侵權(quán)投訴
訂閱
糾錯
加入自媒體

一次數(shù)據(jù)泄露事件后,我成2.3億人的眼中釘

還沒到辦公室,Steve Hardigree的一天已然成為一場噩夢。

去年6月的早上,Hardigree在谷歌上搜索自己公司的名稱時,發(fā)現(xiàn)越來越多的新聞標(biāo)題將他三年前創(chuàng)建的10人營銷公司Exactis,指向為個人信息泄露的源頭,泄漏范圍覆蓋了幾乎整個美國人口。一位在附近工作的朋友提醒他,電視新聞記者已經(jīng)帶著攝像機(jī)在大樓外面駐扎了。提供救急服務(wù)的安保公司爭先恐后地向他推銷著解決方案,而律師事務(wù)所則匆忙對他的公司提起集體訴訟。這一切都是因為一臺不安全的服務(wù)器!澳憧梢韵胂,”Hardigree說,“我陷入了恐慌。”

就在前一天,外媒披露,Exactis在開放的互聯(lián)網(wǎng)上泄露了一個包含3.4億條記錄的數(shù)據(jù)庫,這一泄漏事件由名為Vinny Troia的獨立安全研究員首次發(fā)現(xiàn)。通過使用掃描工具Shodan,Troia發(fā)現(xiàn)了一個被錯誤配置的亞馬遜ElasticSearch服務(wù)器(該服務(wù)器包含了數(shù)據(jù)庫),然后下載了它。隨后他在這份數(shù)據(jù)庫里發(fā)現(xiàn)了2.3億條個人記錄和1.1億條與企業(yè)相關(guān)的記錄,信息總量超過2TB。雖然這些文件不包括信用卡信息、密碼或社會保險號,但是每一份文件都列舉了數(shù)百條個人信息,涵蓋從抵押貸款價值到孩子的年齡,以及其他個人信息,如電子郵件地址、家庭地址和電話號碼。

Exactis將這些信息許可給營銷和銷售客戶,從而讓他們可以將這些信息與現(xiàn)有的數(shù)據(jù)庫集成起來,建立更全面的檔案。但是隱私倡導(dǎo)者警告稱,這些對公眾開放的細(xì)節(jié),可能同樣容易讓垃圾郵件發(fā)送者或詐騙者對目標(biāo)對象進(jìn)行側(cè)寫。

在那幾個月里,Exactis所經(jīng)歷的這種大規(guī)模數(shù)據(jù)意外泄露并不是獨一無二的。然而,Exactis創(chuàng)始人Steve Hardigree愿意與媒體分享那次經(jīng)歷:成為全美數(shù)據(jù)隱私糾紛的中心,并處理法律、官僚和聲譽的影響。

它所帶來的結(jié)果是一個警示性的故事,講述了一個龐大的數(shù)據(jù)集可能為像Exactis這樣的小公司帶來的責(zé)任。它也暗示了小公司在沒有必要的資源或技術(shù)來保護(hù)自身的情況下,使用大量的、易泄露的個人信息數(shù)據(jù)庫是多么的容易。

但首先,Hardigree想強(qiáng)調(diào)一點,Exactis數(shù)據(jù)披露事件并不屬于“違規(guī)”,他甚至不同意稱之為“泄密事件”。Hardigree堅持認(rèn)為,盡管數(shù)據(jù)在去年6月初被公開在網(wǎng)上,但該公司的日志和外部安全審計似乎表明,除了Troia之外,沒有其他人真正訪問過。為了回應(yīng)Troia的警告,他們甚至在外媒報道之前,就已經(jīng)保護(hù)了這些數(shù)據(jù)!拔覀儾幌嘈潘鼤孤冻鋈ィ盚ardigree說。

Troia對此反駁說,他去年7月仍然在一個名為KickAss的暗網(wǎng)論壇上拍下了一張列表的截圖,該論壇也似乎在出售部分Exactis數(shù)據(jù)。但是Hardigree說,Exactis在數(shù)據(jù)庫中包含了虛假的“種子”角色,這是一種標(biāo)準(zhǔn)的營銷行業(yè)技術(shù),旨在作為一種測試,看看它是否已經(jīng)泄露。Hardigree說,他一直在親自監(jiān)控這些種子,沒有收到任何表明有泄露的電子郵件。他還說,他一直與聯(lián)邦調(diào)查局保持聯(lián)系,并聲稱該機(jī)構(gòu)一直在暗網(wǎng)上搜索Exactis數(shù)據(jù),但并沒有找到。美國聯(lián)邦調(diào)查局拒絕了置評或確認(rèn)請求。

