美國商業巨頭52GB數據庫被盜 涉及千萬美國軍方企業信息
3月16日訊 近日美國商業服務巨頭Dun&Bradstreet的52GB數據庫遭到泄露,這套數據庫中包含超過3300萬條記錄,具體包括政府部門與大型企業客戶,有證據證實,其曾面向營銷廠商出售過。
這套數據庫整體約為52 GB,包含3380萬條惟一電子郵箱地址與成千上萬條企業員工聯系信息,其影響范圍已經占據美國企業從業者的可觀比例。
商業服務巨頭Dun & Bradstreet證實是該數據庫擁有者,并透露這是2015年一筆1.25億美元的交易收購NetProspex公司所獲得。
這套數據庫包含九十條字段,其中一部分包含多項個人信息,例如姓名、職稱與職能、工作電子郵箱地址以及電話號碼。其它信息還包括公開的更為通用的企業數據,包括準確的辦公地點、業務單位內員工人數以及與企業所屬行業相關的其它描述,例如廣告、法律、媒體與廣播以及電信等信息。整套數據庫旨在幫助Dun & Bradstreet公司定位其電子郵件營銷活動,并通過其它通信途徑引導其營銷人員拓展現有及潛在客戶群體。
這批數據可進行批量購買,亦可根據具體公司記錄類型進行購買,但尚不清楚完整數據集的購買價格。根據我們掌握的情況,購買50萬條記錄的成本可能高達20萬美元左右。
泄露通報網站Have I Been Pwned的運營者Troy Hunt獲得了這套數據庫,并對其中記錄進行了分析。Hunt在本周二發布的一篇博文當中稱,此次外泄信息重災區為美國,且加利福尼亞州為信息主要來源,涉及400萬條以上的記錄。紐約有270萬條記錄,德克薩斯州有260萬條記錄。
Hunt對記錄的分析得出結論:
美國國防部在其中占比最高,包含相關員工記錄10萬1013條;
其次是美國郵政局,包含員工記錄8萬8153條;
涉及美國陸軍、空軍與退伍軍人事務部的記錄總計7萬6379條;
涉及高知名度企業,如AT&T、波音、戴爾、聯邦快遞、IBM以及施樂公司,這套數據庫均擁有這些企業的成千上萬條員工記錄。
Hunt在本周二發出的一封郵件中,
“盡管這套數據庫里存在很多已經公開的的數據,但像此套數據庫所提供的聚合信息集及其易于搜索的特性極具利用價值。此次事件再次提醒我們,我們已經失去了對個人隱私的控制力; 這些數據集中涉及的絕大多數人士對自己的信息以這種方式出售毫不知情,自然也不具備任何控制能力。”
Hunt通過Have I Been Pwned網站的泄露記錄數據庫與此次曝光的數據庫進行了比較,并發現有14%的電子郵箱地址此前就已經存在于其泄露記錄數據庫內。相關數據已經在Have I Been Pwned網站上提供搜索。
此次數據庫外泄很難歸因于誰,因為這套數據曾出售給多方。
目前尚不清楚該數據的具體外泄原因,或者說該由誰為本次泄露事故負責。
Dun & Bradshaw公司的一位發言人拒絕作出進一步評論,僅發布了一份與之相關的電子郵件聲明。
這份聲明是這樣的:
“我們已經對自身共享的信息進行了認真評估,此次外泄的信息在類型與格式上確實與我們向客戶交付的內容相符。不過根據我們的分析,Dun & Bradstreet系統并未受到入侵或者曝光。”
這位發言人強調稱,一項內部調查顯示盡管外泄數據歸屬于該公司,但其系統并未遭遇安全違規或者泄露事件。該公司同時補充稱,這批數據大約為六個月前的版本,且相當一部分被出售給“數千”家企業。
Dun & Bradshaw公司的一位高管評論稱,其“很難”追蹤到底是哪家第三方企業公開了這套數據庫的副本。Dun & Bradstreet公司向其客戶及數據收集對象解釋稱,此次泄露并不會造成嚴重風險。其指出這批數據包含“用于銷售與營銷目的的一般性公開業務聯系數據。”
Hunt稱涉及個人信息、組織機構的信息泄露將有利于網絡犯罪分子實施不法活動
不過Hunt表示,這種說辭并不會降低數據遭到濫用的可能性。“如果擁有了他人的姓名、工作職務及其歸屬于所在企業的工作電子郵箱地址,即相當于擁有了對方的個人身份信息。這意味著此次泄露的數據集確實能夠引發巨大風險; 其中的大量個人信息在配合同時泄露的專業角色背景之后,將給其所涉及的組織機構造成嚴重威脅。”
此類數據既然是因為其商用價值被營銷公司購買了便于營銷人員所使用,那么惡意人士當然也能夠采取同樣的使用方式,甚至用于擴大從受害者處獲取的利益。例如近年來,安全領域出現了一系列針對金融機構官員及其他高層企業管理人員的網絡釣魚攻擊活動,旨在誘導員工泄露財務信息以通過納稅申報返還金額獲取經濟回報。如果這批數據讓網絡犯罪分子更為輕松地實施上述活動,那他們干嘛不用。
Hunt稱,“這些數據包含大量高實用性信息,足以支持極為可信的攻擊活動,對于釣魚活動來說無疑是一座巨大的寶藏。利用這些數據,大家可以根據組織結構與其職能特性策劃釣魚信息,以創造幾乎可以以假亂真的誤導內容,這樣的迷惑性與國家支持型惡意活動基本持平。”
目前尚不清楚出售信息這種作法是否屬于數據保護與隱私法律的管控范疇,不過該公司高管表示這套數據庫“完全符合”美國隱私法的要求。該公司拒絕評論此次數據泄露會給其業務造成怎樣的影響,亦沒有明確給出該數據庫的訪問、下載或者共享次數。
他同時補充稱,該公司有時會在不經意間收集到“更為敏感且機密的個人數據”,對于這類數據他們會主動清除相關記錄,不會將其提供或者出售給客戶。
Hunt表示,對于那些自身數據已經被無數次出售的企業員工而言,他們取回這些數據的可能性完全為“零”。
