去年6月的早上��,Hardigree在谷歌上搜索自己公司的名稱時(shí)�,發(fā)現(xiàn)越來越多的新聞標(biāo)題將他三年前創(chuàng)建的10人營(yíng)銷公司Exactis����,指向?yàn)閭€(gè)人信息數(shù)據(jù)泄露的源頭,泄漏范圍覆蓋了幾乎整個(gè)美國(guó)人口����。
一位在附近工作的朋友提醒他,電視新聞?dòng)浾咭呀?jīng)帶著攝像機(jī)在大樓外面駐扎了�����。
提供救急服務(wù)的安保公司爭(zhēng)先恐后地向他推銷著解決方案����,而律師事務(wù)所則匆忙對(duì)他的公司提起集體訴訟。
這一切都是因?yàn)橐慌_(tái)不安全的服務(wù)器�。“你可以想象,”Hardigree說�����,“我陷入了恐慌�����。”就在前一天,外媒披露���,Exactis在開放的互聯(lián)網(wǎng)上泄露了一個(gè)包含3.4億條記錄的數(shù)據(jù)庫(kù)�����,這一泄漏事件由名為Vinny Troia的獨(dú)立安全研究員首次發(fā)現(xiàn)���。
通過使用掃描工具Shodan,Troia發(fā)現(xiàn)了一個(gè)被錯(cuò)誤配置的亞馬遜ElasticSearch服務(wù)器(該服務(wù)器包含了數(shù)據(jù)庫(kù))���,然后下載了它��。
隨后他在這份數(shù)據(jù)庫(kù)里發(fā)現(xiàn)了2.3億條個(gè)人記錄和1.1億條與企業(yè)相關(guān)的記錄���,信息總量超過2TB���。
雖然這些文件不包括信用卡信息��、密碼或社會(huì)保險(xiǎn)號(hào)�,但是每一份文件都列舉了數(shù)百條個(gè)人信息,涵蓋從抵押貸款價(jià)值到孩子的年齡���,以及其他個(gè)人信息�,如電子郵件地址��、家庭地址和電話號(hào)碼�����。
Exactis將這些信息許可給營(yíng)銷和銷售客戶���,從而讓他們可以將這些信息與現(xiàn)有的數(shù)據(jù)庫(kù)集成起來���,建立更全面的檔案。
但是隱私倡導(dǎo)者警告稱����,這些對(duì)公眾開放的細(xì)節(jié),可能同樣容易讓垃圾郵件發(fā)送者或詐騙者對(duì)目標(biāo)對(duì)象進(jìn)行側(cè)寫�。
在那幾個(gè)月里,Exactis所經(jīng)歷的這種大規(guī)模數(shù)據(jù)意外泄露并不是獨(dú)一無二的��。
然而��,Exactis創(chuàng)始人Steve Hardigree愿意與媒體分享那次經(jīng)歷:成為全美數(shù)據(jù)隱私糾紛的中心,并處理法律���、官僚和聲譽(yù)的影響���。
它所帶來的結(jié)果是一個(gè)警示性的故事,講述了一個(gè)龐大的數(shù)據(jù)集可能為像Exactis這樣的小公司帶來的責(zé)任���。
它也暗示了小公司在沒有必要的資源或技術(shù)來保護(hù)自身的情況下����,使用大量的�����、易泄露的個(gè)人信息數(shù)據(jù)庫(kù)是多么的容易�����。
但首先��,Hardigree想強(qiáng)調(diào)一點(diǎn)���,Exactis數(shù)據(jù)披露事件并不屬于“違規(guī)”,他甚至不同意稱之為“泄密事件”。
Hardigree堅(jiān)持認(rèn)為�����,盡管數(shù)據(jù)在去年6月初被公開在網(wǎng)上��,但該公司的日志和外部安全審計(jì)似乎表明����,除了Troia之外,沒有其他人真正訪問過��。
為了回應(yīng)Troia的警告��,他們甚至在外媒報(bào)道之前���,就已經(jīng)保護(hù)了這些數(shù)據(jù)����。“我們不相信它會(huì)泄露出去���,”Hardigree說���。
Troia對(duì)此反駁說�,他去年7月仍然在一個(gè)名為KickAss的暗網(wǎng)論壇上拍下了一張列表的截圖����,該論壇也似乎在出售部分Exactis數(shù)據(jù)。
但是Hardigree說���,Exactis在數(shù)據(jù)庫(kù)中包含了虛假的“種子”角色�,這是一種標(biāo)準(zhǔn)的營(yíng)銷行業(yè)技術(shù)�����,旨在作為一種測(cè)試�,看看它是否已經(jīng)泄露。
Hardigree說����,他一直在親自監(jiān)控這些種子,沒有收到任何表明有泄露的電子郵件�����。
