数周前，美国联邦贸易委员会（FTC）做出了一个有趣的裁决。该裁决针对的是一家被指控保护客户数据不当的癌症研究公司LabMD。

导致FTC介入调查的最初起因源于2008年，这是一起长达7年的曲折调查过程，虽然最终做作撤消指控的判决，但LabMD公司也已经被案件拖累的精疲力尽。

该案件大抵是这样子的：

LabMD的一名员工在公司计算机上安装了点对点音乐文件分享应用程序，（显然是无意地）将整个“我的文档”文件夹标记为了“可供分享”，然后导致LabMD的某些文件暴露在了分享站点上。该案件核心文件被称为“1718文件”，因为它有1718页那么长。这份文件中包含有一旦被泄露将有可能被用于进行身份盗窃的信息。

一家数据泄露检测公司——Tiversa，联系了LabMD，声称他们在多个文件分享网站上发现了该文件。但实际上，根据事后Tiversa前鉴证分析师的证词，Tiversa这份声明是虚假的。

Tiversa多次尝试向LabMD兜售其服务，但均遭到LabMD的拒绝。在独立调查中，FTC向Tiversa索取信息，而LabMD的文件也随之曝光，由此引发了正式立案调查。

被误导的政府机构，对一家无辜的公司展开调查。这种事牵扯到的相关事务并不简单。事实上，要了解LabMD所遭受的不公还真得需要一本书的容量。但，人们依然可以从这起事件的简单描述中学到一些东西。

Tiversa的商业模式是这样的：

扫描文件共享网站，找寻可被利用来恐吓客户支付所谓的漏洞奖励的文件。但根据证词，Tiversa会修改扫描结果，造成一种这些文件已经被下载到已知身份盗窃网站的假象。实际上，Tiversa的这种行径已经可以定性为明显的敲诈勒索了。

FTC的审判长迈克尔·查普尔最终撤销了所有对LabMD的指控，查普尔表示，从可能的数据泄露中做出的有害预测不等于伤害发生的可能性。身份盗窃可能几年之后才发生，而且也无法说明该案件核心文件被泄的后果。查普尔法官强调，该案已历时7年多，而政府无法确认被泄文件中有谁遭到了身份盗窃。

带给安全社区的思考

此起案件对于信息安全社区来说，最为引起思考的一点在于，这是一起“只有理论尚不足以证明事件发生可能性”的案件。文件可能被非授权人士读取的事实，并不意味着该文件就已经被非授权人士读取了。类似的还有，要证明一个漏洞真的能被利用，可不是单纯的对危害风险的猜测就够的。

这事儿可以用家庭安防来打个比方。想象一下：当地家庭安全公司悄悄来到你的社区评估你家的安全状况，然后将所有漏洞报告给了警察局，然后警察以‘小偷可能进入你的房子’为理由逮捕了你。是不是很匪夷所思？（保护家庭安全的注意义务可能与公司保护数据的义务不完全相同，但两个场景的相似性可以帮助澄清该案件中所发生的事件实质。）

可以明确的是，LabMD的员工确实有过失，LabMD为此历经折磨也很令人伤感，但最终，这对信息安全社区而言可能是件好事，它将一定程度上起到了阻止类似于Tiversa这种利用作假来恐吓客户的公司的作用。同时，该起判决也将提升那些讲诚信和道德的信息安全公司的形象。