一次数据泄露事件后,我成2.3亿人的眼中钉
还没到办公室,Steve Hardigree的一天已然成为一场噩梦。
去年6月的早上,Hardigree在谷歌上搜索自己公司的名称时,发现越来越多的新闻标题将他三年前创建的10人营销公司Exactis,指向为个人信息泄露的源头,泄漏范围覆盖了几乎整个美国人口。一位在附近工作的朋友提醒他,电视新闻记者已经带着摄像机在大楼外面驻扎了。提供救急服务的安保公司争先恐后地向他推销着解决方案,而律师事务所则匆忙对他的公司提起集体诉讼。这一切都是因为一台不安全的服务器。“你可以想象,”Hardigree说,“我陷入了恐慌。”
就在前一天,外媒披露,Exactis在开放的互联网上泄露了一个包含3.4亿条记录的数据库,这一泄漏事件由名为Vinny Troia的独立安全研究员首次发现。通过使用扫描工具Shodan,Troia发现了一个被错误配置的亚马逊ElasticSearch服务器(该服务器包含了数据库),然后下载了它。随后他在这份数据库里发现了2.3亿条个人记录和1.1亿条与企业相关的记录,信息总量超过2TB。虽然这些文件不包括信用卡信息、密码或社会保险号,但是每一份文件都列举了数百条个人信息,涵盖从抵押贷款价值到孩子的年龄,以及其他个人信息,如电子邮件地址、家庭地址和电话号码。
Exactis将这些信息许可给营销和销售客户,从而让他们可以将这些信息与现有的数据库集成起来,建立更全面的档案。但是隐私倡导者警告称,这些对公众开放的细节,可能同样容易让垃圾邮件发送者或诈骗者对目标对象进行侧写。
在那几个月里,Exactis所经历的这种大规模数据意外泄露并不是独一无二的。然而,Exactis创始人Steve Hardigree愿意与媒体分享那次经历:成为全美数据隐私纠纷的中心,并处理法律、官僚和声誉的影响。
它所带来的结果是一个警示性的故事,讲述了一个庞大的数据集可能为像Exactis这样的小公司带来的责任。它也暗示了小公司在没有必要的资源或技术来保护自身的情况下,使用大量的、易泄露的个人信息数据库是多么的容易。
但首先,Hardigree想强调一点,Exactis数据披露事件并不属于“违规”,他甚至不同意称之为“泄密事件”。Hardigree坚持认为,尽管数据在去年6月初被公开在网上,但该公司的日志和外部安全审计似乎表明,除了Troia之外,没有其他人真正访问过。为了回应Troia的警告,他们甚至在外媒报道之前,就已经保护了这些数据。“我们不相信它会泄露出去,”Hardigree说。
Troia对此反驳说,他去年7月仍然在一个名为KickAss的暗网论坛上拍下了一张列表的截图,该论坛也似乎在出售部分Exactis数据。但是Hardigree说,Exactis在数据库中包含了虚假的“种子”角色,这是一种标准的营销行业技术,旨在作为一种测试,看看它是否已经泄露。Hardigree说,他一直在亲自监控这些种子,没有收到任何表明有泄露的电子邮件。他还说,他一直与联邦调查局保持联系,并声称该机构一直在暗网上搜索Exactis数据,但并没有找到。美国联邦调查局拒绝了置评或确认请求。
死亡威胁
不论罪犯是否已经拿走了数据,泄漏事件事实上已经让终结了Exactis。尽管该公司尚未宣布破产,但Hardigree表示,他已经放弃了盈利,并计划将精力集中在另一家初创企业上。与Exactis进行数据交易的合作伙伴,或者用来验证数据的合作伙伴,都要求从Exactis网站上除名。Hardigree说,Equifax甚至发送了一封停止和终止信,以迫使Exactis停止在网站上使用其名称。鉴于Equifax自身的大规模隐私丑闻,这真是一个残酷的讽刺。最终,除了Hardigree之外,其他三位持有Exactis股份的高管也离开了。“我已经失去了生意,”Hardigree说。
与此同时,Hardigree表示,他和他的公司遭到数以千计愤怒的电子邮件和电话的攻击,包括多重死亡威胁。Hardigree甚至声称,随着垃圾流量的泛滥摧毁了网站,Exactis一度成为攻击目标。
“我很害怕,我的妻子和孩子也很害怕,”Hardigree在去年7月1日与Wired的电话采访中说道。“公众的反应有点毁灭性。”丑闻爆发后,Hardigree不得不前往北卡罗来纳州度假,但由于压力太大,他突发荨麻疹,不得不去医院治疗。Hardigree甚至收到了他订阅的身份防盗服务LifeLock的短信提醒,警告公司的数据泄露对他隐私的威胁。
