一次數據洩露事件後我成2.3億人的眼中釘
還沒到辦公室,Steve Hardigree的一天已然成為一場噩夢。去年6月的早上,Hardigree在谷歌上搜索自己公司的名稱時,發現越來越多的新聞標題將他三年前創建的10人營銷公司Exactis,指向為個人信息洩露的源頭,洩漏範圍覆蓋了幾乎整個美國人口。一位在附近工作的朋友提醒他,電視新聞記者已經帶著攝像機在大樓外面駐紮了。
提供救急服務的安保公司爭先恐後地向他推銷著解決方案,而律師事務所則匆忙對他的公司提起集體訴訟。這一切都是因為一台不安全的服務器。“你可以想像,”Hardigree說,“我陷入了恐慌。”
就在前一天,外媒披露,Exactis在開放的互聯網上洩露了一個包含3.4億條記錄的數據庫,這一泄漏事件由名為Vinny Troia的獨立安全研究員首次發現。通過使用掃描工具Shodan,Troia發現了一個被錯誤配置的亞馬遜ElasticSearch服務器(該服務器包含了數據庫),然後下載了它。隨後他在這份數據庫裡發現了2.3億條個人記錄和1.1億條與企業相關的記錄,信息總量超過2TB。雖然這些文件不包括信用卡信息、密碼或社會保險號,但是每一份文件都列舉了數百條個人信息,涵蓋從抵押貸款價值到孩子的年齡,以及其他個人信息,如電子郵件地址、家庭地址和電話號碼。
Exactis將這些信息許可給營銷和銷售客戶,從而讓他們可以將這些信息與現有的數據庫集成起來,建立更全面的檔案。但是隱私倡導者警告稱,這些對公眾開放的細節,可能同樣容易讓垃圾郵件發送者或詐騙者對目標對象進行側寫。
在那幾個月裡,Exactis所經歷的這種大規模數據意外洩露並不是獨一無二的。然而,Exactis創始人Steve Hardigree願意與媒體分享那次經歷:成為全美數據隱私糾紛的中心,並處理法律、官僚和聲譽的影響。
它所帶來的結果是一個警示性的故事,講述了一個龐大的數據集可能為像Exactis這樣的小公司帶來的責任。它也暗示了小公司在沒有必要的資源或技術來保護自身的情況下,使用大量的、易洩露的個人信息數據庫是多麼的容易。
但首先,Hardigree想強調一點,Exactis數據披露事件並不屬於“違規”,他甚至不同意稱之為“洩密事件”。Hardigree堅持認為,儘管數據在去年6月初被公開在網上,但該公司的日誌和外部安全審計似乎表明,除了Troia之外,沒有其他人真正訪問過。為了回應Troia的警告,他們甚至在外媒報導之前,就已經保護了這些數據。“我們不相信它會洩露出去,”Hardigree說。
Troia對此反駁說,他去年7月仍然在一個名為KickAss的暗網論壇上拍下了一張列表的截圖,該論壇也似乎在出售部分Exactis數據。但是Hardigree說,Exactis在數據庫中包含了虛假的“種子”角色,這是一種標準的營銷行業技術,旨在作為一種測試,看看它是否已經洩露。Hardigree說,他一直在親自監控這些種子,沒有收到任何表明有洩露的電子郵件。他還說,他一直與聯邦調查局保持聯繫,並聲稱該機構一直在暗網上搜索Exactis數據,但並沒有找到。美國聯邦調查局拒絕了置評或確認請求。
死亡威脅
不論罪犯是否已經拿走了數據,洩漏事件事實上已經讓終結了Exactis。儘管該公司尚未宣布破產,但Hardigree表示,他已經放棄了盈利,併計劃將精力集中在另一家初創企業上。與Exactis進行數據交易的合作夥伴,或者用來驗證數據的合作夥伴,都要求從Exactis網站上除名。Hardigree說,Equifax甚至發送了一封停止和終止信,以迫使Exactis停止在網站上使用其名稱。鑑於Equifax自身的大規模隱私醜聞,這真是一個殘酷的諷刺。最終,除了Hardigree之外,其他三位持有Exactis股份的高管也離開了。“我已經失去了生意,”Hardigree說。
與此同時,Hardigree表示,他和他的公司遭到數以千計憤怒的電子郵件和電話的攻擊,包括多重死亡威脅。Hardigree甚至聲稱,隨著垃圾流量的氾濫摧毀了網站,Exactis一度成為攻擊目標。
“我很害怕,我的妻子和孩子也很害怕,”Hardigree在去年7月1日與Wired的電話採訪中說道。“公眾的反應有點毀滅性。”醜聞爆發後,Hardigree不得不前往北卡羅來納州度假,但由於壓力太大,他突發蕁麻疹,不得不去醫院治療。Hardigree甚至收到了他訂閱的身份防盜服務LifeLock的短信提醒,警告公司的數據洩露對他隱私的威脅。
