導(dǎo)讀:Exactis將這些信息許可給營銷和銷售客戶,從而讓他們可以將這些信息與現(xiàn)有的數(shù)據(jù)庫集成起來,建立更全面的檔案。但是隱私倡導(dǎo)者警告稱,這些對公眾開放的細(xì)節(jié),可能同樣容易讓垃圾郵件發(fā)送者或詐騙者對目標(biāo)對象進(jìn)行側(cè)寫。
還沒到辦公室,Steve Hardigree的一天已然成為一場噩夢。
去年6月的早上,Hardigree在谷歌上搜索自己公司的名稱時(shí),發(fā)現(xiàn)越來越多的新聞標(biāo)題將他三年前創(chuàng)建的10人營銷公司Exactis,指向?yàn)閭€(gè)人信息泄露的源頭,泄漏范圍覆蓋了幾乎整個(gè)美國人口。一位在附近工作的朋友提醒他,電視新聞記者已經(jīng)帶著攝像機(jī)在大樓外面駐扎了。提供救急服務(wù)的安保公司爭先恐后地向他推銷著解決方案,而律師事務(wù)所則匆忙對他的公司提起集體訴訟。這一切都是因?yàn)橐慌_不安全的服務(wù)器。“你可以想象,”Hardigree說,“我陷入了恐慌?!?/p>
就在前一天,外媒披露,Exactis在開放的互聯(lián)網(wǎng)上泄露了一個(gè)包含3.4億條記錄的數(shù)據(jù)庫,這一泄漏事件由名為Vinny Troia的獨(dú)立安全研究員首次發(fā)現(xiàn)。通過使用掃描工具Shodan,Troia發(fā)現(xiàn)了一個(gè)被錯(cuò)誤配置的亞馬遜ElasticSearch服務(wù)器(該服務(wù)器包含了數(shù)據(jù)庫),然后下載了它。隨后他在這份數(shù)據(jù)庫里發(fā)現(xiàn)了2.3億條個(gè)人記錄和1.1億條與企業(yè)相關(guān)的記錄,信息總量超過2TB。雖然這些文件不包括信用卡信息、密碼或社會保險(xiǎn)號,但是每一份文件都列舉了數(shù)百條個(gè)人信息,涵蓋從抵押貸款價(jià)值到孩子的年齡,以及其他個(gè)人信息,如電子郵件地址、家庭地址和電話號碼。
Exactis將這些信息許可給營銷和銷售客戶,從而讓他們可以將這些信息與現(xiàn)有的數(shù)據(jù)庫集成起來,建立更全面的檔案。但是隱私倡導(dǎo)者警告稱,這些對公眾開放的細(xì)節(jié),可能同樣容易讓垃圾郵件發(fā)送者或詐騙者對目標(biāo)對象進(jìn)行側(cè)寫。
在那幾個(gè)月里,Exactis所經(jīng)歷的這種大規(guī)模數(shù)據(jù)意外泄露并不是獨(dú)一無二的。然而,Exactis創(chuàng)始人Steve Hardigree愿意與媒體分享那次經(jīng)歷:成為全美數(shù)據(jù)隱私糾紛的中心,并處理法律、官僚和聲譽(yù)的影響。
它所帶來的結(jié)果是一個(gè)警示性的故事,講述了一個(gè)龐大的數(shù)據(jù)集可能為像Exactis這樣的小公司帶來的責(zé)任。它也暗示了小公司在沒有必要的資源或技術(shù)來保護(hù)自身的情況下,使用大量的、易泄露的個(gè)人信息數(shù)據(jù)庫是多么的容易。
但首先,Hardigree想強(qiáng)調(diào)一點(diǎn),Exactis數(shù)據(jù)披露事件并不屬于“違規(guī)”,他甚至不同意稱之為“泄密事件”。Hardigree堅(jiān)持認(rèn)為,盡管數(shù)據(jù)在去年6月初被公開在網(wǎng)上,但該公司的日志和外部安全審計(jì)似乎表明,除了Troia之外,沒有其他人真正訪問過。為了回應(yīng)Troia的警告,他們甚至在外媒報(bào)道之前,就已經(jīng)保護(hù)了這些數(shù)據(jù)。“我們不相信它會泄露出去,”Hardigree說。
