涉嫌数据经纪人数据泄露之谜
自四月以来,一名有盗窃数据记录的黑客声称从一家美国数据经纪人那里窃取了数十亿条记录,影响了至少3亿人,这可能是今年最大的涉嫌数据泄露之一。
\n从TechCrunch上看到的数据本身看起来部分真实,但也有一些不完整。这些被盗的数据在一个已知的网络犯罪论坛上广为宣传,据称可以追溯多年,包括美国公民的全名、住址历史和社会安全号码,这些数据经常被数据经纪人出售。
\n但确认涉嫌数据盗窃的来源已被证实是不确定的;这就是数据经纪人行业的性质,从不同来源收集个人数据,几乎没有质量控制。
\n据黑客称涉嫌的数据经纪人是美国公共数据公司,该公司自称是“互联网上最大的公共纪录提供商之一”。
\n在其官方网站上,美国公共数据公司宣称出售对几个数据库的访问权限:一个“人员查找”数据库,客户可以通过社会安全号码、姓名和出生日期、地址或电话号码进行搜索;一个包含“超过2.5亿个个体”的美国消费者数据数据库;一个包含有1亿美国公民选民登记数据的数据库;一个犯罪记录数据库;以及其他几个数据库。
\n恶意软件研究组织vx-underground在X(前身为Twitter)称他们已经审核了整个被盗数据库,并“确认其中的数据是真实准确的”。
\n“我们搜索了几个同意查找其信息的个人,”该组织写道,并补充说他们能够找到这些人的信息,包括姓名、有三十多年历史的住址记录和社会安全号码。
\n“它还允许我们找到他们的父母和最近的兄弟姐妹。我们能够确认某人的父母、已故的亲戚、叔叔、姑妈和表兄弟姐妹,”vx-underground写道。
\nTechCrunch也尝试验证数据的真实性,结果参差不齐。
\n
联系我们
\n 如果您对此事件或类似事件有更多信息?您可以安全地通过Signal联系Lorenzo Franceschi-Bicchierai:+1 917 257 1382,或者通过Telegram、Keybase、Wire @lorenzofb,或发送电子邮件。您也可以通过SecureDrop联系TechCrunch。在我们对500万条记录的小样本进行审查时,我们发现大量的姓名和地址与相应的公共记录相符,但也有一些数据并不总是合乎逻辑,比如使用与其余相关个人数据毫不相干的不同姓名的电子邮件地址。一些记录中包含了一些已知高知名度人士的被盗个人数据。
\nTechCrunch向出售数据的黑客USDoD提供了八名同意验证的人员的姓名,试图验证黑客是否拥有合法数据。但黑客没有为这八人提供任何数据。
\nTechCrunch还联系了样本中电话号码和电子邮件的一百人,只有一人回应,并确认他的部分被盗数据是准确的,但并非所有。
\n\n
尽管多次尝试联系该公司,美国公共数据公司没有回应,其创始人兼首席执行官 Salvatore Verini也是如此。在TechCrunch上周首次联系美国公共数据公司后,该公司删除了包括其销售数据库访问权限的网页。
\n并非所有黑客声称的数据泄露,尤其是在黑客论坛上宣传的那些,事实上都是真实的。这就是为什么TechCrunch和其他网络安全记者经常花费大量时间来尝试验证数据泄露,有时结果是没有定论的。
\n但这个数据经纪人涉嫌泄露的事件似乎是个例外,在一定程度上是因为其中一些数据看起来是真实的,而且已经验证过。
\n个人数据在数据经纪人行业中的普及和商品化也使得更加难以确认数据泄露的来源。尽管这个具体的数据泄露事件仍未解开,但它再次表明数据经纪人行业已经失控,并对普通人的隐私构成真正的问题。
\n我们无法最终解开这起数据泄露的谜团,但已经有足够的内容来详细说明我们的验证工作。有一点是清楚的,只要数据经纪人收集个人信息,泄露风险就始终存在。