自4月以來,一名有賣竊取數據歷史的黑客聲稱從一家美國數據經紀商竊取了數十億條記錄,影響了至少3億人,這使得這成為了今年最大的涉嫌數據泄露之一。
這些數據,由TechCrunch查看,看起來在某種程度上是合法的 - 雖然不完美。這些被竊取的數據是在一個已知的網絡犯罪論壇上宣傳的,據稱可以追溯多年,包括美國公民的全名、家庭地址歷史和社會安全號碼 - 這些數據是數據經紀商廣泛出售的。
但確定所謂的數據竊取的來源一直是無結論的;這就是數據經紀行業的特點,它從各種來源獲取個人數據而幾乎沒有質量控制。
該黑客所指的涉事數據經紀商是國家公共數據,該公司自稱是“互聯網上提供公開記錄的最大供應商之一”。
在其官方網站上,國家公共數據宣稱出售對幾個數據庫的訪問權限:一個“人物查找”數據庫,客戶可以通過社會安全號碼、姓名和出生日期、地址或電話號碼進行搜索;一個包含超過2.5億人的美國消費者數據庫;一個包含1億名美國公民選民登記數據的數據庫;一個刑事記錄;以及其他幾個。
惡意軟件研究小組vx-underground在X(以前是Twitter)上表示,他們檢視了整個被竊取的數據庫,可以“確認其中的數據是真實而準確的”。
“我們搜索了幾位同意查閱他們信息的個人,”該小組寫道,並補充說他們能夠找到這些人的信息,包括姓名、超過三十年的地址歷史和社會安全號碼。
“它還讓我們找到他們的父母和最近的兄弟姐妹。我們能夠確認某人的父母、已故親屬、叔叔、阿姨和表兄妹的身份,”vx-underground 寫道。
TechCrunch進行了類似的努力驗證數據的真實性,結果參差不齊。
在我們對500萬條記錄的較小樣本進行審查時,我們發現了大量與對應的公共記錄相匹配的姓名和地址,但也有一些數據並不總是合乎情理 - 如電子郵件地址與不同姓名,並且與相關個人數據的其餘部分沒有明顯的關聯。一些記錄中包含了關於已知要人的信息,包括一位前美國總統的個人數據。
TechCrunch向售賣數據的黑客USDoD提供了八個給予同意的人的姓名,試圖驗證黑客是否确實擁有合法數據。黑客並未回复這八個人的任何數據。
TechCrunch還與樣本中的一百人聯繫。只有一個人回覆,並確認他部分被竊取的數據是準確的,但不完全相符。
直接找到數據泄漏的所謂來源也沒有帶來太多答案。
盡管多次嘗試聯繫該公司,但國家公共數據既未做出回應,其創始人和首席執行官Salvatore Verini 也未回应。在TechCrunch上周首次聯繫國家公共數據後,該公司刪除了包含其銷售訪問權限數據庫的網站頁面。
不是所有黑客宣稱的數據泄露,尤其是在黑客論壇上宣傳的,最終都是真實的。這就是為什麼TechCrunch和其他網絡安全記者經常花費大量時間嘗試驗證數據泄漏,有時會得出無結論的結果。
但這次所謂的數據經紀商泄露似乎是一個例外,部分是因為一些數據看起來是真實的,並且已經經過驗證。
個人數據在數據經紀行業中的泛濫和商品化也使得更難確定數據泄漏的來源。即使這次特定的數據泄露仍然未解決,但這再次顯示出數據經紀商行業失控並對普通人的隱私構成真實問題。
我們未能確定解開這次數據泄露的謎團,但有足夠的證據來詳細描述我們的驗證努力。一件事很明確。只要數據經紀商收集個人信息,這些數據就有外泄的風險。