Troia對此反駁說,他去年7月仍然在一個(gè)名為KickAss的暗網(wǎng)論壇上拍下了一張列表的截圖,該論壇也似乎在出售部分Exactis數(shù)據(jù)。但是Hardigree說,Exactis在數(shù)據(jù)庫中包含了虛假的“種子”角色,這是一種標(biāo)準(zhǔn)的營銷行業(yè)技術(shù),旨在作為一種測試,看看它是否已經(jīng)泄露。Hardigree說,他一直在親自監(jiān)控這些種子,沒有收到任何表明有泄露的電子郵件。他還說,他一直與聯(lián)邦調(diào)查局保持聯(lián)系,并聲稱該機(jī)構(gòu)一直在暗網(wǎng)上搜索Exactis數(shù)據(jù),但并沒有找到。美國聯(lián)邦調(diào)查局拒絕了置評或確認(rèn)請求。
死亡威脅
不論罪犯是否已經(jīng)拿走了數(shù)據(jù),泄漏事件事實(shí)上已經(jīng)讓終結(jié)了Exactis。盡管該公司尚未宣布破產(chǎn),但Hardigree表示,他已經(jīng)放棄了盈利,并計(jì)劃將精力集中在另一家初創(chuàng)企業(yè)上。與Exactis進(jìn)行數(shù)據(jù)交易的合作伙伴,或者用來驗(yàn)證數(shù)據(jù)的合作伙伴,都要求從Exactis網(wǎng)站上除名。Hardigree說,Equifax甚至發(fā)送了一封停止和終止信,以迫使Exactis停止在網(wǎng)站上使用其名稱。鑒于Equifax自身的大規(guī)模隱私丑聞,這真是一個(gè)殘酷的諷刺。最終,除了Hardigree之外,其他三位持有Exactis股份的高管也離開了。“我已經(jīng)失去了生意,”Hardigree說。
與此同時(shí),Hardigree表示,他和他的公司遭到數(shù)以千計(jì)憤怒的電子郵件和電話的攻擊,包括多重死亡威脅。Hardigree甚至聲稱,隨著垃圾流量的泛濫摧毀了網(wǎng)站,Exactis一度成為攻擊目標(biāo)。
“我很害怕,我的妻子和孩子也很害怕,”Hardigree在去年7月1日與Wired的電話采訪中說道。“公眾的反應(yīng)有點(diǎn)毀滅性。”丑聞爆發(fā)后,Hardigree不得不前往北卡羅來納州度假,但由于壓力太大,他突發(fā)蕁麻疹,不得不去醫(yī)院治療。Hardigree甚至收到了他訂閱的身份防盜服務(wù)LifeLock的短信提醒,警告公司的數(shù)據(jù)泄露對他隱私的威脅。
“我精神崩潰了,”他說。
自那以后的幾個(gè)月里,他接受了十幾個(gè)州檢察長以及聯(lián)邦調(diào)查局的詢問,他們都在擔(dān)心Exactis數(shù)據(jù)可能被濫用,盡管他注意到所有人都已經(jīng)停止了對他的問訊。佛羅里達(dá)Morgan & Morgan律師事務(wù)所領(lǐng)導(dǎo)的針對Exactis的集體訴訟沒有被撤銷,但也沒有進(jìn)展到審判階段。Hardigree認(rèn)為訴訟實(shí)際已經(jīng)停滯,因?yàn)樗墓靖緵]有錢支付損害賠償金。Morgan & Morgan沒有對此作出回應(yīng)。
Hardigree大部分時(shí)間只能獨(dú)自處理法律和官僚主義交雜的混亂局面。離開公司的人中有他的三個(gè)合伙人,其中兩個(gè)負(fù)責(zé)公司的技術(shù)和數(shù)據(jù)安全,Hardigree指責(zé)他們首先在網(wǎng)上泄露了公司的ElasticSearch數(shù)據(jù)庫。這些前合伙人都沒有對此作出回應(yīng)。
這場磨難對Hardigree來說是一個(gè)痛苦的教訓(xùn),他被迫艱難地學(xué)會了即使像他這樣的小公司也必須優(yōu)先考慮安全問題?!靶⌒哪愕臄?shù)據(jù),小心管理你數(shù)據(jù)的人,”Hardigree說?!拔夜蛡蛄艘恍┐中拇笠獾娜恕5珰w根結(jié)底,這仍然是首席執(zhí)行官的責(zé)任,我也愿意承擔(dān)這份責(zé)任?!?/p>
最后的掙扎
然而,在某些方面,Hardigree仍然在做著抵抗。他稱發(fā)現(xiàn)數(shù)據(jù)泄漏的研究員Troia“不是一個(gè)好人”,并指責(zé)他為了提高自己的知名度而坑害Exactis。他指出,Troia在聯(lián)系Exactis之前就已經(jīng)聯(lián)系了Wired,并在第一封電子郵件之后向該公司發(fā)送了一份營銷手冊。他還聲稱,Troia由于下載泄漏數(shù)據(jù),并向違規(guī)通知服務(wù)HaveIBeenPwned.com提供了一份拷貝,從而可能違反了法律,盡管這種做法對于安全研究人員來說是相當(dāng)普遍的。
