今年8月,全球互联网社区再一次体会到公民个人信息被大肆收集并公之于众的震撼——在某暗网论坛上,一名黑客倾倒了27亿条涵盖社会
根据已知信息,这一些数据来自于一家美国背景调查公司Jerico Pictures所经营的“国家公共数据”(National Public Data)。更重要的是,最新公开的版本并不是这个信息泄露事件的全貌,发布者刻意隐去了一些危害更大的个人隐私信息数据,例如个人电话号码和电子邮箱。
这起规模庞大的个人隐私信息泄露事件,源头指向今年4月的一起事件,当时一个名为“USDoD”的网络犯罪集团发布帖子称,掌握来自“国家公共数据”的29亿条公民个人隐私信息,涵盖来自美国、英国和加拿大的居民,并开价350万美元出售这一些信息。有一些分析人士也认为,USDoD是从另一个黑客“SXUL”拿到的数据库。
自那以后,暗网上时不时就会出现各种版本的“国家公共数据”泄露,通常包含手机号和电子邮箱信息。
但在上周,一个名为“Fenice”的用户在暗网论坛上放出了27亿条未加密的记录,公开的两个csv文件共计277GB。涉及姓名、社会号码、所有已知地址和曾用名,以及与这个人有关联的其他姓名,泄露的信息并不包含手机号和邮箱信息。
需要注意的是,由于一个人可能会有多个居住地址,每条信息对应一个地址,所以29亿条信息并不是完全对应29亿人。
从这一点来说,这起事件的严重程度依然未达到2013年涉及30亿人的雅虎数据泄露事件。即便如此,受影响的规模也几乎涵盖了这三个国家的大多数人。
根据一些科技网站的反馈,其中存在一些错误数据,同时许多人当前的住址并没有包含在内,意味着数据的来源可能是过往的备份。然而,也有些人证实这份数据包含他们以及共同生活的亲属的正确信息,里面还有已经去世多年的人。
对于涉事的背调公司,科学技术研究机构Comparitech的消费者隐私倡导者Paul Bischoff解释称,像“国家公共数据”这样的背景调查服务本质上是数据经纪人,他们尽可能多地收集每个人的可识别信息,然后将其出售给任何愿意付费的人。它在数据主体不知情或未经其同意的情况下收集大部分数据,其中大多数人不知道“国家公共数据”到底是什么。
同时,在个人隐私信息被广泛抓取的时代,黑客对背调公司的攻击,更主要的目标是窃取完成整理的数据库。
反勒索软件平台Halcyon的首席执行官Jon Miller表示,从犯罪分子的角度来看,“国家公共数据记录”的价值在于它们已被收集和组织。虽然黑客特别大程度上已经可以获取这类公民个人隐私信息,但他们还需要为此付出大量的代价来做数据集合。
Miller也感叹称,现在公民个人隐私信息的货币化是要远远领先于法律保护,那些法律原本应该规定公司有资格收集哪些信息,怎么样去使用这些信息,以及最重要的一点——保护这一些信息的责任是什么。
作为这一事件的进展,背景调查公司Jerico Pictures目前正在美国遭遇集体诉讼。起诉书称,为了开展业务,“国家公共数据”从非公开来源抓取数以亿计的个人身份信息,这在某种程度上预示着原告们并不知晓自己的数据已被该公司获取。除了要求经济赔偿外,原告还要求该公司清除所有受影响个人的信息,并对数据库进行分割、加密和定期展开第三方数据库安全评估。