他還說��,他一直與聯(lián)邦調(diào)查局保持聯(lián)系�,并聲稱該機(jī)構(gòu)一直在暗網(wǎng)上搜索Exactis數(shù)據(jù)����,但并沒有找到�����。美國(guó)聯(lián)邦調(diào)查局拒絕了置評(píng)或確認(rèn)請(qǐng)求����。
死亡威脅不論罪犯是否已經(jīng)拿走了數(shù)據(jù)��,泄漏事件事實(shí)上已經(jīng)讓終結(jié)了Exactis��。
盡管該公司尚未宣布破產(chǎn)�,但Hardigree表示,他已經(jīng)放棄了盈利����,并計(jì)劃將精力集中在另一家初創(chuàng)企業(yè)上。
與Exactis進(jìn)行數(shù)據(jù)交易的合作伙伴����,或者用來驗(yàn)證數(shù)據(jù)的合作伙伴,都要求從Exactis網(wǎng)站上除名����。
Hardigree說���,Equifax甚至發(fā)送了一封停止和終止信,以迫使Exactis停止在網(wǎng)站上使用其名稱��。
鑒于Equifax自身的大規(guī)模隱私丑聞�����,這真是一個(gè)殘酷的諷刺�。
最終,除了Hardigree之外��,其他三位持有Exactis股份的高管也離開了�����。“我已經(jīng)失去了生意�,”Hardigree說。
與此同時(shí)�����,Hardigree表示�,他和他的公司遭到數(shù)以千計(jì)憤怒的電子郵件和電話的攻擊��,包括多重死亡威脅�。
Hardigree甚至聲稱��,隨著垃圾流量的泛濫摧毀了網(wǎng)站��,Exactis一度成為攻擊目標(biāo)�����。“我很害怕�����,我的妻子和孩子也很害怕�,”Hardigree在去年7月1日與Wired的電話采訪中說道��。“公眾的反應(yīng)有點(diǎn)毀滅性����。”丑聞爆發(fā)后,Hardigree不得不前往北卡羅來納州度假�,但由于壓力太大,他突發(fā)蕁麻疹�����,不得不去醫(yī)院治療。
Hardigree甚至收到了他訂閱的身份防盜服務(wù)LifeLock的短信提醒�����,警告公司的數(shù)據(jù)泄露對(duì)他隱私的威脅�。“我精神崩潰了,”他說���。
自那以后的幾個(gè)月里��,他接受了十幾個(gè)州檢察長(zhǎng)以及聯(lián)邦調(diào)查局的詢問�,他們都在擔(dān)心Exactis數(shù)據(jù)可能被濫用�,盡管他注意到所有人都已經(jīng)停止了對(duì)他的問訊。
佛羅里達(dá)Morgan & Morgan律師事務(wù)所領(lǐng)導(dǎo)的針對(duì)Exactis的集體訴訟沒有被撤銷���,但也沒有進(jìn)展到審判階段�����。
Hardigree認(rèn)為訴訟實(shí)際已經(jīng)停滯�����,因?yàn)樗墓靖緵]有錢支付損害賠償金���。Morgan & Morgan沒有對(duì)此作出回應(yīng)��。Hardigree大部分時(shí)間只能獨(dú)自處理法律和官僚主義交雜的混亂局面���。
離開公司的人中有他的三個(gè)合伙人�����,其中兩個(gè)負(fù)責(zé)公司的技術(shù)和數(shù)據(jù)安全�����,Hardigree指責(zé)他們首先在網(wǎng)上泄露了公司的ElasticSearch數(shù)據(jù)庫(kù)�。這些前合伙人都沒有對(duì)此作出回應(yīng)。
這場(chǎng)磨難對(duì)Hardigree來說是一個(gè)痛苦的教訓(xùn)��,他被迫艱難地學(xué)會(huì)了即使像他這樣的小公司也必須優(yōu)先考慮安全問題���。“小心你的數(shù)據(jù)�����,小心管理你數(shù)據(jù)的人���,”Hardigree說���。“我雇傭了一些粗心大意的人。但歸根結(jié)底�,這仍然是首席執(zhí)行官的責(zé)任,我也愿意承擔(dān)這份責(zé)任����。”最后的掙扎然而,在某些方面��,Hardigree仍然在做著抵抗����。
他稱發(fā)現(xiàn)數(shù)據(jù)泄漏的研究員Troia“不是一個(gè)好人”,并指責(zé)他為了提高自己的知名度而坑害Exactis�。
他指出,Troia在聯(lián)系Exactis之前就已經(jīng)聯(lián)系了Wired�����,并在第一封電子郵件之后向該公司發(fā)送了一份營(yíng)銷手冊(cè)。