“我精神崩潰了,”他說。
自那以後的幾個月裡,他接受了十幾個州檢察長以及聯邦調查局的詢問,他們都在擔心Exactis數據可能被濫用,儘管他注意到所有人都已經停止了對他的問訊。佛羅里達Morgan & Morgan律師事務所領導的針對Exactis的集體訴訟沒有被撤銷,但也沒有進展到審判階段。Hardigree認為訴訟實際已經停滯,因為他的公司根本沒有錢支付損害賠償金。Morgan & Morgan沒有對此作出回應。
Hardigree大部分時間只能獨自處理法律和官僚主義交雜的混亂局面。離開公司的人中有他的三個合夥人,其中兩個負責公司的技術和數據安全,Hardigree指責他們首先在網上洩露了公司的ElasticSearch數據庫。這些前合夥人都沒有對此作出回應。
這場磨難對Hardigree來說是一個痛苦的教訓,他被迫艱難地學會了即使像他這樣的小公司也必須優先考慮安全問題。“小心你的數據,小心管理你數據的人,”Hardigree說。“我僱傭了一些粗心大意的人。但歸根結底,這仍然是首席執行官的責任,我也願意承擔這份責任。”
最後的掙扎
然而,在某些方面,Hardigree仍然在做著抵抗。他稱發現數據洩漏的研究員Troia“不是一個好人”,並指責他為了提高自己的知名度而坑害Exactis。他指出,Troia在聯繫Exactis之前就已經聯繫了Wired,並在第一封電子郵件之後向該公司發送了一份營銷手冊。他還聲稱,Troia由於下載洩漏數據,並向違規通知服務HaveIBeenPwned.com提供了一份拷貝,從而可能違反了法律,儘管這種做法對於安全研究人員來說是相當普遍的。
“我可以在民事法庭起訴他或提起刑事訴訟,但我認為這解決不了任何問題,”Hardigree說。Troia承認,他確實為在殺死Exactis的過程中扮演的角色感到難過,但他不後悔自己的行為。“如果我沒有找到它,也會有其他人找到,”他說。“無論如何,數據庫是公開的,該公司也的確洩露了所有人的數據。”
Hardigree還堅持認為,Exactis收集並被曝光的數據實際上並不敏感,公眾對其的憤怒被誇大了。其中大部分數據都來自公共記錄和人口普查數據等來源。Exactis所做的就是將這些公共信息與它交易和購買的數據結合起來。Hardigree聲稱有數百家小公司都擁有類似的數據。他認為,任何人都可以花大約1000美元購買到這些數據。“這些數據一直都存在著,”Hardigree說。
但是管理HaveIBeenPwned的安全研究員和數據洩露專家Troy Hunt表示,Exactis數據是具有敏感性的,該公司在安全失效後所遭受的痛苦都是應得的。他認為,事實上這些數據非常的詳細,足以導致身份盜竊。
“我對他們目前的態度感到不滿,”Hunt在談到Exactis曝光後的一系列麻煩事說道。“他們在說’看,我們去蒐集了一堆數據,人們沒有想到會這樣使用,當然也沒有獲得任何知情同意權。然後我們沒能妥善保護它,現在我們感到很難過,因為發生了不好的事情。’他們不會因此得到任何人的同情。”
新常態
但是Hunt至少同意Hardigree的一個觀點,即越來越多的初創公司似乎擁有並分析了大量消費者數據,而這些數據在以前對小公司來說是不可能的。
Hardigree說,由於雲服務和計算技術的進步,導致公司的規模與其所能容納的數據量不相匹配。“過去我們需要超級計算機才能做這件事。現在你在自己的電腦上就可以完成,”他說。
追踪美國數據洩露事件的The Privacy Rights Clearinghouse表示,僅在去年,它就發現類似規模的公司洩露了13.7億條數據。但是該組織的政策顧問Emory Roane說,考慮到技術進步和相關法規的缺乏,小公司大規模違規行為的增加似乎是自然的結果。Roane說:“對於全美各地像Verifications.io和Exactis這樣的公司能夠購買或收集極端龐大的數據,我並不感到驚訝。這的確是可能的,除了因為技術,也因為我們沒有強有力的保護措施。”
雖然Hardigree在某些方面為公司的隱私問題辯護並試圖淡化影響,但在其他的對話中,他似乎承認自己的公司和眾多遭受洩漏事件影響的公司一樣,由於防火牆的問題,被迫為大規模數據洩露付出代價。
“我不想成為這類事情的代言人,”Hardigree表示。“但它改變了我對隱私的看法。我們所有人都需要負責保護這些信息。如果你不能保護數據,那麼你就不應該待在這一領域內。”