涉及美國(guó)軍方、企業(yè)等上千萬(wàn)條員工信息的數(shù)據(jù)庫(kù)泄露

責(zé)任編輯:editor004

2017-03-16 11:41:23

摘自:E安全

近日美國(guó)商業(yè)服務(wù)巨頭Dun&Bradstreet的52GB數(shù)據(jù)庫(kù)遭到泄露,這套數(shù)據(jù)庫(kù)中包含超過(guò)3300萬(wàn)條記錄,具體包括政府部門與大型企業(yè)客戶

3月16日訊 近日美國(guó)商業(yè)服務(wù)巨頭Dun&Bradstreet的52GB數(shù)據(jù)庫(kù)遭到泄露,這套數(shù)據(jù)庫(kù)中包含超過(guò)3300萬(wàn)條記錄,具體包括政府部門與大型企業(yè)客戶,有證據(jù)證實(shí),其曾面向營(yíng)銷廠商出售過(guò)。

涉及美國(guó)軍方、企業(yè)等上千萬(wàn)條員工信息的數(shù)據(jù)庫(kù)泄露 - E安全

這套數(shù)據(jù)庫(kù)整體約為52 GB,包含3380萬(wàn)條惟一電子郵箱地址與成千上萬(wàn)條企業(yè)員工聯(lián)系信息,其影響范圍已經(jīng)占據(jù)美國(guó)企業(yè)從業(yè)者的可觀比例。

商業(yè)服務(wù)巨頭Dun & Bradstreet證實(shí)是該數(shù)據(jù)庫(kù)擁有者,并透露這是2015年一筆1.25億美元的交易收購(gòu)NetProspex公司所獲得。

這套數(shù)據(jù)庫(kù)包含九十條字段,其中一部分包含多項(xiàng)個(gè)人信息,例如姓名、職稱與職能、工作電子郵箱地址以及電話號(hào)碼。其它信息還包括公開的更為通用的企業(yè)數(shù)據(jù),包括準(zhǔn)確的辦公地點(diǎn)、業(yè)務(wù)單位內(nèi)員工人數(shù)以及與企業(yè)所屬行業(yè)相關(guān)的其它描述,例如廣告、法律、媒體與廣播以及電信等信息。整套數(shù)據(jù)庫(kù)旨在幫助Dun & Bradstreet公司定位其電子郵件營(yíng)銷活動(dòng),并通過(guò)其它通信途徑引導(dǎo)其營(yíng)銷人員拓展現(xiàn)有及潛在客戶群體。

這批數(shù)據(jù)可進(jìn)行批量購(gòu)買,亦可根據(jù)具體公司記錄類型進(jìn)行購(gòu)買,但尚不清楚完整數(shù)據(jù)集的購(gòu)買價(jià)格。根據(jù)我們掌握的情況,購(gòu)買50萬(wàn)條記錄的成本可能高達(dá)20萬(wàn)美元左右。

泄露通報(bào)網(wǎng)站Have I Been Pwned的運(yùn)營(yíng)者Troy Hunt獲得了這套數(shù)據(jù)庫(kù),并對(duì)其中記錄進(jìn)行了分析。Hunt在本周二發(fā)布的一篇博文當(dāng)中稱,此次外泄信息重災(zāi)區(qū)為美國(guó),且加利福尼亞州為信息主要來(lái)源,涉及400萬(wàn)條以上的記錄。紐約有270萬(wàn)條記錄,德克薩斯州有260萬(wàn)條記錄。

涉及美國(guó)軍方、企業(yè)等上千萬(wàn)條員工信息的數(shù)據(jù)庫(kù)泄露 - E安全

  Hunt對(duì)記錄的分析得出結(jié)論:

美國(guó)國(guó)防部在其中占比最高,包含相關(guān)員工記錄10萬(wàn)1013條;

其次是美國(guó)郵政局,包含員工記錄8萬(wàn)8153條;

涉及美國(guó)陸軍、空軍與退伍軍人事務(wù)部的記錄總計(jì)7萬(wàn)6379條;

涉及高知名度企業(yè),如AT&T、波音、戴爾、聯(lián)邦快遞、IBM以及施樂公司,這套數(shù)據(jù)庫(kù)均擁有這些企業(yè)的成千上萬(wàn)條員工記錄。

Hunt在本周二發(fā)出的一封郵件中,

“盡管這套數(shù)據(jù)庫(kù)里存在很多已經(jīng)公開的的數(shù)據(jù),但像此套數(shù)據(jù)庫(kù)所提供的聚合信息集及其易于搜索的特性極具利用價(jià)值。此次事件再次提醒我們,我們已經(jīng)失去了對(duì)個(gè)人隱私的控制力; 這些數(shù)據(jù)集中涉及的絕大多數(shù)人士對(duì)自己的信息以這種方式出售毫不知情,自然也不具備任何控制能力。”

Hunt通過(guò)Have I Been Pwned網(wǎng)站的泄露記錄數(shù)據(jù)庫(kù)與此次曝光的數(shù)據(jù)庫(kù)進(jìn)行了比較,并發(fā)現(xiàn)有14%的電子郵箱地址此前就已經(jīng)存在于其泄露記錄數(shù)據(jù)庫(kù)內(nèi)。相關(guān)數(shù)據(jù)已經(jīng)在Have I Been Pwned網(wǎng)站上提供搜索。

