不僅僅是個(gè)人可識(shí)別信息(PII),還包括額外的財(cái)務(wù)信息和消費(fèi)習(xí)慣。
超過2億人的完整數(shù)據(jù)擴(kuò)充資料被放到了暗網(wǎng)上售賣。提供文件的人宣稱,數(shù)據(jù)來自全球最大征信機(jī)構(gòu)Experian,只需600美元即可獲得完整文件。
事件詳情是通過Peerlyst的SecureDrop被 Salted Hash 知悉的,有人在上面上傳了關(guān)于售賣和數(shù)據(jù)的細(xì)節(jié)。數(shù)據(jù)先是被Peerlyst的技術(shù)審查委員會(huì)審查,證實(shí)了其合法性。被技術(shù)團(tuán)隊(duì)清潔過后,數(shù)據(jù)樣本交由 Salted Hash 做進(jìn)一步驗(yàn)證和公開。打給樣本數(shù)據(jù)中人員的電話被轉(zhuǎn)到了語音信箱,且沒有任何回復(fù)。但只要有人證實(shí)了他們的信息,事件情況還會(huì)有后續(xù)更新。
有業(yè)內(nèi)人士認(rèn)為該售賣中的信息與Experian和另一個(gè)家公司Acxiom提供的擴(kuò)充數(shù)據(jù)相符。Acxiom沒有回應(yīng)任何問題。然而,Experian的消息人士稱,他們上周已知悉該數(shù)據(jù)泄露事件,調(diào)查證實(shí)不是他們的數(shù)據(jù)。
Experian在電子郵件聲明中稱:“我們?cè)?jīng)見到過此類毫無根據(jù)的指控和類似的傳言。我們?cè)俅芜M(jìn)行了調(diào)查,基于我們的研究和涉事數(shù)據(jù)類型,沒有任何跡象顯示我們?cè)獾搅巳肭帧hb于我們的調(diào)查和可靠證據(jù)的缺乏,這是意圖夸大所售賣數(shù)據(jù)價(jià)值的查無實(shí)據(jù)的說法——售賣非法數(shù)據(jù)的黑客所慣用的招數(shù)。”
調(diào)查人員認(rèn)為,售賣的數(shù)據(jù)不過是貼上Experian的標(biāo)簽以博眼球的一些記錄集合而已。所以,Experian調(diào)查人員聲明不是他們的同時(shí),該數(shù)據(jù)的存在本身依然是個(gè)問題。賣家對(duì)待此事也十分認(rèn)真,拒絕了與擁有更新賬戶或之前交易中只有數(shù)百美元交易額的潛在買家商談,限制了對(duì)數(shù)據(jù)的訪問。
記錄有6GB大,包括了203,419,083人的信息。資料包含PII信息,比如姓名、完整住址、生日、電話號(hào)碼,但由于是擴(kuò)充數(shù)據(jù),還包含了超過80種個(gè)人屬性。這些額外屬性包括個(gè)人信用評(píng)級(jí)(A -H),活躍授權(quán)線數(shù)量,是否信用卡用戶,住房有無產(chǎn)權(quán),房屋類型,婚姻狀況,擁有孩子數(shù)量,屋中生活的孩子數(shù)量,職業(yè)信息,教育狀況,凈資產(chǎn),家庭總收入。
另外,有些記錄還顯示了個(gè)人的政治捐款,包括保守捐贈(zèng)、自由捐贈(zèng)或一般政治原因的捐贈(zèng)字段。其他字段列出了個(gè)人捐款(例如:老兵慈善、本地社區(qū)慈善、醫(yī)療健康慈善、國際慈善、動(dòng)物保護(hù)、藝術(shù)或文化慈善、兒童福利慈善),以及金融投資(國外和國內(nèi),包括個(gè)人投資、股票、債券、房地產(chǎn))。旅游指標(biāo)也在其中,包括國外游字段,賭場(chǎng)造訪字段。
最后,這些資料還顯示出購買傾向,比如是否中意家庭園藝,或者最近是否購買了汽車部件等。同時(shí),其中一些信息被直接提供給了數(shù)據(jù)代理商。但提供數(shù)據(jù)擴(kuò)充項(xiàng)目的數(shù)據(jù)代理商采用了可選信息和購得信息的混搭模式。他們收集、存儲(chǔ)、共享這些信息是合法的,只要他們符合各種數(shù)據(jù)規(guī)則。這意味著沒有確實(shí)的方法可以追蹤這些屬性數(shù)據(jù)的來源。
商業(yè)上,數(shù)據(jù)代理商懂得規(guī)避各種數(shù)據(jù)隱私法案,比如 SB1386 和FCRA,因?yàn)閿?shù)據(jù)就在那兒——這就是公平競(jìng)賽,任何人都能用。雖然其中一些數(shù)據(jù)之前可能需要獲得授權(quán)才能使用,但在這一數(shù)據(jù)集中如今已不再需要授權(quán)。
德國社會(huì)情報(bào)機(jī)構(gòu)bits&digits的CISO稱,這些任人取用的數(shù)據(jù)集已經(jīng)達(dá)到了社會(huì)脫敏的危險(xiǎn)等級(jí)。
人們擁有的最壞習(xí)慣之一,就是毫不重視自己的數(shù)字身份和消費(fèi)傾向。
這堆數(shù)據(jù)集中收集的信息,無論來自哪個(gè)數(shù)據(jù)代理商或市場(chǎng)擴(kuò)充系統(tǒng),現(xiàn)在都落到了你無法預(yù)料的人手里。它們對(duì)市場(chǎng)營銷人員和邪惡騙子的作用是無窮的。最大的顧慮在于,出現(xiàn)在世界各地的數(shù)據(jù)集不受監(jiān)管保護(hù),為復(fù)雜身份欺詐、全球人口販運(yùn)和洗錢操作提供了方便易得的憑證和情報(bào)入口點(diǎn)。
就犯罪分子而言,該數(shù)據(jù)庫中包含的數(shù)據(jù)就是身份竊賊的夢(mèng)想。而且,這樣一張列表,可使罪犯基于凈資產(chǎn)、旅行習(xí)慣或支持原因定位到高價(jià)值目標(biāo)。比如,綁架就是家庭收入在25萬美元以上,或凈資產(chǎn)在50萬美元以上的人容易遭遇的案件,尤其是在他們經(jīng)常海外游的情況下。另外,還有人會(huì)利用該列表標(biāo)出超過70歲的人,盜用他們的身份進(jìn)行人口走私。
技術(shù)層面上,該數(shù)據(jù)集使用收集到的數(shù)據(jù)進(jìn)行基于知識(shí)的身份驗(yàn)證,任何處于該數(shù)據(jù)集中的人都已經(jīng)暴露了,但該數(shù)據(jù)也可被用來間接獲取此類信息。該數(shù)據(jù)包含了足夠多的數(shù)據(jù),可供發(fā)展出持續(xù)的網(wǎng)絡(luò)釣魚行動(dòng),打開通向其他各種犯罪的大門。
這個(gè)數(shù)據(jù)集(還有其他更多的數(shù)據(jù)集)告訴我們誰每年賺超過10萬美元,還附上他們的住址;家庭成員中誰對(duì)什么過敏;他們15年房貸貸了多少;有幾只寵物;多久購物一次;以及其他80種屬性。
人人都需要謹(jǐn)慎對(duì)待自己的信息和數(shù)據(jù),否則我們?cè)趺茨苤肋@些公司到底把數(shù)據(jù)交易給了誰?
京公網(wǎng)安備 11010502049343號(hào)