查看原文
其他

涉及美国军方、企业等上千万条员工信息的数据库泄露

2017-03-16 E安全 E安全

E安全3月16日讯 近日美国商业服务巨头Dun&Bradstreet的52GB数据库遭到泄露,这套数据库中包含超过3300万条记录,具体包括政府部门与大型企业客户,有证据证实,其曾面向营销厂商出售过。

这套数据库整体约为52 GB,包含3380万条惟一电子邮箱地址与成千上万条企业员工联系信息,其影响范围已经占据美国企业从业者的可观比例。

商业服务巨头Dun & Bradstreet证实是该数据库拥有者,并透露这是2015年一笔1.25亿美元的交易收购NetProspex公司所获得。

这套数据库包含九十条字段,其中一部分包含多项个人信息,例如姓名、职称与职能、工作电子邮箱地址以及电话号码。其它信息还包括公开的更为通用的企业数据,包括准确的办公地点、业务单位内员工人数以及与企业所属行业相关的其它描述,例如广告、法律、媒体与广播以及电信等信息。整套数据库旨在帮助Dun & Bradstreet公司定位其电子邮件营销活动,并通过其它通信途径引导其营销人员拓展现有及潜在客户群体。

这批数据可进行批量购买,亦可根据具体公司记录类型进行购买,但尚不清楚完整数据集的购买价格。根据我们掌握的情况,购买50万条记录的成本可能高达20万美元左右。

泄露通报网站Have I Been Pwned的运营者Troy Hunt获得了这套数据库,并对其中记录进行了分析。Hunt在本周二发布的一篇博文当中称,此次外泄信息重灾区为美国,且加利福尼亚州为信息主要来源,涉及400万条以上的记录。纽约有270万条记录,德克萨斯州有260万条记录。

Hunt对记录的分析得出结论:

美国国防部在其中占比最高,包含相关员工记录10万1013条;

其次是美国邮政局,包含员工记录8万8153条;

涉及美国陆军、空军与退伍军人事务部的记录总计7万6379条;

涉及高知名度企业,如AT&T、波音、戴尔、联邦快递、IBM以及施乐公司,这套数据库均拥有这些企业的成千上万条员工记录。

Hunt在本周二发出的一封邮件中,

“尽管这套数据库里存在很多已经公开的的数据,但像此套数据库所提供的聚合信息集及其易于搜索的特性极具利用价值。此次事件再次提醒我们,我们已经失去了对个人隐私的控制力; 这些数据集中涉及的绝大多数人士对自己的信息以这种方式出售毫不知情,自然也不具备任何控制能力。”

Hunt通过Have I Been Pwned网站的泄露记录数据库与此次曝光的数据库进行了比较,并发现有14%的电子邮箱地址此前就已经存在于其泄露记录数据库内。相关数据已经在网站上提供搜索。

此次数据库外泄很难归因于谁,因为这套数据曾出售给多方。

目前尚不清楚该数据的具体外泄原因,或者说该由谁为本次泄露事故负责。

Dun & Bradshaw公司的一位发言人拒绝作出进一步评论,仅发布了一份与之相关的电子邮件声明。

这份声明是这样的:

“我们已经对自身共享的信息进行了认真评估,此次外泄的信息在类型与格式上确实与我们向客户交付的内容相符。不过根据我们的分析,Dun & Bradstreet系统并未受到入侵或者曝光。”

这位发言人强调称,一项内部调查显示尽管外泄数据归属于该公司,但其系统并未遭遇安全违规或者泄露事件。该公司同时补充称,这批数据大约为六个月前的版本,且相当一部分被出售给“数千”家企业。

Dun & Bradshaw公司的一位高管评论称,其“很难”追踪到底是哪家第三方企业公开了这套数据库的副本。Dun & Bradstreet公司向其客户及数据收集对象解释称,此次泄露并不会造成严重风险。其指出这批数据包含“用于销售与营销目的的一般性公开业务联系数据。”

Hunt称涉及个人信息、组织机构的信息泄露将有利于网络犯罪分子实施不法活动

不过Hunt表示,这种说辞并不会降低数据遭到滥用的可能性。“如果拥有了他人的姓名、工作职务及其归属于所在企业的工作电子邮箱地址,即相当于拥有了对方的个人身份信息。这意味着此次泄露的数据集确实能够引发巨大风险; 其中的大量个人信息在配合同时泄露的专业角色背景之后,将给其所涉及的组织机构造成严重威胁。”

此类数据既然是因为其商用价值被营销公司购买了便于营销人员所使用,那么恶意人士当然也能够采取同样的使用方式,甚至用于扩大从受害者处获取的利益。例如近年来,安全领域出现了一系列针对金融机构官员及其他高层企业管理人员的网络钓鱼攻击活动,旨在诱导员工泄露财务信息以通过纳税申报返还金额获取经济回报。如果这批数据让网络犯罪分子更为轻松地实施上述活动,那他们干嘛不用。

Hunt称,“这些数据包含大量高实用性信息,足以支持极为可信的攻击活动,对于钓鱼活动来说无疑是一座巨大的宝藏。利用这些数据,大家可以根据组织结构与其职能特性策划钓鱼信息,以创造几乎可以以假乱真的误导内容,这样的迷惑性与国家支持型恶意活动基本持平。”

目前尚不清楚出售信息这种作法是否属于数据保护与隐私法律的管控范畴,不过该公司高管表示这套数据库“完全符合”美国隐私法的要求。该公司拒绝评论此次数据泄露会给其业务造成怎样的影响,亦没有明确给出该数据库的访问、下载或者共享次数。

他同时补充称,该公司有时会在不经意间收集到“更为敏感且机密的个人数据”,对于这类数据他们会主动清除相关记录,不会将其提供或者出售给客户。

Hunt表示,对于那些自身数据已经被无数次出售的企业员工而言,他们取回这些数据的可能性完全为“零”。

E安全注:本文系E安全独家报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存