近日,网络安全专家兼微软区域主管 Troy Hunt 在博客上披露了他收到的一份多达 52GB 的数据库资料。内容包含近 3400 万美国人的个人身份信息(PII),且覆盖种类多样——从姓名、职位,邮箱、电话到公司盈利情况,雇员数量等林林总总,甚至还有国防部下辖军人档案信息!
千疮百孔
在安全状况频出的今天,发生数据泄漏的问题并不是什么稀罕事,不过本次爆料里还是有诸多看点值得一提。
首先,这批数据的来源是世界商业信息服务公司巨头——邓白氏(Dun&Bradstreet),不熟悉的同学可以去 Google 一下该公司的体量。邓白氏前不久受到了由 Ethisphere 颁发的“2017 全球最具商业道德公司”的提名(当然现在听上去可能有些讽刺),并且曾在 2015 年以 1.25 亿美元收购了 NetProspex——一家服务于各大机构,提供 B2B 数据管理的公司。NetProspex 宣称自己“拥有多元化的数据处理流程,依托世界最大的商业数据库并无缝对接用户的市场系统。”但无论如何,证据显示本次泄漏的数据库就是当时交易的一部分,邓白氏对此也予以了承认。
目前本次泄漏事件在 Have I Been Pwned 排在第 16 位,意味着受影响人数超过 Ashley Madison 被黑事件
其次,泄漏的数据细节详尽,价值不菲。诸如姓名、职称、职能、工作邮件、电话号码,甚至工作单位的盈利情况,员工数量等条目都在列。这些内容将大大提升泄漏数据的价值,相信会有不少人愿意凭借此类信息为精准的市场营销造势,比如针对特定公司人群的邮件宣传之类。更何况当年邓白氏也是为了这些数据花了好大一笔银子。据找到的两年前的一本手册来看,一家公司查看 50 万条记录约需要花费 20 万美元,而这次泄漏的内容里单单不同的邮件地址就包含近 3380 万条!
据 Hunt 介绍,所有资料都来自美国境内,最多的当属加州(约 400 万条),其次就是纽约(270 万)以及德克萨斯(260 万)。
本次泄漏的数据库资料格式相当规范整洁(原文件列在 CSV 文档里):
{
"netprospex contact id":"177496766",
"first name":"Zack",
"last name":"Whittaker",
"job title":"Writer Editor",
"email":"[email protected]",
"contact phone 1":"(415) 344-2000",
"contact phone 2":"(415) 344-2000",
"primary job function":"Marketing",
"all job functions":"Creative",
"joblevel":"",
"company name":"CBS Interactive Inc.",
"d-u-n-s":"808539506",
"company phone":"(415) 344-2000",
"location type":"HQ",
"street address":"235 2Nd St",
"city":"San Francisco",
"state":"CA",
"postal code":"94105",
"county":"San Francisco",
"country":"US",
"web address":"http://www.zdnet.com",
"revenue":"246860181",
"revenuerange":"$100 mil to less than $250 mil",
"employees":"600",
"employee range":"500 to less than 1,000",
"primary industry":"Advertising & Marketing",
"all industries":"Advertising &Marketing; Information Collection & Delivery",
"primary sic code":"7319",
"primary sic description":"Advertising, nec",
"company name (us ultimate parent)":"National Amusements, Inc.",
"d-u-n-s (us ultimate parent)":"49422439",
"street address (us ultimate parent)":"846 University Ave",
"city (us ultimate parent)":"Norwood",
"state (us ultimate parent)":"MA",
"postalcode (us ultimate parent)":"02062",
"country (us ultimate parent)":"US",
"revenue (us ultimate parent)":"27613349110",
"revenue range (us ultimate parent)":"$1 bil and above",
"employees (us ultimate parent)":"133269",
"employee range (us ultimate parent)":"100,000 and above"
}
再次,泄漏的数据中包含了美国国防部的人员资料,有超过 10 万条,其中各种职能超过 1 万条,如职业军人,情报分析人员,弹药专家,化学工程师等。紧随其后的国家部门是美国邮政系统,有超过 88000 条员工记录,然后美国陆军,空军和退伍军人事务部共计 76000 条左右记录。考虑到当前复杂的安全态势,这点是相当令人担忧的——Hunt 表示自己看到这些资料后第一时间想到的就是 ISIS 的悬赏名单。
以下是他列出的前十位数据泄漏的机构:
DOD Cce.: 101,013(美国国防部下属机构)
United States Postal Service: 88,153(美国邮政服务系统)
AT&T Inc.: 67382(美国电信巨头)
Wal-Mart Stores, Inc.: 55,421(沃尔玛)
CVS Health Corporation: 40,739(美国医药零售巨头)
The Ohio State University: 38,705(俄亥俄州立大学)
Citigroup Inc.: 35,292(花旗集团)
Wells Fargo Bank, National Association: 34,928(富国银行)
Kaiser Foundation Hospitals: 34,805(凯撒医疗基金会医院)
International Business Machines Corporation: 33,412(IBM)
以往此类信息虽然部分在互联网上可查,但是通常零散分布在各个角落,无法产生巨大效果,而这次泄露数据批量化地出现则证明了个人信息容易失控到了何等地步。Hunt 在博客中如此评价道:“这件事提醒我们已经失去了对个人隐私的控制。事件中的大多数人都不清楚他们的个人信息以何种形式被贩卖出去,而他们对此无能为力。”
这锅我们不背
不过本次事件的主角似乎并不打算就此接锅。尽管邓白氏承认了遭泄数据库是他们所有,但是也同样表示自身系统并没有遭到入侵。事实上,他们认为泄漏数据的格式与文件类型与他们提供给客户的相同,而且他们已经将类似的信息出售给超过“上千家公司”,言下之意一目了然。
目前他们在调查哪家第三方公司泄漏了这些数据,但取证过程困难重重。不过他们还强调这些数据是合法的,而且不包含所谓的“PII”信息——当然,我们都知道如果一个人的姓名,工作,邮箱和公司都不算个人信息的话是说不过去的。用 Hunt 的话说:这些就算做个人身份信息(PII),而且严重违反数据管理规范,如此多的私人信息将对牵涉其中的所有人带来严重威胁。
对此,BitSight(第三方风险管理与安全评估机构)联合创始人兼 CTO,Stephen Boyer 认为:“如果邓白氏所否认的是真的,那就意味着泄漏出自一个新维度——第三方购买者,而且这些人往往不像供应商那样和邓白氏之间有持续的合作关系,他们在批量购买数据时就很容易出问题。现在网络罪犯可以利用这些数据对大型企业发动攻击了——某些公司有超过 10 万条员工信息泄漏,他们要小心接下来的钓鱼和欺诈攻击了。”
文章来源:Softpedia,FB 小编 cxt 编译,转载请注明来自 FreeBuf.COM