“我精神崩溃了,”他说。
自那以后的几个月里,他接受了十几个州检察长以及联邦调查局的询问,他们都在担心Exactis数据可能被滥用,尽管他注意到所有人都已经停止了对他的问讯。佛罗里达Morgan & Morgan律师事务所领导的针对Exactis的集体诉讼没有被撤销,但也没有进展到审判阶段。Hardigree认为诉讼实际已经停滞,因为他的公司根本没有钱支付损害赔偿金。Morgan & Morgan没有对此作出回应。
Hardigree大部分时间只能独自处理法律和官僚主义交杂的混乱局面。离开公司的人中有他的三个合伙人,其中两个负责公司的技术和数据安全,Hardigree指责他们首先在网上泄露了公司的ElasticSearch数据库。这些前合伙人都没有对此作出回应。
这场磨难对Hardigree来说是一个痛苦的教训,他被迫艰难地学会了即使像他这样的小公司也必须优先考虑安全问题。“小心你的数据,小心管理你数据的人,”Hardigree说。“我雇佣了一些粗心大意的人。但归根结底,这仍然是首席执行官的责任,我也愿意承担这份责任。”
最后的挣扎
然而,在某些方面,Hardigree仍然在做着抵抗。他称发现数据泄漏的研究员Troia“不是一个好人”,并指责他为了提高自己的知名度而坑害Exactis。他指出,Troia在联系Exactis之前就已经联系了Wired,并在第一封电子邮件之后向该公司发送了一份营销手册。他还声称,Troia由于下载泄漏数据,并向违规通知服务HaveIBeenPwned.com提供了一份拷贝,从而可能违反了法律,尽管这种做法对于安全研究人员来说是相当普遍的。
“我可以在民事法庭起诉他或提起刑事诉讼,但我认为这解决不了任何问题,”Hardigree说。Troia承认,他确实为在杀死Exactis的过程中扮演的角色感到难过,但他不后悔自己的行为。“如果我没有找到它,也会有其他人找到,”他说。“无论如何,数据库是公开的,该公司也的确泄露了所有人的数据。”
Hardigree还坚持认为,Exactis收集并被曝光的数据实际上并不敏感,公众对其的愤怒被夸大了。其中大部分数据都来自公共记录和人口普查数据等来源。Exactis所做的就是将这些公共信息与它交易和购买的数据结合起来。Hardigree声称有数百家小公司都拥有类似的数据。他认为,任何人都可以花大约1000美元购买到这些数据。“这些数据一直都存在着,”Hardigree说。
但是管理HaveIBeenPwned的安全研究员和数据泄露专家Troy Hunt表示,Exactis数据是具有敏感性的,该公司在安全失效后所遭受的痛苦都是应得的。他认为,事实上这些数据非常的详细,足以导致身份盗窃。
“我对他们目前的态度感到不满,”Hunt在谈到Exactis曝光后的一系列麻烦事说道。“他们在说‘看,我们去搜集了一堆数据,人们没有想到会这样使用,当然也没有获得任何知情同意权。然后我们没能妥善保护它,现在我们感到很难过,因为发生了不好的事情。’他们不会因此得到任何人的同情。”
新常态
但是Hunt至少同意Hardigree的一个观点,即越来越多的初创公司似乎拥有并分析了大量消费者数据,而这些数据在以前对小公司来说是不可能的。
Hardigree说,由于云服务和计算技术的进步,导致公司的规模与其所能容纳的数据量不相匹配。“过去我们需要超级计算机才能做这件事。现在你在自己的电脑上就可以完成,”他说。
追踪美国数据泄露事件的The Privacy Rights Clearinghouse表示,仅在去年,它就发现类似规模的公司泄露了13.7亿条数据。但是该组织的政策顾问Emory Roane说,考虑到技术进步和相关法规的缺乏,小公司大规模违规行为的增加似乎是自然的结果。Roane说:“对于全美各地像Verifications.io和Exactis这样的公司能够购买或收集极端庞大的数据,我并不感到惊讶。这的确是可能的,除了因为技术,也因为我们没有强有力的保护措施。”
虽然Hardigree在某些方面为公司的隐私问题辩护并试图淡化影响,但在其他的对话中,他似乎承认自己的公司和众多遭受泄漏事件影响的公司一样,由于防火墙的问题,被迫为大规模数据泄露付出代价。
“我不想成为这类事情的代言人,”Hardigree表示。“但它改变了我对隐私的看法。我们所有人都需要负责保护这些信息。如果你不能保护数据,那么你就不应该待在这一领域内。”