡,價值不菲。諸如姓名、職稱、職能、工作郵件、電話號碼,甚至工作單位的盈利情況,員工數量等條目都在列。這些內容將大大提升泄漏數據的價值,相信會有不少人愿意憑借此類信息為精準的市場營銷造勢,比如針對特定公司人群的郵件宣傳之類。更何況當年鄧白氏也是為了這些數據花了好大一筆銀子。據找到的兩年前的一本手冊來看,一家公司查看 50 萬條記錄約需要花費 20 萬美元,而這次泄漏的內容里單單不同的郵件地址就包含近 3380 萬條!
據 Hunt 介紹,所有資料都來自美國境內,最多的當屬加州(約 400 萬條),其次就是紐約(270 萬)以及德克薩斯(260 萬)。
本次泄漏的數據庫資料格式相當規范整潔(原文件列在 CSV 文檔里):
{
"netprospex contact id":"177496766",
"first name":"Zack",
"last name":"Whittaker",
"job title":"Writer Editor",
"email":"zack.whittaker@cbsinteractive.com",
"contact phone 1":"(415) 344-2000",
"contact phone 2":"(415) 344-2000",
"primary job function":"Marketing",
"all job functions":"Creative",
"joblevel":"",
"company name":"CBS Interactive Inc.",
"d-u-n-s":"808539506",
"company phone":"(415) 344-2000",
"location type":"HQ",
"street address":"235 2Nd St",
"city":"San Francisco",
"state":"CA",
"postal code":"94105",
"county":"San Francisco",
"country":"US",
"web address":"http://www.zdnet.com",
"revenue":"246860181",
"revenuerange":"$100 mil to less than $250 mil",
"employees":"600",
"employee range":"500 to less than 1,000",
"primary industry":"Advertising & Marketing",
"all industries":"Advertising &Marketing; Information Collection & Delivery",
"primary sic code":"7319",
"primary sic description":"Advertising, nec",
"company name (us ultimate parent)":"National Amusements, Inc.",
"d-u-n-s (us ultimate parent)":"49422439",
"street address (us ultimate parent)":"846 University Ave",
"city (us ultimate parent)":"Norwood",
"state (us ultimate parent)":"MA",
"postalcode (us ultimate parent)":"02062",
"country (us ultimate parent)":"US",
"revenue (us ultimate parent)":"27613349110",
"revenue range (us ultimate parent)":"$1 bil and above",
"employees (us ultimate parent)":"133269",
"employee range (us ultimate parent)":"100,000 and above"
}
再次,泄漏的數據中包含了美國國防部的人員資料,有超過 10 萬條,其中各種職能超過 1 萬條,如職業軍人,情報分析人員,彈藥專家,化學工程師等。緊隨其后的國家部門是美國郵政系統,有超過 88000 條員工記錄,然后美國陸軍,空軍和退伍軍人事務部共計 76000 條左右記錄。考慮到當前復雜的安全態勢,這點是相當令人擔憂的——Hunt 表示自己看到這些資料后第一時間想到的就是 ISIS 的懸賞名單。
以下是他列出的前十位數據泄漏的機構:
DOD Cce.: 101,013(美國國防部下屬機構)
United States Postal Service: 88,153(美國郵政服務系統)
AT&T Inc.: 67382(美國電信巨頭)
Wal-Mart Stores, Inc.: 55,421(沃爾瑪)
CVS Health Corporation: 40,739(美國醫藥零售巨頭)
The Ohio State University: 38,705(俄亥俄州立大學)
Citigroup Inc.: 35,292(花旗集團)
Wells Fargo Bank, National Association: 34,928(富國銀行)
Kaiser Foundation Hospitals: 34,805(凱撒醫療基金會醫院)
International Business Machines Corporation: 33,412(IBM)
以往此類信息雖然部分在互聯網上可查,但是通常零散分布在各個角落,無法產生巨大效果,而這次泄露數據批量化地出現則證明了個人信息容易失控到了何等地步。Hunt 在博客中如此評價道:“這件事提醒我們已經失去了對個人隱私的控制。事件中的大多數人都不清楚他們的個人信息以何種形式被販賣出去,而他們對此無能為力。”
這鍋我們不背
不過本次事件的主角似乎并不打算就此接鍋。盡管鄧白氏承認了遭泄數據庫是他們所有,但是也同樣表示自身系統并沒有遭到入侵。事實上,他們認為泄漏數據的格式與文件類型與他們提供給客戶的相同,而且他們已經將類似的信息出售給超過“上千家公司”,言下之意一目了然。
目前他們在調查哪家第三方公司泄漏了這些數據,但取證過程困難重重。不過他們還強調這些數據是合法的,而且不包含所謂的“PII”信息——當然,我們都知道如果一個人的姓名,工作,郵箱和公司都不算個人信息的話是說不過去的。用 Hunt 的話說:這些就算做個人身份信息(PII),而且嚴重違反數據管理規范,如此多的私人信息將對牽涉其中的所有人帶來嚴重威脅。
對此,BitSight(第三方風險管理與安全評估機構)聯合創始人兼 CTO,Stephen Boyer 認為:“如果鄧白氏所否認的是真的,那就意味著泄漏出自一個新維度——第三方購買者,而且這些人往往不像供應商那樣和鄧白氏之間有持續的合作關系,他們在批量購買數據時就很容易出問題。現在網絡罪犯可以利用這些數據對大型企業發動攻擊了——某些公司有超過 10 萬條員工信息泄漏,他們要小心接下來的釣魚和欺詐攻擊了。”
文章來源:Softpedia,FB 小編 cxt 編譯,轉載請注明來自 FreeBuf.COM
來自: www.freebuf.com