還沒到辦公室�����,Steve Hardigree的一天已然成為一場噩夢����。
去年6月的早上,Hardigree在谷歌上搜索自己公司的名稱時��,發(fā)現(xiàn)越來越多的新聞標題將他三年前創(chuàng)建的10人營銷公司Exactis�,指向為個人信息泄露的源頭,泄漏范圍覆蓋了幾乎整個美國人口�����。一位在附近工作的朋友提醒他����,電視新聞記者已經帶著攝像機在大樓外面駐扎了。提供救急服務的安保公司爭先恐后地向他推銷著解決方案���,而律師事務所則匆忙對他的公司提起集體訴訟�。這一切都是因為一臺不安全的服務器?�!澳憧梢韵胂?��,”Hardigree說����,“我陷入了恐慌��?���!?/p>
就在前一天,外媒披露�,Exactis在開放的互聯(lián)網上泄露了一個包含3.4億條記錄的數(shù)據(jù)庫�����,這一泄漏事件由名為Vinny
Troia的獨立安全研究員首次發(fā)現(xiàn)���。通過使用掃描工具Shodan����,Troia發(fā)現(xiàn)了一個被錯誤配置的亞馬遜ElasticSearch服務器(該服務器包含了數(shù)據(jù)庫),然后下載了它��。隨后他在這份數(shù)據(jù)庫里發(fā)現(xiàn)了2.3億條個人記錄和1.1億條與企業(yè)相關的記錄�����,信息總量超過2TB�����。雖然這些文件不包括信用卡信息�����、密碼或社會保險號�����,但是每一份文件都列舉了數(shù)百條個人信息����,涵蓋從抵押貸款價值到孩子的年齡,以及其他個人信息�����,如電子郵件地址、家庭地址和電話號碼����。
Exactis將這些信息許可給營銷和銷售客戶,從而讓他們可以將這些信息與現(xiàn)有的數(shù)據(jù)庫集成起來�����,建立更全面的檔案�����。但是隱私倡導者警告稱���,這些對公眾開放的細節(jié)��,可能同樣容易讓垃圾郵件發(fā)送者或詐騙者對目標對象進行側寫���。
在那幾個月里�,Exactis所經歷的這種大規(guī)模數(shù)據(jù)意外泄露并不是獨一無二的。然而��,Exactis創(chuàng)始人Steve
Hardigree愿意與媒體分享那次經歷:成為全美數(shù)據(jù)隱私糾紛的中心,并處理法律���、官僚和聲譽的影響�����。
它所帶來的結果是一個警示性的故事����,講述了一個龐大的數(shù)據(jù)集可能為像Exactis這樣的小公司帶來的責任����。它也暗示了小公司在沒有必要的資源或技術來保護自身的情況下,使用大量的�����、易泄露的個人信息數(shù)據(jù)庫是多么的容易����。
但首先,Hardigree想強調一點���,Exactis數(shù)據(jù)披露事件并不屬于“違規(guī)”�����,他甚至不同意稱之為“泄密事件”���。Hardigree堅持認為����,盡管數(shù)據(jù)在去年6月初被公開在網上�,但該公司的日志和外部安全審計似乎表明,除了Troia之外����,沒有其他人真正訪問過。為了回應Troia的警告����,他們甚至在外媒報道之前,就已經保護了這些數(shù)據(jù)��?��!拔覀儾幌嘈潘鼤孤冻鋈?����,”Hardigree說�����。
Troia對此反駁說����,他去年7月仍然在一個名為KickAss的暗網論壇上拍下了一張列表的截圖��,該論壇也似乎在出售部分Exactis數(shù)據(jù)����。但是Hardigree說,Exactis在數(shù)據(jù)庫中包含了虛假的“種子”角色����,這是一種標準的營銷行業(yè)技術,旨在作為一種測試���,看看它是否已經泄露���。Hardigree說,他一直在親自監(jiān)控這些種子����,沒有收到任何表明有泄露的電子郵件�。他還說��,他一直與聯(lián)邦調查局保持聯(lián)系�,并聲稱該機構一直在暗網上搜索Exactis數(shù)據(jù),但并沒有找到���。美國聯(lián)邦調查局拒絕了置評或確認請求�����。
