不仅仅是个人可识别信息(PII),还包括额外的财务信息和消费习惯。
超过2亿人的完整数据扩充资料被放到了暗网上售卖。提供文件的人宣称,数据来自全球最大征信机构Experian,只需600美元即可获得完整文件。
事件详情是通过Peerlyst的SecureDrop被 Salted Hash 知悉的,有人在上面上传了关于售卖和数据的细节。数据先是被Peerlyst的技术审查委员会审查,证实了其合法性。被技术团队清洁过后,数据样本交由 Salted Hash 做进一步验证和公开。打给样本数据中人员的电话被转到了语音信箱,且没有任何回复。但只要有人证实了他们的信息,事件情况还会有后续更新。
有业内人士认为该售卖中的信息与Experian和另一个家公司Acxiom提供的扩充数据相符。Acxiom没有回应任何问题。然而,Experian的消息人士称,他们上周已知悉该数据泄露事件,调查证实不是他们的数据。
Experian在电子邮件声明中称:“我们曾经见到过此类毫无根据的指控和类似的传言。我们再次进行了调查,基于我们的研究和涉事数据类型,没有任何迹象显示我们遭到了入侵。鉴于我们的调查和可靠证据的缺乏,这是意图夸大所售卖数据价值的查无实据的说法——售卖非法数据的黑客所惯用的招数。”
调查人员认为,售卖的数据不过是贴上Experian的标签以博眼球的一些记录集合而已。所以,Experian调查人员声明不是他们的同时,该数据的存在本身依然是个问题。卖家对待此事也十分认真,拒绝了与拥有更新账户或之前交易中只有数百美元交易额的潜在买家商谈,限制了对数据的访问。
记录有6GB大,包括了203,419,083人的信息。资料包含PII信息,比如姓名、完整住址、生日、电话号码,但由于是扩充数据,还包含了超过80种个人属性。这些额外属性包括个人信用评级(A -H),活跃授权线数量,是否信用卡用户,住房有无产权,房屋类型,婚姻状况,拥有孩子数量,屋中生活的孩子数量,职业信息,教育状况,净资产,家庭总收入。
另外,有些记录还显示了个人的政治捐款,包括保守捐赠、自由捐赠或一般政治原因的捐赠字段。其他字段列出了个人捐款(例如:老兵慈善、本地社区慈善、医疗健康慈善、国际慈善、动物保护、艺术或文化慈善、儿童福利慈善),以及金融投资(国外和国内,包括个人投资、股票、债券、房地产)。旅游指标也在其中,包括国外游字段,赌场造访字段。
最后,这些资料还显示出购买倾向,比如是否中意家庭园艺,或者最近是否购买了汽车部件等。同时,其中一些信息被直接提供给了数据代理商。但提供数据扩充项目的数据代理商采用了可选信息和购得信息的混搭模式。他们收集、存储、共享这些信息是合法的,只要他们符合各种数据规则。这意味着没有确实的方法可以追踪这些属性数据的来源。
商业上,数据代理商懂得规避各种数据隐私法案,比如 SB1386 和FCRA,因为数据就在那儿——这就是公平竞赛,任何人都能用。虽然其中一些数据之前可能需要获得授权才能使用,但在这一数据集中如今已不再需要授权。
德国社会情报机构bits&digits的CISO称,这些任人取用的数据集已经达到了社会脱敏的危险等级。
人们拥有的最坏习惯之一,就是毫不重视自己的数字身份和消费倾向。 |
这堆数据集中收集的信息,无论来自哪个数据代理商或市场扩充系统,现在都落到了你无法预料的人手里。它们对市场营销人员和邪恶骗子的作用是无穷的。最大的顾虑在于,出现在世界各地的数据集不受监管保护,为复杂身份欺诈、全球人口贩运和洗钱操作提供了方便易得的凭证和情报入口点。
就犯罪分子而言,该数据库中包含的数据就是身份窃贼的梦想。而且,这样一张列表,可使罪犯基于净资产、旅行习惯或支持原因定位到高价值目标。比如,绑架就是家庭收入在25万美元以上,或净资产在50万美元以上的人容易遭遇的案件,尤其是在他们经常海外游的情况下。另外,还有人会利用该列表标出超过70岁的人,盗用他们的身份进行人口走私。
技术层面上,该数据集使用收集到的数据进行基于知识的身份验证,任何处于该数据集中的人都已经暴露了,但该数据也可被用来间接获取此类信息。该数据包含了足够多的数据,可供发展出持续的网络钓鱼行动,打开通向其他各种犯罪的大门。
这个数据集(还有其他更多的数据集)告诉我们谁每年赚超过10万美元,还附上他们的住址;家庭成员中谁对什么过敏;他们15年房贷贷了多少;有几只宠物;多久购物一次;以及其他80种属性。
人人都需要谨慎对待自己的信息和数据,否则我们怎么能知道这些公司到底把数据交易给了谁?