他還聲稱�����,Troia由于下載泄漏數(shù)據(jù)�,并向違規(guī)通知服務(wù)HaveIBeenPwned.com提供了一份拷貝,從而可能違反了法律���,盡管這種做法對(duì)于安全研究人員來說是相當(dāng)普遍的�����。“我可以在民事法庭起訴他或提起刑事訴訟���,但我認(rèn)為這解決不了任何問題����,”Hardigree說。
Troia承認(rèn)����,他確實(shí)為在殺死Exactis的過程中扮演的角色感到難過,但他不后悔自己的行為�。“如果我沒有找到它,也會(huì)有其他人找到,”他說�����。“無論如何�����,數(shù)據(jù)庫(kù)是公開的�,該公司也的確泄露了所有人的數(shù)據(jù)。”Hardigree還堅(jiān)持認(rèn)為���,Exactis收集并被曝光的數(shù)據(jù)實(shí)際上并不敏感�,公眾對(duì)其的憤怒被夸大了���。
其中大部分?jǐn)?shù)據(jù)都來自公共記錄和人口普查數(shù)據(jù)等來源�。Exactis所做的就是將這些公共信息與它交易和購(gòu)買的數(shù)據(jù)結(jié)合起來�����。Hardigree聲稱有數(shù)百家小公司都擁有類似的數(shù)據(jù)����。
他認(rèn)為���,任何人都可以花大約1000美元購(gòu)買到這些數(shù)據(jù)。“這些數(shù)據(jù)一直都存在著����,”Hardigree說。
但是管理HaveIBeenPwned的安全研究員和數(shù)據(jù)泄露專家Troy Hunt表示��,Exactis數(shù)據(jù)是具有敏感性的�,該公司在安全失效后所遭受的痛苦都是應(yīng)得的。
他認(rèn)為�,事實(shí)上這些數(shù)據(jù)非常的詳細(xì),足以導(dǎo)致身份盜竊�。“我對(duì)他們目前的態(tài)度感到不滿,”Hunt在談到Exactis曝光后的一系列麻煩事說道�����。“他們?cè)谡f‘看�,我們?nèi)ニ鸭艘欢褦?shù)據(jù)���,人們沒有想到會(huì)這樣使用���,當(dāng)然也沒有獲得任何知情同意權(quán)�����。
然后我們沒能妥善保護(hù)它�����,現(xiàn)在我們感到很難過��,因?yàn)榘l(fā)生了不好的事情�。’他們不會(huì)因此得到任何人的同情�����。”新常態(tài)但是Hunt至少同意Hardigree的一個(gè)觀點(diǎn)�,即越來越多的初創(chuàng)公司似乎擁有并分析了大量消費(fèi)者數(shù)據(jù),而這些數(shù)據(jù)在以前對(duì)小公司來說是不可能的���。
Hardigree說�,由于云服務(wù)和計(jì)算技術(shù)的進(jìn)步��,導(dǎo)致公司的規(guī)模與其所能容納的數(shù)據(jù)量不相匹配��。“過去我們需要超級(jí)計(jì)算機(jī)才能做這件事?,F(xiàn)在你在自己的電腦上就可以完成��,”他說�。
追蹤美國(guó)數(shù)據(jù)泄露事件的The Privacy Rights Clearinghouse表示���,僅在去年���,它就發(fā)現(xiàn)類似規(guī)模的公司泄露了13.7億條數(shù)據(jù)。
但是該組織的政策顧問Emory Roane說����,考慮到技術(shù)進(jìn)步和相關(guān)法規(guī)的缺乏,小公司大規(guī)模違規(guī)行為的增加似乎是自然的結(jié)果��。
Roane說:“對(duì)于全美各地像Verifications.io和Exactis這樣的公司能夠購(gòu)買或收集極端龐大的數(shù)據(jù)���,我并不感到驚訝����。
這的確是可能的�,除了因?yàn)榧夹g(shù),也因?yàn)槲覀儧]有強(qiáng)有力的保護(hù)措施����。
雖然Hardigree在某些方面為公司的隱私問題辯護(hù)并試圖淡化影響,但在其他的對(duì)話中�����,他似乎承認(rèn)自己的公司和眾多遭受泄漏事件影響的公司一樣���,由于防火墻的問題��,被迫為大規(guī)模數(shù)據(jù)泄露付出代價(jià)����。“我不想成為這類事情的代言人�,”Hardigree表示。“但它改變了我對(duì)隱私的看法��。我們所有人都需要負(fù)責(zé)保護(hù)這些信息�。如果你不能保護(hù)數(shù)據(jù),那么你就不應(yīng)該待在這一領(lǐng)域內(nèi)�。