死亡威脅
不論罪犯是否已經拿走了數(shù)據(jù),泄漏事件事實上已經讓終結了Exactis��。盡管該公司尚未宣布破產�,但Hardigree表示,他已經放棄了盈利���,并計劃將精力集中在另一家初創(chuàng)企業(yè)上�����。與Exactis進行數(shù)據(jù)交易的合作伙伴����,或者用來驗證數(shù)據(jù)的合作伙伴����,都要求從Exactis網站上除名。Hardigree說�,Equifax甚至發(fā)送了一封停止和終止信,以迫使Exactis停止在網站上使用其名稱�。鑒于Equifax自身的大規(guī)模隱私丑聞,這真是一個殘酷的諷刺���。最終����,除了Hardigree之外��,其他三位持有Exactis股份的高管也離開了�����?���!拔乙呀浭チ松?��,”Hardigree說。
與此同時����,Hardigree表示,他和他的公司遭到數(shù)以千計憤怒的電子郵件和電話的攻擊�,包括多重死亡威脅。Hardigree甚至聲稱����,隨著垃圾流量的泛濫摧毀了網站,Exactis一度成為攻擊目標����。
“我很害怕,我的妻子和孩子也很害怕��,”Hardigree在去年7月1日與Wired的電話采訪中說道��?����!肮姷姆磻悬c毀滅性?�!背舐劚l(fā)后�����,Hardigree不得不前往北卡羅來納州度假�����,但由于壓力太大�����,他突發(fā)蕁麻疹�,不得不去醫(yī)院治療����。Hardigree甚至收到了他訂閱的身份防盜服務LifeLock的短信提醒,警告公司的數(shù)據(jù)泄露對他隱私的威脅��。
“我精神崩潰了����,”他說��。
自那以后的幾個月里�����,他接受了十幾個州檢察長以及聯(lián)邦調查局的詢問�����,他們都在擔心Exactis數(shù)據(jù)可能被濫用���,盡管他注意到所有人都已經停止了對他的問訊。佛羅里達Morgan
&
Morgan律師事務所領導的針對Exactis的集體訴訟沒有被撤銷�,但也沒有進展到審判階段。Hardigree認為訴訟實際已經停滯���,因為他的公司根本沒有錢支付損害賠償金���。Morgan
& Morgan沒有對此作出回應。
Hardigree大部分時間只能獨自處理法律和官僚主義交雜的混亂局面��。離開公司的人中有他的三個合伙人���,其中兩個負責公司的技術和數(shù)據(jù)安全��,Hardigree指責他們首先在網上泄露了公司的ElasticSearch數(shù)據(jù)庫��。這些前合伙人都沒有對此作出回應�。
這場磨難對Hardigree來說是一個痛苦的教訓,他被迫艱難地學會了即使像他這樣的小公司也必須優(yōu)先考慮安全問題���?���!靶⌒哪愕臄?shù)據(jù)���,小心管理你數(shù)據(jù)的人,”Hardigree說����。“我雇傭了一些粗心大意的人��。但歸根結底�����,這仍然是首席執(zhí)行官的責任,我也愿意承擔這份責任���?�!?/p>
最后的掙扎
然而�����,在某些方面����,Hardigree仍然在做著抵抗�。他稱發(fā)現(xiàn)數(shù)據(jù)泄漏的研究員Troia“不是一個好人”,并指責他為了提高自己的知名度而坑害Exactis���。他指出����,Troia在聯(lián)系Exactis之前就已經聯(lián)系了Wired��,并在第一封電子郵件之后向該公司發(fā)送了一份營銷手冊����。他還聲稱�,Troia由于下載泄漏數(shù)據(jù)�����,并向違規(guī)通知服務HaveIBeenPwned.com提供了一份拷貝�,從而可能違反了法律,盡管這種做法對于安全研究人員來說是相當普遍的�。