此次數(shù)據(jù)庫(kù)外泄很難歸因于誰(shuí),因?yàn)檫@套數(shù)據(jù)曾出售給多方。

目前尚不清楚該數(shù)據(jù)的具體外泄原因,或者說(shuō)該由誰(shuí)為本次泄露事故負(fù)責(zé)。

Dun & Bradshaw公司的一位發(fā)言人拒絕作出進(jìn)一步評(píng)論,僅發(fā)布了一份與之相關(guān)的電子郵件聲明。

這份聲明是這樣的:

“我們已經(jīng)對(duì)自身共享的信息進(jìn)行了認(rèn)真評(píng)估,此次外泄的信息在類型與格式上確實(shí)與我們向客戶交付的內(nèi)容相符。不過(guò)根據(jù)我們的分析,Dun & Bradstreet系統(tǒng)并未受到入侵或者曝光。”

這位發(fā)言人強(qiáng)調(diào)稱,一項(xiàng)內(nèi)部調(diào)查顯示盡管外泄數(shù)據(jù)歸屬于該公司,但其系統(tǒng)并未遭遇安全違規(guī)或者泄露事件。該公司同時(shí)補(bǔ)充稱,這批數(shù)據(jù)大約為六個(gè)月前的版本,且相當(dāng)一部分被出售給“數(shù)千”家企業(yè)。

Dun & Bradshaw公司的一位高管評(píng)論稱,其“很難”追蹤到底是哪家第三方企業(yè)公開了這套數(shù)據(jù)庫(kù)的副本。Dun & Bradstreet公司向其客戶及數(shù)據(jù)收集對(duì)象解釋稱,此次泄露并不會(huì)造成嚴(yán)重風(fēng)險(xiǎn)。其指出這批數(shù)據(jù)包含“用于銷售與營(yíng)銷目的的一般性公開業(yè)務(wù)聯(lián)系數(shù)據(jù)。”

Hunt稱涉及個(gè)人信息、組織機(jī)構(gòu)的信息泄露將有利于網(wǎng)絡(luò)犯罪分子實(shí)施不法活動(dòng)

不過(guò)Hunt表示,這種說(shuō)辭并不會(huì)降低數(shù)據(jù)遭到濫用的可能性。“如果擁有了他人的姓名、工作職務(wù)及其歸屬于所在企業(yè)的工作電子郵箱地址,即相當(dāng)于擁有了對(duì)方的個(gè)人身份信息。這意味著此次泄露的數(shù)據(jù)集確實(shí)能夠引發(fā)巨大風(fēng)險(xiǎn); 其中的大量個(gè)人信息在配合同時(shí)泄露的專業(yè)角色背景之后,將給其所涉及的組織機(jī)構(gòu)造成嚴(yán)重威脅。”

此類數(shù)據(jù)既然是因?yàn)槠渖逃脙r(jià)值被營(yíng)銷公司購(gòu)買了便于營(yíng)銷人員所使用,那么惡意人士當(dāng)然也能夠采取同樣的使用方式,甚至用于擴(kuò)大從受害者處獲取的利益。例如近年來(lái),安全領(lǐng)域出現(xiàn)了一系列針對(duì)金融機(jī)構(gòu)官員及其他高層企業(yè)管理人員的網(wǎng)絡(luò)釣魚攻擊活動(dòng),旨在誘導(dǎo)員工泄露財(cái)務(wù)信息以通過(guò)納稅申報(bào)返還金額獲取經(jīng)濟(jì)回報(bào)。如果這批數(shù)據(jù)讓網(wǎng)絡(luò)犯罪分子更為輕松地實(shí)施上述活動(dòng),那他們干嘛不用。

Hunt稱,“這些數(shù)據(jù)包含大量高實(shí)用性信息,足以支持極為可信的攻擊活動(dòng),對(duì)于釣魚活動(dòng)來(lái)說(shuō)無(wú)疑是一座巨大的寶藏。利用這些數(shù)據(jù),大家可以根據(jù)組織結(jié)構(gòu)與其職能特性策劃釣魚信息,以創(chuàng)造幾乎可以以假亂真的誤導(dǎo)內(nèi)容,這樣的迷惑性與國(guó)家支持型惡意活動(dòng)基本持平。”

目前尚不清楚出售信息這種作法是否屬于數(shù)據(jù)保護(hù)與隱私法律的管控范疇,不過(guò)該公司高管表示這套數(shù)據(jù)庫(kù)“完全符合”美國(guó)隱私法的要求。該公司拒絕評(píng)論此次數(shù)據(jù)泄露會(huì)給其業(yè)務(wù)造成怎樣的影響,亦沒有明確給出該數(shù)據(jù)庫(kù)的訪問(wèn)、下載或者共享次數(shù)。

他同時(shí)補(bǔ)充稱,該公司有時(shí)會(huì)在不經(jīng)意間收集到“更為敏感且機(jī)密的個(gè)人數(shù)據(jù)”,對(duì)于這類數(shù)據(jù)他們會(huì)主動(dòng)清除相關(guān)記錄,不會(huì)將其提供或者出售給客戶。

Hunt表示,對(duì)于那些自身數(shù)據(jù)已經(jīng)被無(wú)數(shù)次出售的企業(yè)員工而言,他們?nèi)』剡@些數(shù)據(jù)的可能性完全為“零”。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)