美國(guó)52GB個(gè)人身份信息泄露:國(guó)防部、沃爾瑪、花旗集團(tuán)等都未能幸免 |
來(lái)源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2017-03-17 瀏覽次數(shù): |
信息來(lái)源:Freebuf
近日,網(wǎng)絡(luò)安全專家兼微軟區(qū)域主管Troy Hunt在博客上披露了他收到的一份多達(dá)52GB的數(shù)據(jù)庫(kù)資料。內(nèi)容包含近3400萬(wàn)美國(guó)人的個(gè)人身份信息(PII),且覆蓋種類多樣——從姓名、職位,郵箱、電話到公司盈利情況,雇員數(shù)量等林林總總,甚至還有國(guó)防部下轄軍人檔案信息! 千瘡百孔在安全狀況頻出的今天,發(fā)生數(shù)據(jù)泄漏的問(wèn)題并不是什么稀罕事,不過(guò)本次爆料里還是有諸多看點(diǎn)值得一提。 首先,這批數(shù)據(jù)的來(lái)源是世界商業(yè)信息服務(wù)公司巨頭——鄧白氏(Dun&Bradstreet),不熟悉的同學(xué)可以去Google一下該公司的體量。鄧白氏前不久受到了由Ethisphere頒發(fā)的“2017全球最具商業(yè)道德公司”的提名(當(dāng)然現(xiàn)在聽(tīng)上去可能有些諷刺),并且曾在2015年以1.25億美元收購(gòu)了NetProspex——一家服務(wù)于各大機(jī)構(gòu),提供B2B數(shù)據(jù)管理的公司。NetProspex宣稱自己“擁有多元化的數(shù)據(jù)處理流程,依托世界最大的商業(yè)數(shù)據(jù)庫(kù)并無(wú)縫對(duì)接用戶的市場(chǎng)系統(tǒng)?!钡珶o(wú)論如何,證據(jù)顯示本次泄漏的數(shù)據(jù)庫(kù)就是當(dāng)時(shí)交易的一部分,鄧白氏對(duì)此也予以了承認(rèn)。 目前本次泄漏事件在Have I Been Pwned排在第16位,意味著受影響人數(shù)超過(guò)Ashley Madison被黑事件 其次,泄漏的數(shù)據(jù)細(xì)節(jié)詳盡,價(jià)值不菲。諸如姓名、職稱、職能、工作郵件、電話號(hào)碼,甚至工作單位的盈利情況,員工數(shù)量等條目都在列。這些內(nèi)容將大大提升泄漏數(shù)據(jù)的價(jià)值,相信會(huì)有不少人愿意憑借此類信息為精準(zhǔn)的市場(chǎng)營(yíng)銷造勢(shì),比如針對(duì)特定公司人群的郵件宣傳之類。更何況當(dāng)年鄧白氏也是為了這些數(shù)據(jù)花了好大一筆銀子。據(jù)找到的兩年前的一本手冊(cè)來(lái)看,一家公司查看50萬(wàn)條記錄約需要花費(fèi)20萬(wàn)美元,而這次泄漏的內(nèi)容里單單不同的郵件地址就包含近3380萬(wàn)條! 據(jù)Hunt介紹,所有資料都來(lái)自美國(guó)境內(nèi),最多的當(dāng)屬加州(約400萬(wàn)條),其次就是紐約(270萬(wàn))以及德克薩斯(260萬(wàn))。 本次泄漏的數(shù)據(jù)庫(kù)資料格式相當(dāng)規(guī)范整潔(原文件列在CSV文檔里): { "netprospex contact id":"177496766", "first name":"Zack", "last name":"Whittaker", "job title":"Writer Editor", "email":"zack.whittaker@cbsinteractive.com", "contact phone 1":"(415) 344-2000", "contact phone 2":"(415) 344-2000", "primary job function":"Marketing", "all job functions":"Creative", "joblevel":"", "company name":"CBS Interactive Inc.", "d-u-n-s":"808539506", "company phone":"(415) 344-2000", "location type":"HQ", "street address":"235 2Nd St", "city":"San Francisco", "state":"CA", "postal code":"94105", "county":"San Francisco", "country":"US", "web address":"http://www.zdnet.com", "revenue":"246860181", "revenuerange":"$100 mil to less than $250 mil", "employees":"600", "employee range":"500 to less than 1,000", "primary industry":"Advertising & Marketing", "all industries":"Advertising &Marketing; Information Collection & Delivery", "primary sic code":"7319", "primary sic description":"Advertising, nec", "company name (us ultimate parent)":"National Amusements, Inc.", "d-u-n-s (us ultimate parent)":"49422439", "street address (us ultimate parent)":"846 University Ave", "city (us ultimate parent)":"Norwood", "state (us ultimate parent)":"MA", "postalcode (us ultimate parent)":"02062", "country (us ultimate parent)":"US", "revenue (us ultimate parent)":"27613349110", "revenue range (us ultimate parent)":"$1 bil and above", "employees (us ultimate parent)":"133269", "employee range (us ultimate parent)":"100,000 and above" } 再次,泄漏的數(shù)據(jù)中包含了美國(guó)國(guó)防部的人員資料,有超過(guò)10萬(wàn)條,其中各種職能超過(guò)1萬(wàn)條,如職業(yè)軍人,情報(bào)分析人員,彈藥專家,化學(xué)工程師等。緊隨其后的國(guó)家部門是美國(guó)郵政系統(tǒng),有超過(guò)88000條員工記錄,然后美國(guó)陸軍,空軍和退伍軍人事務(wù)部共計(jì)76000條左右記錄。考慮到當(dāng)前復(fù)雜的安全態(tài)勢(shì),這點(diǎn)是相當(dāng)令人擔(dān)憂的——Hunt表示自己看到這些資料后第一時(shí)間想到的就是ISIS的懸賞名單。 以下是他列出的前十位數(shù)據(jù)泄漏的機(jī)構(gòu):
以往此類信息雖然部分在互聯(lián)網(wǎng)上可查,但是通常零散分布在各個(gè)角落,無(wú)法產(chǎn)生巨大效果,而這次泄露數(shù)據(jù)批量化地出現(xiàn)則證明了個(gè)人信息容易失控到了何等地步。Hunt在博客中如此評(píng)價(jià)道:“這件事提醒我們已經(jīng)失去了對(duì)個(gè)人隱私的控制。事件中的大多數(shù)人都不清楚他們的個(gè)人信息以何種形式被販賣出去,而他們對(duì)此無(wú)能為力?!? 這鍋我們不背不過(guò)本次事件的主角似乎并不打算就此接鍋。盡管鄧白氏承認(rèn)了遭泄數(shù)據(jù)庫(kù)是他們所有,但是也同樣表示自身系統(tǒng)并沒(méi)有遭到入侵。事實(shí)上,他們認(rèn)為泄漏數(shù)據(jù)的格式與文件類型與他們提供給客戶的相同,而且他們已經(jīng)將類似的信息出售給超過(guò)“上千家公司”,言下之意一目了然。 目前他們?cè)谡{(diào)查哪家第三方公司泄漏了這些數(shù)據(jù),但取證過(guò)程困難重重。不過(guò)他們還強(qiáng)調(diào)這些數(shù)據(jù)是合法的,而且不包含所謂的“PII”信息——當(dāng)然,我們都知道如果一個(gè)人的姓名,工作,郵箱和公司都不算個(gè)人信息的話是說(shuō)不過(guò)去的。用Hunt的話說(shuō):這些就算做個(gè)人身份信息(PII),而且嚴(yán)重違反數(shù)據(jù)管理規(guī)范,如此多的私人信息將對(duì)牽涉其中的所有人帶來(lái)嚴(yán)重威脅。 對(duì)此,BitSight(第三方風(fēng)險(xiǎn)管理與安全評(píng)估機(jī)構(gòu))聯(lián)合創(chuàng)始人兼CTO,Stephen Boyer認(rèn)為:“如果鄧白氏所否認(rèn)的是真的,那就意味著泄漏出自一個(gè)新維度——第三方購(gòu)買者,而且這些人往往不像供應(yīng)商那樣和鄧白氏之間有持續(xù)的合作關(guān)系,他們?cè)谂抠?gòu)買數(shù)據(jù)時(shí)就很容易出問(wèn)題?,F(xiàn)在網(wǎng)絡(luò)罪犯可以利用這些數(shù)據(jù)對(duì)大型企業(yè)發(fā)動(dòng)攻擊了——某些公司有超過(guò)10萬(wàn)條員工信息泄漏,他們要小心接下來(lái)的釣魚(yú)和欺詐攻擊了?!? *文章來(lái)源:Softpedia,F(xiàn)B小編cxt編譯,轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf.COM
|