“我可以在民事法庭起訴他或提起刑事訴訟,但我認為這解決不了任何問題��,”Hardigree說��。Troia承認��,他確實為在殺死Exactis的過程中扮演的角色感到難過��,但他不后悔自己的行為�?!叭绻覜]有找到它,也會有其他人找到���,”他說��?!盁o論如何,數(shù)據(jù)庫是公開的��,該公司也的確泄露了所有人的數(shù)據(jù)�。”
Hardigree還堅持認為��,Exactis收集并被曝光的數(shù)據(jù)實際上并不敏感����,公眾對其的憤怒被夸大了。其中大部分數(shù)據(jù)都來自公共記錄和人口普查數(shù)據(jù)等來源���。Exactis所做的就是將這些公共信息與它交易和購買的數(shù)據(jù)結合起來���。Hardigree聲稱有數(shù)百家小公司都擁有類似的數(shù)據(jù)。他認為��,任何人都可以花大約1000美元購買到這些數(shù)據(jù)���?���!斑@些數(shù)據(jù)一直都存在著�����,”Hardigree說。
但是管理HaveIBeenPwned的安全研究員和數(shù)據(jù)泄露專家Troy
Hunt表示�,Exactis數(shù)據(jù)是具有敏感性的,該公司在安全失效后所遭受的痛苦都是應得的����。他認為,事實上這些數(shù)據(jù)非常的詳細����,足以導致身份盜竊。
“我對他們目前的態(tài)度感到不滿���,”Hunt在談到Exactis曝光后的一系列麻煩事說道����?�!八麄冊谡f‘看��,我們去搜集了一堆數(shù)據(jù)����,人們沒有想到會這樣使用,當然也沒有獲得任何知情同意權��。然后我們沒能妥善保護它����,現(xiàn)在我們感到很難過,因為發(fā)生了不好的事情�����?���!麄儾粫虼说玫饺魏稳说耐椤���!?/p>
新常態(tài)
但是Hunt至少同意Hardigree的一個觀點��,即越來越多的初創(chuàng)公司似乎擁有并分析了大量消費者數(shù)據(jù)�,而這些數(shù)據(jù)在以前對小公司來說是不可能的����。
Hardigree說,由于云服務和計算技術的進步���,導致公司的規(guī)模與其所能容納的數(shù)據(jù)量不相匹配��?!斑^去我們需要超級計算機才能做這件事。現(xiàn)在你在自己的電腦上就可以完成����,”他說。
追蹤美國數(shù)據(jù)泄露事件的The Privacy Rights
Clearinghouse表示�,僅在去年,它就發(fā)現(xiàn)類似規(guī)模的公司泄露了13.7億條數(shù)據(jù)�����。但是該組織的政策顧問Emory
Roane說����,考慮到技術進步和相關法規(guī)的缺乏,小公司大規(guī)模違規(guī)行為的增加似乎是自然的結果�����。Roane說:“對于全美各地像Verifications.io和Exactis這樣的公司能夠購買或收集極端龐大的數(shù)據(jù)���,我并不感到驚訝��。這的確是可能的����,除了因為技術����,也因為我們沒有強有力的保護措施?����!?/p>
雖然Hardigree在某些方面為公司的隱私問題辯護并試圖淡化影響�,但在其他的對話中,他似乎承認自己的公司和眾多遭受泄漏事件影響的公司一樣����,由于防火墻的問題,被迫為大規(guī)模數(shù)據(jù)泄露付出代價����。
“我不想成為這類事情的代言人,”Hardigree表示����?�!暗淖兞宋覍﹄[私的看法�����。我們所有人都需要負責保護這些信息�。如果你不能保護數(shù)據(jù)�,那么你就不應該待在這一領域內?��!?/p>
