编者注
近日,美国商业服务巨头 Dun & Bradstreet 的 52GB 数据库被泄露。内容包含近3400万美国人的个人身份信息(PII),涵盖多种类型——从姓名、职位、电子邮件、电话号码到公司盈利能力、员工人数等,甚至管辖下的军事档案信息国防部!
52GB 个人身份信息在美国泄露
在安全形势频发的今天,数据泄露并不少见,但是这次爆料中还是有很多值得一提的。
首先,这批数据的来源是全球最大的商业信息服务公司邓白氏。不熟悉的同学可以去谷歌查一下公司的规模。 Dun & Bradstreet 最近被 Ethisphere 提名为“2017 年全球最具商业道德的公司”(当然现在听起来可能很讽刺),并在 2015 年以 1. 25 亿美元收购了 NetProspex — — 一家服务于主要组织并提供B2B 数据管理。 NetProspex称其“拥有多元化的数据处理流程,依托全球最大的商业数据库,无缝对接用户的市场体系”。但无论如何,证据表明泄露的数据库是当时交易的一部分。 Dun & Bradstreet 对此做出了回应,也承认了这一点。
其次,泄露数据的细节详细而有价值。姓名、职务、职务、工作邮箱、电话号码等条目,甚至工作场所的盈利能力、员工人数等都一一列出。这些内容将大大增加泄露数据的价值。我相信很多人都愿意使用这些信息来为精准营销创造动力,例如针对特定公司群体的电子邮件促销。更何况,邓白的这些数据也花了不少钱。根据两年前发现的一份手册,一家公司查看 50 万条记录的成本约为 20 万美元,而此次泄露仅包含近 3380 万个不同的电子邮件地址!
根据 Hunt 的说法,所有数据都来自美国境内,其中加利福尼亚(约 400 万)的数据最多,其次是纽约(270 万)和德克萨斯(260 万)。
泄露的数据库数据的格式相当规范整洁(原文件列在CSV文件中):
{
"netprospex 联系人 ID":"177496766",
"名字":"扎克",
"姓氏":"惠特克",
"职称":"作家编辑",
“电子邮件”:“zack.whittaker@cbsinteractive.com”,
"联系电话1":"(41 5) 344-2000",
"联系电话2":"(415) 344-2000",
“主要工作职能”:“市场营销”,
"所有工作职能":"创意",
"工作级别":"",
"公司名称":"CBS Interactive Inc.",
"d-u-n-s":"808539506",
"公司电话":"(415) 344-2000",
“位置类型”:“总部”,
"街道地址":"235 2Nd St",
“城市”:“旧金山”,
“状态”:“CA”,
"邮政编码":"94105",
“县”:“旧金山”,
“国家”:“美国”,
"网址":"http://www.zdnet.com",
"收入":"246860181",
"revenuerange":"1 亿美元到不到 2.5 亿美元",
"员工":"600",
“员工范围”:“500到1000以下”最近几年个人信息泄露的案例,
"primary industry":"广告与营销",
“所有行业”:“广告与营销;信息收集与传递”,
"原始码":"7319",
"primary sic deion":"Advertising, nec",
"公司名称(我们的最终母公司)":"National Amusements, Inc.",
"d-u-n-s (我们的最终父母)":"49422439",
"街道地址(我们的最终父母)":"846 University Ave",
“城市(我们最终的父母)”:“诺伍德”,
"state(我们的最终父级)":"MA",
"邮政编码(我们的最终父母)":"02062",
"国家(我们的最终父母)":"US",
"收入(我们的最终母公司)":"27613349110",
"收入范围(我们的最终母公司)":"10 亿美元及以上",
"员工(我们的最终父母)":"133269",
"员工范围(我们的最终母公司)":"100,000 及以上"
}
亨特对记录的分析得出结论:
美国国防部的份额最大,包括 101,013 条员工记录。 ;
美国邮政服务以 88,153 条员工记录位居第二;
涉及美国陆军、空军和退伍军人事务部的记录总计 76,379 条;
该数据库涉及 AT&T、波音、戴尔、联邦快递、IBM 和施乐等知名公司,该数据库包含这些公司的数千条员工记录。
在周二亨特发送的一封电子邮件中,
“虽然这个数据库中有很多公开可用的数据,但像这个数据库这样的聚合信息提供了数据集,而且它们易于搜索是非常有价值的。这一事件再次提醒我们,我们已经失去了对个人隐私的控制;涉及这些数据集的绝大多数人都不知道他们的信息是以这种方式出售的,当然,他们没有任何控制权。”
Hunt 将 Have I Been Pwned 网站的泄露记录数据库与这次暴露的数据库进行了比较,发现 14% 的电子邮件地址之前已经存在于其泄露的记录数据库中。相关数据已在 Have I Been Pwned 网站上搜索到。
再次,泄露的数据包含了美国国防部超过10万的人员档案,其中包括1万多个不同职能的,比如专业士兵、情报分析员、弹药专家、化学工程师等。下一个国务院是美国邮政局,拥有超过 88,000 条员工记录,然后是美国陆军、空军和退伍军人事务部,总计约 76,000 条记录。考虑到当前复杂的安全形势,这还是相当令人担忧的——亨特说,看到这些信息最近几年个人信息泄露的案例,他首先想到的就是 ISIS 的赏金名单。
以下是他的 10 大数据泄露机构:
DOD Cce.:101,013(美国国防部机构)
美国邮政局:
88,153(美国邮政服务)
AT&T Inc.:67382(美国电信巨头)
Wal-Mart Stores, Inc.:55,421(沃尔玛)
CVS 健康公司:
40,739(美国医药零售巨头)
俄亥俄州立大学:
38,705(俄亥俄州立大学)大学)
花旗集团:35,292(花旗集团)
富国银行,全国协会:
34,928(富国银行)
凯撒基金会医院:
34,805(凯撒医学基金会医院)
国际商业机器公司:33,412 (IBM)
不过,亨特表示,这种说法并没有降低数据滥用的可能性。 “拥有别人的姓名、职务和工作邮箱属于公司,就等于拥有了对方的个人身份信息。这意味着这次泄露的数据集确实会带来巨大的风险;其中大量的个人信息与同时泄露的专业角色背景配合后,将对涉案组织构成严重威胁。”
由于这种数据被营销公司购买是因为它具有商业价值,方便了营销人员当然恶意的人也可以用同样的方式使用它,甚至利用它来扩大从受害者那里获得的利益。例如,近年来出现了一系列针对金融机构官员和其他安全领域高级企业高管的网络钓鱼活动,旨在诱使员工泄露财务信息,以通过纳税申报表获得财务回报。如果这些数据使网络犯罪分子更容易进行这些活动,为什么不使用它呢。
Hunt 说,“这些数据包含很多有用的信息,足以支持非常可信的攻击,无疑是网络钓鱼的巨大宝藏。利用这些数据,你可以而不是策划网络钓鱼消息来制造误导性内容,几乎是真实的,这种欺骗性与国家支持的恶意活动相提并论。”
目前尚不清楚信息出售是否属于数据保护和隐私法,但公司高管表示,该数据库“完全符合”美国隐私法。该公司拒绝就数据泄露将如何影响其业务发表评论,也没有具体说明数据库被访问、下载或共享的次数。
他还补充说,公司有时会无意中收集“更敏感和机密的个人数据”,为此它会主动清除记录,并且不会向客户提供或出售这些数据。
数据泄露事件屡见不鲜,并延伸至中国。小编提醒大家上网时要注意个人信息的保密,不要在网站上透露太多信息造成不必要的麻烦。
世界编辑的结束语