死亡威脅

不論罪犯是否已經(jīng)拿走了數(shù)據(jù),泄漏事件事實上已經(jīng)讓終結(jié)了Exactis。盡管該公司尚未宣布破產(chǎn),但Hardigree表示,他已經(jīng)放棄了盈利,并計劃將精力集中在另一家初創(chuàng)企業(yè)上。與Exactis進(jìn)行數(shù)據(jù)交易的合作伙伴,或者用來驗證數(shù)據(jù)的合作伙伴,都要求從Exactis網(wǎng)站上除名。Hardigree說,Equifax甚至發(fā)送了一封停止和終止信,以迫使Exactis停止在網(wǎng)站上使用其名稱。鑒于Equifax自身的大規(guī)模隱私丑聞,這真是一個殘酷的諷刺。最終,除了Hardigree之外,其他三位持有Exactis股份的高管也離開了!拔乙呀(jīng)失去了生意,”Hardigree說。

與此同時,Hardigree表示,他和他的公司遭到數(shù)以千計憤怒的電子郵件和電話的攻擊,包括多重死亡威脅。Hardigree甚至聲稱,隨著垃圾流量的泛濫摧毀了網(wǎng)站,Exactis一度成為攻擊目標(biāo)。

“我很害怕,我的妻子和孩子也很害怕,”Hardigree在去年7月1日與Wired的電話采訪中說道!肮姷姆磻(yīng)有點毀滅性!背舐劚l(fā)后,Hardigree不得不前往北卡羅來納州度假,但由于壓力太大,他突發(fā)蕁麻疹,不得不去醫(yī)院治療。Hardigree甚至收到了他訂閱的身份防盜服務(wù)LifeLock的短信提醒,警告公司的數(shù)據(jù)泄露對他隱私的威脅。

“我精神崩潰了,”他說。

自那以后的幾個月里,他接受了十幾個州檢察長以及聯(lián)邦調(diào)查局的詢問,他們都在擔(dān)心Exactis數(shù)據(jù)可能被濫用,盡管他注意到所有人都已經(jīng)停止了對他的問訊。佛羅里達(dá)Morgan & Morgan律師事務(wù)所領(lǐng)導(dǎo)的針對Exactis的集體訴訟沒有被撤銷,但也沒有進(jìn)展到審判階段。Hardigree認(rèn)為訴訟實際已經(jīng)停滯,因為他的公司根本沒有錢支付損害賠償金。Morgan & Morgan沒有對此作出回應(yīng)。

Hardigree大部分時間只能獨自處理法律和官僚主義交雜的混亂局面。離開公司的人中有他的三個合伙人,其中兩個負(fù)責(zé)公司的技術(shù)和數(shù)據(jù)安全,Hardigree指責(zé)他們首先在網(wǎng)上泄露了公司的ElasticSearch數(shù)據(jù)庫。這些前合伙人都沒有對此作出回應(yīng)。

這場磨難對Hardigree來說是一個痛苦的教訓(xùn),他被迫艱難地學(xué)會了即使像他這樣的小公司也必須優(yōu)先考慮安全問題!靶⌒哪愕臄(shù)據(jù),小心管理你數(shù)據(jù)的人,”Hardigree說!拔夜蛡蛄艘恍┐中拇笠獾娜。但歸根結(jié)底,這仍然是首席執(zhí)行官的責(zé)任,我也愿意承擔(dān)這份責(zé)任!

最后的掙扎

然而,在某些方面,Hardigree仍然在做著抵抗。他稱發(fā)現(xiàn)數(shù)據(jù)泄漏的研究員Troia“不是一個好人”,并指責(zé)他為了提高自己的知名度而坑害Exactis。他指出,Troia在聯(lián)系Exactis之前就已經(jīng)聯(lián)系了Wired,并在第一封電子郵件之后向該公司發(fā)送了一份營銷手冊。他還聲稱,Troia由于下載泄漏數(shù)據(jù),并向違規(guī)通知服務(wù)HaveIBeenPwned.com提供了一份拷貝,從而可能違反了法律,盡管這種做法對于安全研究人員來說是相當(dāng)普遍的。

“我可以在民事法庭起訴他或提起刑事訴訟,但我認(rèn)為這解決不了任何問題,”Hardigree說。Troia承認(rèn),他確實為在殺死Exactis的過程中扮演的角色感到難過,但他不后悔自己的行為!叭绻覜]有找到它,也會有其他人找到,”他說!盁o論如何,數(shù)據(jù)庫是公開的,該公司也的確泄露了所有人的數(shù)據(jù)!

