數周前,美國聯邦貿易委員會(FTC)做出了一個有趣的裁決。該裁決針對的是一家被指控保護客戶數據不當的癌癥研究公司LabMD。
導致FTC介入調查的最初起因源于2008年,這是一起長達7年的曲折調查過程,雖然最終做作撤消指控的判決,但LabMD公司也已經被案件拖累的精疲力盡。
該案件大抵是這樣子的:
LabMD的一名員工在公司計算機上安裝了點對點音樂文件分享應用程序,(顯然是無意地)將整個“我的文檔”文件夾標記為了“可供分享”,然后導致LabMD的某些文件暴露在了分享站點上。該案件核心文件被稱為“1718文件”,因為它有1718頁那么長。這份文件中包含有一旦被泄露將有可能被用于進行身份盜竊的信息。
一家數據泄露檢測公司——Tiversa,聯系了LabMD,聲稱他們在多個文件分享網站上發現了該文件。但實際上,根據事后Tiversa前鑒證分析師的證詞,Tiversa這份聲明是虛假的。
Tiversa多次嘗試向LabMD兜售其服務,但均遭到LabMD的拒絕。在獨立調查中,FTC向Tiversa索取信息,而LabMD的文件也隨之曝光,由此引發了正式立案調查。
被誤導的政府機構,對一家無辜的公司展開調查。這種事牽扯到的相關事務并不簡單。事實上,要了解LabMD所遭受的不公還真得需要一本書的容量。但,人們依然可以從這起事件的簡單描述中學到一些東西。
Tiversa的商業模式是這樣的:
掃描文件共享網站,找尋可被利用來恐嚇客戶支付所謂的漏洞獎勵的文件。但根據證詞,Tiversa會修改掃描結果,造成一種這些文件已經被下載到已知身份盜竊網站的假象。實際上,Tiversa的這種行徑已經可以定性為明顯的敲詐勒索了。
FTC的審判長邁克爾·查普爾最終撤銷了所有對LabMD的指控,查普爾表示,從可能的數據泄露中做出的有害預測不等于傷害發生的可能性。身份盜竊可能幾年之后才發生,而且也無法說明該案件核心文件被泄的后果。查普爾法官強調,該案已歷時7年多,而政府無法確認被泄文件中有誰遭到了身份盜竊。
帶給安全社區的思考
此起案件對于信息安全社區來說,最為引起思考的一點在于,這是一起“只有理論尚不足以證明事件發生可能性”的案件。文件可能被非授權人士讀取的事實,并不意味著該文件就已經被非授權人士讀取了。類似的還有,要證明一個漏洞真的能被利用,可不是單純的對危害風險的猜測就夠的。
這事兒可以用家庭安防來打個比方。想象一下:當地家庭安全公司悄悄來到你的社區評估你家的安全狀況,然后將所有漏洞報告給了警察局,然后警察以‘小偷可能進入你的房子’為理由逮捕了你。是不是很匪夷所思?(保護家庭安全的注意義務可能與公司保護數據的義務不完全相同,但兩個場景的相似性可以幫助澄清該案件中所發生的事件實質。)
可以明確的是,LabMD的員工確實有過失,LabMD為此歷經折磨也很令人傷感,但最終,這對信息安全社區而言可能是件好事,它將一定程度上起到了阻止類似于Tiversa這種利用作假來恐嚇客戶的公司的作用。同時,該起判決也將提升那些講誠信和道德的信息安全公司的形象。
京公網安備 11010502049343號