杜克大學于11月6日發布的的一項新研究報告表明，網絡攻擊者可以輕松地從數據經紀人手中，以低廉的價格獲取有關美國軍人的敏感信息。

數據經紀人收集和匯總信息，然后直接或通過利用數據的服務出售、許可或共享信息。數據經紀人包括 Equifax 和 Experian 等信用報告機構、Acxiom 等營銷公司以及 Verisk 等數據分析和風險評估公司。該領域的另一個主要參與者是移動應用程序，它們通常在用戶不知情或不同意的情況下收集用戶信息并將其出售給第三方。

數據經紀人收集和出售的信息廣泛，包括姓名、政治偏好、家庭和電子郵件地址、GPS 位置、財務狀況和健康信息等。 此類信息對于攻擊者而言非常有用，可對目標進行跟蹤、詐騙、勒索、等行動。對于軍人來說，這些數據的暴露可能會對國家安全構成風險。

杜克大學的研究人員發現，在許多情況下，獲取在役軍人和退伍軍人的信息既簡單又便宜，經紀人會專門宣傳此類數據。

研究人員聯系了美國的十幾家經紀人，購買了軍人信息。他們發現經紀人用來驗證客戶身份的方法不一致，并指出這些做法高度不受美國政府監管。

雖然一些經紀人拒絕將數據出售給未經驗證的組織，但其他經紀人更感興趣的似乎是確保數據購買的機密性，而不是實際數據的機密性。 當購買數千條記錄時，研究人員設法以每條 0.12 美元的價格獲取到了敏感信息，而對于更大數量購買，價格甚至可以低至每條 0.01 美元。

研究人員嘗試使用美國域名和已鏈接到新加坡 IP 地址的  .asia域名購買數據，發現即使使用 .asia 域名，一些經紀人也同意提供數千條記錄，包括地理圍欄到華盛頓特區、北卡羅來納州布拉格堡、弗吉尼亞州阿皮山堡和匡蒂科等戰略地點的數據。

研究人員在報告中認為，一些國家間的間諜活動對美國軍方的數據尤其感興趣，建議立法者通過一項全面的隱私法，對數據經紀生態系統進行強有力的控制，并建議國會向能夠執行新政策的監管機構提供更多資金。