還沒到辦公室,Steve Hardigree的一天已然成為一場噩夢���。
去年6月的早上���,Hardigree在谷歌上搜索自己公司的名稱時,發(fā)現(xiàn)越來越多的新聞標(biāo)題將他三年前創(chuàng)建的10人營銷公司Exactis�,指向為個人信息泄露的源頭,泄漏范圍覆蓋了幾乎整個美國人口�。一位在附近工作的朋友提醒他��,電視新聞記者已經(jīng)帶著攝像機(jī)在大樓外面駐扎了�����。提供救急服務(wù)的安保公司爭先恐后地向他推銷著解決方案����,而律師事務(wù)所則匆忙對他的公司提起集體訴訟�。這一切都是因為一臺不安全的服務(wù)器?!澳憧梢韵胂螅盚ardigree說����,“我陷入了恐慌?��!?/p>
就在前一天�,外媒披露�,Exactis在開放的互聯(lián)網(wǎng)上泄露了一個包含3.4億條記錄的數(shù)據(jù)庫,這一泄漏事件由名為Vinny
Troia的獨立安全研究員首次發(fā)現(xiàn)�����。通過使用掃描工具Shodan,Troia發(fā)現(xiàn)了一個被錯誤配置的亞馬遜ElasticSearch服務(wù)器(該服務(wù)器包含了數(shù)據(jù)庫)�����,然后下載了它����。隨后他在這份數(shù)據(jù)庫里發(fā)現(xiàn)了2.3億條個人記錄和1.1億條與企業(yè)相關(guān)的記錄����,信息總量超過2TB。雖然這些文件不包括信用卡信息�����、密碼或社會保險號���,但是每一份文件都列舉了數(shù)百條個人信息�����,涵蓋從抵押貸款價值到孩子的年齡�,以及其他個人信息�,如電子郵件地址��、家庭地址和電話號碼����。
Exactis將這些信息許可給營銷和銷售客戶�,從而讓他們可以將這些信息與現(xiàn)有的數(shù)據(jù)庫集成起來,建立更全面的檔案��。但是隱私倡導(dǎo)者警告稱�����,這些對公眾開放的細(xì)節(jié)����,可能同樣容易讓垃圾郵件發(fā)送者或詐騙者對目標(biāo)對象進(jìn)行側(cè)寫。
在那幾個月里�,Exactis所經(jīng)歷的這種大規(guī)模數(shù)據(jù)意外泄露并不是獨一無二的。然而�����,Exactis創(chuàng)始人Steve
Hardigree愿意與媒體分享那次經(jīng)歷:成為全美數(shù)據(jù)隱私糾紛的中心�����,并處理法律、官僚和聲譽的影響�����。
它所帶來的結(jié)果是一個警示性的故事�����,講述了一個龐大的數(shù)據(jù)集可能為像Exactis這樣的小公司帶來的責(zé)任�。它也暗示了小公司在沒有必要的資源或技術(shù)來保護(hù)自身的情況下����,使用大量的、易泄露的個人信息數(shù)據(jù)庫是多么的容易��。
但首先�,Hardigree想強(qiáng)調(diào)一點,Exactis數(shù)據(jù)披露事件并不屬于“違規(guī)”����,他甚至不同意稱之為“泄密事件”。Hardigree堅持認(rèn)為����,盡管數(shù)據(jù)在去年6月初被公開在網(wǎng)上����,但該公司的日志和外部安全審計似乎表明�,除了Troia之外,沒有其他人真正訪問過�。為了回應(yīng)Troia的警告,他們甚至在外媒報道之前��,就已經(jīng)保護(hù)了這些數(shù)據(jù)���?�!拔覀儾幌嘈潘鼤孤冻鋈?�,”Hardigree說���。
Troia對此反駁說,他去年7月仍然在一個名為KickAss的暗網(wǎng)論壇上拍下了一張列表的截圖���,該論壇也似乎在出售部分Exactis數(shù)據(jù)����。但是Hardigree說,Exactis在數(shù)據(jù)庫中包含了虛假的“種子”角色�����,這是一種標(biāo)準(zhǔn)的營銷行業(yè)技術(shù)����,旨在作為一種測試,看看它是否已經(jīng)泄露���。Hardigree說���,他一直在親自監(jiān)控這些種子,沒有收到任何表明有泄露的電子郵件���。他還說,他一直與聯(lián)邦調(diào)查局保持聯(lián)系�,并聲稱該機(jī)構(gòu)一直在暗網(wǎng)上搜索Exactis數(shù)據(jù),但并沒有找到�。美國聯(lián)邦調(diào)查局拒絕了置評或確認(rèn)請求。
