你可能没听说过市场营销及数据聚合公司Exactis的名号,但这家公司却可能知道你。而现在,这家公司所了解的关于你的一切,都已经泄露到了网上,有经验的黑客都能轻松找到。
本月早些时候,安全研究员 Vinny Troia 发现,位于美国佛罗里达州棕榈海岸的这家数据代理商,其含有3.4亿条记录的数据库暴露在了可公开访问的服务器上。该2TB大的数据库内含上亿美国成年人的个人信息和数百万公司的信息。虽然具体涉及人数尚不清楚,看起来似乎也没包含信用卡信息和身份证号,但库中所含个人信息非常详细,包括电话号码、家庭住址、电子邮箱地址和其他与个人特征高度相关的信息。从个人爱好、习惯到家中小孩人数、年纪和性别都有。
发现该数据库的Troia是纽约安全公司 Night Lion Security 的创始人,他表示:“这个数据库几乎囊括了所有美国公民。我搜索过的每个人在库里都有。”《连线》杂志请他在库中查找10位特定人士的记录时,他很快就找出了其中6位的。他说:“我不知道这些数据是从哪儿冒出来的,但绝对是我生平仅见涵盖最全面的数据集了。”
任君取用
虽然没人知道有没有网络罪犯或恶意黑客已经拿到了该数据库,但找出该数据库是相当容易的。Troia自己就是在使用联网设备搜索引擎Shodan时发现的该数据库。Troia说,他很好奇以能用命令行轻易查询为设计卖点的流行数据库ElasticSearch到底安不安全。于是他就用Shodan搜了一下美国IP地址段公开服务器上的ElasticSearch数据库。结果找到了约7000个。然后,他在梳理这些数据库时发现了Exactis这个毫无防火墙防护的数据库。
我肯定不是第一个想要探探ElasticSearch服务器的人。没人已经拿到这个数据库才奇怪呢。
Troia在上周就已联系了Exactis和FBI,该公司对数据做了防护,现在此数据库已不可公开访问。但是Exactis公司并未对《连线》杂志的多次电话及电邮联系做出回复,对本次数据泄露事件毫无回应。
Exactis数据泄露的广度姑且不谈,其深度才是更应该引起关注的地方:除联系信息和公开可得信息之外,每条记录还含有超过400种各类具体特征:是否吸烟、宗教信仰是什么、有没有养宠物、喜不喜欢水肺潜水、爱不爱穿大码衣服等等。虽然偶有过时或不慎准确的情况,但《连线》杂志独立分析了Troia共享的数据样本后证实了这些信息的真实性。
虽然财务信息或身份证号的缺乏意味着该数据库并不能直接用来进行身份盗窃,但其所含个人信息的深度还是能为其他形式的社会工程欺诈提供帮助。
非营利性组织电子隐私信息中心(EPIC)的执行董事 Marc Rotenberg说:“金融欺诈的可能性没那么大,但冒充或人物分析的可能性绝对存在。”他指出,尽管某些数据是公开可得的,但大部分似乎是数据代理商从杂志订阅、银行售卖的信用卡交易数据和信用报告等信息源聚合来的非公开信息。美国消费者的这些信息如今基本都会被收集。
因为没有来自Exactis的证实,受该数据泄露影响的具体人数很难准确统计。Troia发现了两版Exactis数据库,其中之一似乎是在他观察其服务器期间新添加的。两版数据库都包含了约3.4亿条记录,分为2.3亿条消费者记录和1.1亿条公司记录。Exactis公司在其主页上夸耀称握有2.18亿人的数据,包括1.1亿美国家庭,总共35亿“消费者、公司及数据记录”。
其网站上写着:“数据是Exactis的力量源泉。在包括人口、地理、生活方式、兴趣和行为数据的基础上,像激光一样高度精准地锁定特定受众。”
数据库困局
大型用户数据库因不小心放到公网上而导致泄露的事件屡见不鲜,从医疗健康信息到软件公司存储的口令库均受到影响。安全公司UpGuard一位特别高产的研究员 Chris Vickery,就一次又一次地发现了这些数据库泄露,从9300万墨西哥公民投票注册信息到220万“高危”犯罪/恐怖主义分子列表(“世界风险筛查”数据库)。
如果Exactis泄露事件确实包含了2.3亿人的信息,那它就超越2017年的 Equifax 1.455亿人数据泄露事件,成为近年来规模最大的数据泄露事件之一了——去年10月影响30亿账户的雅虎黑客事件仍是个中翘楚。需要强调的是,与之前的数据泄露不同,Exactis事件中的数据不是被恶意黑客偷走,而是直接暴露在了公网上。但与Equifax数据泄露事件类似,Exactis所泄数据中涉及的绝大多数人都不知道自己在那个数据库里。
EPIC执行董事Rotenberg认为,就在欧盟GDPR正式实施之后不久发生的本次泄露事件,凸显了美国在隐私及数据收集方面监管的长期缺失。一部类似GDPR的法律可能阻止不了Exactis收集数据再泄出去,但它至少能让该公司告知被收集数据的人都收集了哪些数据,并让他们限制这些数据的存储或使用方式。
如果你有某人的资料,对方应能够看到自己的资料并限制其使用方式。订阅一本杂志是一回事,被一家公司掌握了有关自己整个人生的详细资料又是另一回事了。
相关阅读