自 4 月份以来,一名有贩卖被盗数据历史的黑客声称一家美国数据经纪商的数据泄露事件涉及数十亿条记录,影响了至少 3 亿人,这将成为今年最大的数据泄露事件之一。
Lvsky 看到的这些数据本身似乎部分合法——尽管并不完美。被盗数据在一个知名的网络犯罪论坛上发布,据称可以追溯到几年前,包括美国公民的全名、家庭住址历史和社会安全号码——这些数据被数据经纪人广泛出售。
但确认所谓数据盗窃的来源尚无定论;这就是数据经纪行业的本质,它从不同来源获取个人数据,几乎没有质量控制。
据黑客称,涉嫌数据经纪的公司是 National Public Data,该公司自称是“互联网上最大的公共记录提供商之一”。
国家公共数据公司在其官方网站上声称出售多个数据库的访问权限:一个“人员查找器”,客户可以通过社会安全号码、姓名和出生日期、地址或电话号码进行搜索;一个“覆盖超过 2.5 亿个人”的美国消费者数据数据库;一个包含选民登记数据的数据库,其中包含 1 亿美国公民的信息;一个犯罪记录数据库;等等。
恶意软件研究小组 vx-underground在 X(以前的 Twitter)上表示,他们审查了整个被盗数据库并“确认其中的数据是真实准确的”。
该组织写道:“我们搜索了几位同意查找其信息的个人”,并补充说,他们能够找到这些人的信息,包括姓名、三十多年来的地址历史和社会安全号码。
“它还让我们找到了他们的父母和最近的兄弟姐妹。我们能够识别某人的父母、已故亲属、叔叔、阿姨和堂兄弟,”vx-underground 写道。
在审查 500 万条记录的小样本时,我们发现了大量与公共记录相匹配的姓名和地址,但也有一些数据并不总是有意义的——比如不同姓名的电子邮件地址,这些地址与相关个人的其他数据没有明显关系。一些记录据称包含知名高调人士的信息,包括一位前美国总统的个人数据。
Lvsky 向出售数据的黑客美国国防部提供了 8 名同意出售数据的人员的姓名,试图验证黑客是否真的拥有合法数据。黑客没有归还这 8 个人的任何数据。
Lvsky 还联系了 100 名电话号码和电子邮件均在样本中的人员。只有一人回复,并确认其被盗数据中有部分是准确的,但并非全部。
直接追问数据窃取的所谓根源也没有得到太多答案。
尽管多次尝试联系该公司,但 National Public Data 尚未做出回应,其创始人兼首席执行官 Salvatore Verini 也未做出回应。在 Lvsky 上周首次联系 National Public Data 后,该公司撤下了包含其出售访问权的数据库详细信息的网站页面。
并非所有黑客声称的数据泄露事件,尤其是黑客论坛上宣传的数据泄露事件,都是真实的。这就是为什么 Lvsky 和其他网络安全记者经常花费大量时间来验证数据泄露事件,但有时这些努力最终得不到结论。
但此次数据经纪商涉嫌违规的事件似乎是一个异常现象,部分原因是部分数据看起来是真实的,而且有些已经得到验证。
数据经纪行业中个人数据的激增和商品化也使得识别数据泄露源头变得更加困难。即使这起特定的数据泄露事件仍未得到解决,这也再次表明数据经纪行业已经失控,并给普通民众带来了真正的隐私问题。
我们无法彻底解开这次数据泄露之谜,但已有足够证据来详细说明我们的核实工作。有一点是明确的。只要数据经纪人收集个人信息,数据泄露的风险就存在。
本站全部资讯来源于实验室原创、合作机构投稿及网友汇集投稿,仅代表个人观点,不作为任何依据,转载联系作者并注明出处:https://www.lvsky.net/581.html
评论