死亡威脅
不論罪犯是否已經(jīng)拿走了數(shù)據(jù),泄漏事件事實上已經(jīng)讓終結(jié)了Exactis���。盡管該公司尚未宣布破產(chǎn)����,但Hardigree表示,他已經(jīng)放棄了盈利��,并計劃將精力集中在另一家初創(chuàng)企業(yè)上���。與Exactis進(jìn)行數(shù)據(jù)交易的合作伙伴��,或者用來驗證數(shù)據(jù)的合作伙伴�,都要求從Exactis網(wǎng)站上除名�����。Hardigree說�,Equifax甚至發(fā)送了一封停止和終止信,以迫使Exactis停止在網(wǎng)站上使用其名稱��。鑒于Equifax自身的大規(guī)模隱私丑聞����,這真是一個殘酷的諷刺。最終����,除了Hardigree之外�����,其他三位持有Exactis股份的高管也離開了�����?!拔乙呀?jīng)失去了生意����,”Hardigree說。
與此同時��,Hardigree表示��,他和他的公司遭到數(shù)以千計憤怒的電子郵件和電話的攻擊�����,包括多重死亡威脅�。Hardigree甚至聲稱�,隨著垃圾流量的泛濫摧毀了網(wǎng)站���,Exactis一度成為攻擊目標(biāo)。
“我很害怕��,我的妻子和孩子也很害怕���,”Hardigree在去年7月1日與Wired的電話采訪中說道�����?!肮姷姆磻?yīng)有點毀滅性����。”丑聞爆發(fā)后��,Hardigree不得不前往北卡羅來納州度假�����,但由于壓力太大���,他突發(fā)蕁麻疹�,不得不去醫(yī)院治療。Hardigree甚至收到了他訂閱的身份防盜服務(wù)LifeLock的短信提醒�,警告公司的數(shù)據(jù)泄露對他隱私的威脅。
“我精神崩潰了���,”他說���。
自那以后的幾個月里,他接受了十幾個州檢察長以及聯(lián)邦調(diào)查局的詢問��,他們都在擔(dān)心Exactis數(shù)據(jù)可能被濫用�,盡管他注意到所有人都已經(jīng)停止了對他的問訊。佛羅里達(dá)Morgan
&
Morgan律師事務(wù)所領(lǐng)導(dǎo)的針對Exactis的集體訴訟沒有被撤銷�,但也沒有進(jìn)展到審判階段。Hardigree認(rèn)為訴訟實際已經(jīng)停滯��,因為他的公司根本沒有錢支付損害賠償金�。Morgan
& Morgan沒有對此作出回應(yīng)。
Hardigree大部分時間只能獨自處理法律和官僚主義交雜的混亂局面��。離開公司的人中有他的三個合伙人���,其中兩個負(fù)責(zé)公司的技術(shù)和數(shù)據(jù)安全����,Hardigree指責(zé)他們首先在網(wǎng)上泄露了公司的ElasticSearch數(shù)據(jù)庫�。這些前合伙人都沒有對此作出回應(yīng)。
這場磨難對Hardigree來說是一個痛苦的教訓(xùn)�����,他被迫艱難地學(xué)會了即使像他這樣的小公司也必須優(yōu)先考慮安全問題�����?����!靶⌒哪愕臄?shù)據(jù)�,小心管理你數(shù)據(jù)的人,”Hardigree說��?!拔夜蛡蛄艘恍┐中拇笠獾娜恕5珰w根結(jié)底����,這仍然是首席執(zhí)行官的責(zé)任,我也愿意承擔(dān)這份責(zé)任���?��!?/p>
最后的掙扎
然而�����,在某些方面��,Hardigree仍然在做著抵抗��。他稱發(fā)現(xiàn)數(shù)據(jù)泄漏的研究員Troia“不是一個好人”���,并指責(zé)他為了提高自己的知名度而坑害Exactis。他指出���,Troia在聯(lián)系Exactis之前就已經(jīng)聯(lián)系了Wired���,并在第一封電子郵件之后向該公司發(fā)送了一份營銷手冊。他還聲稱�����,Troia由于下載泄漏數(shù)據(jù),并向違規(guī)通知服務(wù)HaveIBeenPwned.com提供了一份拷貝���,從而可能違反了法律�,盡管這種做法對于安全研究人員來說是相當(dāng)普遍的�����。