Hardigree還堅持認(rèn)為,Exactis收集并被曝光的數(shù)據(jù)實際上并不敏感,公眾對其的憤怒被夸大了。其中大部分?jǐn)?shù)據(jù)都來自公共記錄和人口普查數(shù)據(jù)等來源。Exactis所做的就是將這些公共信息與它交易和購買的數(shù)據(jù)結(jié)合起來。Hardigree聲稱有數(shù)百家小公司都擁有類似的數(shù)據(jù)。他認(rèn)為,任何人都可以花大約1000美元購買到這些數(shù)據(jù)!斑@些數(shù)據(jù)一直都存在著,”Hardigree說。

但是管理HaveIBeenPwned的安全研究員和數(shù)據(jù)泄露專家Troy Hunt表示,Exactis數(shù)據(jù)是具有敏感性的,該公司在安全失效后所遭受的痛苦都是應(yīng)得的。他認(rèn)為,事實上這些數(shù)據(jù)非常的詳細(xì),足以導(dǎo)致身份盜竊。

“我對他們目前的態(tài)度感到不滿,”Hunt在談到Exactis曝光后的一系列麻煩事說道。“他們在說‘看,我們?nèi)ニ鸭艘欢褦?shù)據(jù),人們沒有想到會這樣使用,當(dāng)然也沒有獲得任何知情同意權(quán)。然后我們沒能妥善保護(hù)它,現(xiàn)在我們感到很難過,因為發(fā)生了不好的事情!麄儾粫虼说玫饺魏稳说耐椤!

新常態(tài)

但是Hunt至少同意Hardigree的一個觀點,即越來越多的初創(chuàng)公司似乎擁有并分析了大量消費者數(shù)據(jù),而這些數(shù)據(jù)在以前對小公司來說是不可能的。

Hardigree說,由于云服務(wù)和計算技術(shù)的進(jìn)步,導(dǎo)致公司的規(guī)模與其所能容納的數(shù)據(jù)量不相匹配!斑^去我們需要超級計算機(jī)才能做這件事。現(xiàn)在你在自己的電腦上就可以完成,”他說。

追蹤美國數(shù)據(jù)泄露事件的The Privacy Rights Clearinghouse表示,僅在去年,它就發(fā)現(xiàn)類似規(guī)模的公司泄露了13.7億條數(shù)據(jù)。但是該組織的政策顧問Emory Roane說,考慮到技術(shù)進(jìn)步和相關(guān)法規(guī)的缺乏,小公司大規(guī)模違規(guī)行為的增加似乎是自然的結(jié)果。Roane說:“對于全美各地像Verifications.io和Exactis這樣的公司能夠購買或收集極端龐大的數(shù)據(jù),我并不感到驚訝。這的確是可能的,除了因為技術(shù),也因為我們沒有強(qiáng)有力的保護(hù)措施。”

雖然Hardigree在某些方面為公司的隱私問題辯護(hù)并試圖淡化影響,但在其他的對話中,他似乎承認(rèn)自己的公司和眾多遭受泄漏事件影響的公司一樣,由于防火墻的問題,被迫為大規(guī)模數(shù)據(jù)泄露付出代價。

“我不想成為這類事情的代言人,”Hardigree表示。“但它改變了我對隱私的看法。我們所有人都需要負(fù)責(zé)保護(hù)這些信息。如果你不能保護(hù)數(shù)據(jù),那么你就不應(yīng)該待在這一領(lǐng)域內(nèi)。”

聲明: 本文系OFweek根據(jù)授權(quán)轉(zhuǎn)載自其它媒體或授權(quán)刊載,目的在于信息傳遞,并不代表本站贊同其觀點和對其真實性負(fù)責(zé),如有新聞稿件和圖片作品的內(nèi)容、版權(quán)以及其它問題的,請聯(lián)系我們。

發(fā)表評論

0條評論,0人參與

請輸入評論內(nèi)容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續(xù)

暫無評論

暫無評論

安防 獵頭職位 更多
文章糾錯
x
*文字標(biāo)題:
*糾錯內(nèi)容:
聯(lián)系郵箱:
*驗 證 碼:

粵公網(wǎng)安備 44030502002758號