“我可以在民事法庭起訴他或提起刑事訴訟,但我認(rèn)為這解決不了任何問題,”Hardigree說。Troia承認(rèn),他確實(shí)為在殺死Exactis的過程中扮演的角色感到難過,但他不后悔自己的行為?!叭绻覜]有找到它,也會有其他人找到,”他說。“無論如何,數(shù)據(jù)庫是公開的,該公司也的確泄露了所有人的數(shù)據(jù)。”
Hardigree還堅(jiān)持認(rèn)為,Exactis收集并被曝光的數(shù)據(jù)實(shí)際上并不敏感,公眾對其的憤怒被夸大了。其中大部分?jǐn)?shù)據(jù)都來自公共記錄和人口普查數(shù)據(jù)等來源。Exactis所做的就是將這些公共信息與它交易和購買的數(shù)據(jù)結(jié)合起來。Hardigree聲稱有數(shù)百家小公司都擁有類似的數(shù)據(jù)。他認(rèn)為,任何人都可以花大約1000美元購買到這些數(shù)據(jù)。“這些數(shù)據(jù)一直都存在著,”Hardigree說。
但是管理HaveIBeenPwned的安全研究員和數(shù)據(jù)泄露專家Troy Hunt表示,Exactis數(shù)據(jù)是具有敏感性的,該公司在安全失效后所遭受的痛苦都是應(yīng)得的。他認(rèn)為,事實(shí)上這些數(shù)據(jù)非常的詳細(xì),足以導(dǎo)致身份盜竊。
“我對他們目前的態(tài)度感到不滿,”Hunt在談到Exactis曝光后的一系列麻煩事說道?!八麄冊谡f‘看,我們?nèi)ニ鸭艘欢褦?shù)據(jù),人們沒有想到會這樣使用,當(dāng)然也沒有獲得任何知情同意權(quán)。然后我們沒能妥善保護(hù)它,現(xiàn)在我們感到很難過,因?yàn)榘l(fā)生了不好的事情?!麄儾粫虼说玫饺魏稳说耐??!?/p>
新常態(tài)
但是Hunt至少同意Hardigree的一個(gè)觀點(diǎn),即越來越多的初創(chuàng)公司似乎擁有并分析了大量消費(fèi)者數(shù)據(jù),而這些數(shù)據(jù)在以前對小公司來說是不可能的。
Hardigree說,由于云服務(wù)和計(jì)算技術(shù)的進(jìn)步,導(dǎo)致公司的規(guī)模與其所能容納的數(shù)據(jù)量不相匹配?!斑^去我們需要超級計(jì)算機(jī)才能做這件事。現(xiàn)在你在自己的電腦上就可以完成,”他說。
追蹤美國數(shù)據(jù)泄露事件的The Privacy Rights Clearinghouse表示,僅在去年,它就發(fā)現(xiàn)類似規(guī)模的公司泄露了13.7億條數(shù)據(jù)。但是該組織的政策顧問Emory Roane說,考慮到技術(shù)進(jìn)步和相關(guān)法規(guī)的缺乏,小公司大規(guī)模違規(guī)行為的增加似乎是自然的結(jié)果。Roane說:“對于全美各地像Verifications.io和Exactis這樣的公司能夠購買或收集極端龐大的數(shù)據(jù),我并不感到驚訝。這的確是可能的,除了因?yàn)榧夹g(shù),也因?yàn)槲覀儧]有強(qiáng)有力的保護(hù)措施?!?/p>
雖然Hardigree在某些方面為公司的隱私問題辯護(hù)并試圖淡化影響,但在其他的對話中,他似乎承認(rèn)自己的公司和眾多遭受泄漏事件影響的公司一樣,由于防火墻的問題,被迫為大規(guī)模數(shù)據(jù)泄露付出代價(jià)。
“我不想成為這類事情的代言人,”Hardigree表示?!暗淖兞宋覍﹄[私的看法。我們所有人都需要負(fù)責(zé)保護(hù)這些信息。如果你不能保護(hù)數(shù)據(jù),那么你就不應(yīng)該待在這一領(lǐng)域內(nèi)?!?/p>