天创培训:您身边的信息安全培训专家!
设为首页 | 添加收藏 | 网站地图 | 证书查询
行业动态
美国52GB个人身份信息泄露:国防部、沃尔玛、花旗集团等都未能幸免

近日,网络安全专家兼微软区域主管Troy Hunt在博客上披露了他收到的一份多达52GB的数据库资料。内容包含近3400万美国人的个人身份信息(PII),且覆盖种类多样——从姓名、职位,邮箱、电话到公司盈利情况,雇员数量等林林总总,甚至还有国防部下辖军人档案信息!
美国52GB个人身份信息泄露
千疮百孔
在安全状况频出的今天,发生数据泄漏的问题并不是什么稀罕事,不过本次爆料里还是有诸多看点值得一提。
首先,这批数据的来源是世界商业信息服务公司巨头——邓白氏(Dun&Bradstreet),不熟悉的同学可以去Google一下该公司的体量。邓白氏前不久受到了由Ethisphere颁发的“2017全球最具商业道德公司”的提名(当然现在听上去可能有些讽刺),并且曾在2015年以1.25亿美元收购了NetProspex——一家服务于各大机构,提供B2B数据管理的公司。NetProspex宣称自己“拥有多元化的数据处理流程,依托世界最大的商业数据库并无缝对接用户的市场系统。”但无论如何,证据显示本次泄漏的数据库就是当时交易的一部分,邓白氏对此也予以了承认。
美国52GB个人身份信息泄露
目前本次泄漏事件在Have I Been Pwned排在第16位,意味着受影响人数超过Ashley Madison被黑事件
其次,泄漏的数据细节详尽,价值不菲。诸如姓名、职称、职能、工作邮件、电话号码,甚至工作单位的盈利情况,员工数量等条目都在列。这些内容将大大提升泄漏数据的价值,相信会有不少人愿意凭借此类信息为精准的市场营销造势,比如针对特定公司人群的邮件宣传之类。更何况当年邓白氏也是为了这些数据花了好大一笔银子。据找到的两年前的一本手册来看,一家公司查看50万条记录约需要花费20万美元,而这次泄漏的内容里单单不同的邮件地址就包含近3380万条!
据Hunt介绍,所有资料都来自美国境内,最多的当属加州(约400万条),其次就是纽约(270万)以及德克萨斯(260万)。

再次,泄漏的数据中包含了美国国防部的人员资料,有超过10万条,其中各种职能超过1万条,如职业军人,情报分析人员,弹药专家,化学工程师等。紧随其后的国家部门是美国邮政系统,有超过88000条员工记录,然后美国陆军,空军和退伍军人事务部共计76000条左右记录。考虑到当前复杂的安全态势,这点是相当令人担忧的——Hunt表示自己看到这些资料后第一时间想到的就是ISIS的悬赏名单。

以下是他列出的前十位数据泄漏的机构:
DOD Cce.: 101,013(美国国防部下属机构)
United States Postal Service: 88,153(美国邮政服务系统)
AT&T Inc.: 67382(美国电信巨头)
Wal-Mart Stores, Inc.: 55,421(沃尔玛)
CVS Health Corporation: 40,739(美国医药零售巨头)
The Ohio State University: 38,705(俄亥俄州立大学)
Citigroup Inc.: 35,292(花旗集团)
Wells Fargo Bank, National Association: 34,928(富国银行)
Kaiser Foundation Hospitals: 34,805(凯撒医疗基金会医院)
International Business Machines Corporation: 33,412(IBM)
以往此类信息虽然部分在互联网上可查,但是通常零散分布在各个角落,无法产生巨大效果,而这次泄露数据批量化地出现则证明了个人信息容易失控到了何等地步。Hunt在博客中如此评价道:“这件事提醒我们已经失去了对个人隐私的控制。事件中的大多数人都不清楚他们的个人信息以何种形式被贩卖出去,而他们对此无能为力。”
这锅我们不背
美国52GB个人身份信息泄露
不过本次事件的主角似乎并不打算就此接锅。尽管邓白氏承认了遭泄数据库是他们所有,但是也同样表示自身系统并没有遭到入侵。事实上,他们认为泄漏数据的格式与文件类型与他们提供给客户的相同,而且他们已经将类似的信息出售给超过“上千家公司”,言下之意一目了然。
目前他们在调查哪家第三方公司泄漏了这些数据,但取证过程困难重重。不过他们还强调这些数据是合法的,而且不包含所谓的“PII”信息——当然,我们都知道如果一个人的姓名,工作,邮箱和公司都不算个人信息的话是说不过去的。用Hunt的话说:这些就算做个人身份信息(PII),而且严重违反数据管理规范,如此多的私人信息将对牵涉其中的所有人带来严重威胁。
对此,BitSight(第三方风险管理与安全评估机构)联合创始人兼CTO,Stephen Boyer认为:“如果邓白氏所否认的是真的,那就意味着泄漏出自一个新维度——第三方购买者,而且这些人往往不像供应商那样和邓白氏之间有持续的合作关系,他们在批量购买数据时就很容易出问题。现在网络罪犯可以利用这些数据对大型企业发动攻击了——某些公司有超过10万条员工信息泄漏,他们要小心接下来的钓鱼和欺诈攻击了。”