推廣 | 令人窒息的獎品等你―2016最權威的全球開發者調研

不僅僅是個人可識別信息(PII)，還包括額外的財務信息和消費習慣。

超過2億人的完整數據擴充資料被放到了暗網上售賣。提供文件的人宣稱，數據來自全球最大征信機構Experian，只需600美元即可獲得完整文件。

事件詳情是通過Peerlyst的SecureDrop被 Salted Hash 知悉的，有人在上面上傳了關于售賣和數據的細節。數據先是被Peerlyst的技術審查委員會審查，證實了其合法性。被技術團隊清潔過后，數據樣本交由 Salted Hash 做進一步驗證和公開。打給樣本數據中人員的電話被轉到了語音信箱，且沒有任何回復。但只要有人證實了他們的信息，事件情況還會有后續更新。

有業內人士認為該售賣中的信息與Experian和另一個家公司Acxiom提供的擴充數據相符。Acxiom沒有回應任何問題。然而，Experian的消息人士稱，他們上周已知悉該數據泄露事件，調查證實不是他們的數據。

Experian在電子郵件聲明中稱：“我們曾經見到過此類毫無根據的指控和類似的傳言。我們再次進行了調查，基于我們的研究和涉事數據類型，沒有任何跡象顯示我們遭到了入侵。鑒于我們的調查和可靠證據的缺乏，這是意圖夸大所售賣數據價值的查無實據的說法——售賣非法數據的黑客所慣用的招數。”

調查人員認為，售賣的數據不過是貼上Experian的標簽以博眼球的一些記錄集合而已。所以，Experian調查人員聲明不是他們的同時，該數據的存在本身依然是個問題。賣家對待此事也十分認真，拒絕了與擁有更新賬戶或之前交易中只有數百美元交易額的潛在買家商談，限制了對數據的訪問。

記錄有6GB大，包括了203,419,083人的信息。資料包含PII信息，比如姓名、完整住址、生日、電話號碼，但由于是擴充數據，還包含了超過80種個人屬性。這些額外屬性包括個人信用評級(A -H)，活躍授權線數量，是否信用卡用戶，住房有無產權，房屋類型，婚姻狀況，擁有孩子數量，屋中生活的孩子數量，職業信息，教育狀況，凈資產，家庭總收入。

另外，有些記錄還顯示了個人的政治捐款，包括保守捐贈、自由捐贈或一般政治原因的捐贈字段。其他字段列出了個人捐款(例如：老兵慈善、本地社區慈善、醫療健康慈善、國際慈善、動物保護、藝術或文化慈善、兒童福利慈善)，以及金融投資(國外和國內，包括個人投資、股票、債券、房地產)。旅游指標也在其中，包括國外游字段，賭場造訪字段。

最后，這些資料還顯示出購買傾向，比如是否中意家庭園藝，或者最近是否購買了汽車部件等。同時，其中一些信息被直接提供給了數據代理商。但提供數據擴充項目的數據代理商采用了可選信息和購得信息的混搭模式。他們收集、存儲、共享這些信息是合法的，只要他們符合各種數據規則。這意味著沒有確實的方法可以追蹤這些屬性數據的來源。

商業上，數據代理商懂得規避各種數據隱私法案，比如 SB1386 和FCRA，因為數據就在那兒——這就是公平競賽，任何人都能用。雖然其中一些數據之前可能需要獲得授權才能使用，但在這一數據集中如今已不再需要授權。

德國社會情報機構bits&digits的CISO稱，這些任人取用的數據集已經達到了社會脫敏的危險等級。

這堆數據集中收集的信息，無論來自哪個數據代理商或市場擴充系統，現在都落到了你無法預料的人手里。它們對市場營銷人員和邪惡騙子的作用是無窮的。最大的顧慮在于，出現在世界各地的數據集不受監管保護，為復雜身份欺詐、全球人口販運和洗錢操作提供了方便易得的憑證和情報入口點。

就犯罪分子而言，該數據庫中包含的數據就是身份竊賊的夢想。而且，這樣一張列表，可使罪犯基于凈資產、旅行習慣或支持原因定位到高價值目標。比如，綁架就是家庭收入在25萬美元以上，或凈資產在50萬美元以上的人容易遭遇的案件，尤其是在他們經常海外游的情況下。另外，還有人會利用該列表標出超過70歲的人，盜用他們的身份進行人口走私。

技術層面上，該數據集使用收集到的數據進行基于知識的身份驗證，任何處于該數據集中的人都已經暴露了，但該數據也可被用來間接獲取此類信息。該數據包含了足夠多的數據，可供發展出持續的網絡釣魚行動，打開通向其他各種犯罪的大門。

這個數據集(還有其他更多的數據集)告訴我們誰每年賺超過10萬美元，還附上他們的住址;家庭成員中誰對什么過敏;他們15年房貸貸了多少;有幾只寵物;多久購物一次;以及其他80種屬性。

人人都需要謹慎對待自己的信息和數據，否則我們怎么能知道這些公司到底把數據交易給了誰?

【編輯推薦】