“我可以在民事法庭起訴他或提起刑事訴訟���,但我認(rèn)為這解決不了任何問題,”Hardigree說�����。Troia承認(rèn)�����,他確實為在殺死Exactis的過程中扮演的角色感到難過���,但他不后悔自己的行為�?�!叭绻覜]有找到它,也會有其他人找到��,”他說�����?!盁o論如何,數(shù)據(jù)庫是公開的�����,該公司也的確泄露了所有人的數(shù)據(jù)�。”
Hardigree還堅持認(rèn)為�,Exactis收集并被曝光的數(shù)據(jù)實際上并不敏感,公眾對其的憤怒被夸大了����。其中大部分?jǐn)?shù)據(jù)都來自公共記錄和人口普查數(shù)據(jù)等來源。Exactis所做的就是將這些公共信息與它交易和購買的數(shù)據(jù)結(jié)合起來��。Hardigree聲稱有數(shù)百家小公司都擁有類似的數(shù)據(jù)�����。他認(rèn)為,任何人都可以花大約1000美元購買到這些數(shù)據(jù)�。“這些數(shù)據(jù)一直都存在著����,”Hardigree說。
但是管理HaveIBeenPwned的安全研究員和數(shù)據(jù)泄露專家Troy
Hunt表示���,Exactis數(shù)據(jù)是具有敏感性的,該公司在安全失效后所遭受的痛苦都是應(yīng)得的���。他認(rèn)為���,事實上這些數(shù)據(jù)非常的詳細(xì),足以導(dǎo)致身份盜竊�����。
“我對他們目前的態(tài)度感到不滿�,”Hunt在談到Exactis曝光后的一系列麻煩事說道?!八麄冊谡f‘看,我們?nèi)ニ鸭艘欢褦?shù)據(jù)�,人們沒有想到會這樣使用,當(dāng)然也沒有獲得任何知情同意權(quán)。然后我們沒能妥善保護(hù)它��,現(xiàn)在我們感到很難過���,因為發(fā)生了不好的事情��?���!麄儾粫虼说玫饺魏稳说耐?��?!?/p>
新常態(tài)
但是Hunt至少同意Hardigree的一個觀點�,即越來越多的初創(chuàng)公司似乎擁有并分析了大量消費者數(shù)據(jù),而這些數(shù)據(jù)在以前對小公司來說是不可能的����。
Hardigree說,由于云服務(wù)和計算技術(shù)的進(jìn)步����,導(dǎo)致公司的規(guī)模與其所能容納的數(shù)據(jù)量不相匹配?��!斑^去我們需要超級計算機(jī)才能做這件事?���,F(xiàn)在你在自己的電腦上就可以完成,”他說�����。
追蹤美國數(shù)據(jù)泄露事件的The Privacy Rights
Clearinghouse表示���,僅在去年�����,它就發(fā)現(xiàn)類似規(guī)模的公司泄露了13.7億條數(shù)據(jù)。但是該組織的政策顧問Emory
Roane說���,考慮到技術(shù)進(jìn)步和相關(guān)法規(guī)的缺乏�����,小公司大規(guī)模違規(guī)行為的增加似乎是自然的結(jié)果�����。Roane說:“對于全美各地像Verifications.io和Exactis這樣的公司能夠購買或收集極端龐大的數(shù)據(jù)��,我并不感到驚訝����。這的確是可能的,除了因為技術(shù)�����,也因為我們沒有強(qiáng)有力的保護(hù)措施�����?����!?/p>
雖然Hardigree在某些方面為公司的隱私問題辯護(hù)并試圖淡化影響�,但在其他的對話中,他似乎承認(rèn)自己的公司和眾多遭受泄漏事件影響的公司一樣�,由于防火墻的問題,被迫為大規(guī)模數(shù)據(jù)泄露付出代價�。
“我不想成為這類事情的代言人,”Hardigree表示�����。“但它改變了我對隱私的看法���。我們所有人都需要負(fù)責(zé)保護(hù)這些信息�����。如果你不能保護(hù)數(shù)據(jù)����,那么你就不應(yīng)該待在這一領(lǐng)域內(nèi)��?�!?/p>
