查看原文
其他

数据交易危害国家安全!多家中介公司公开叫卖美军人员信息

安全内参编译 安全内参 2022-05-14

关注我们

带你读懂网络安全


研究人员发现,Axciom、LexisNexis和NielsenIQ三家大型数据中介公司均有出售现役或退役军人个人数据的行为;


数据经纪公司收集和出售的个人数据范围广、种类多,详细程度堪称“危险级别”,可以轻松用于“人肉搜索”,确认是否属于现役军人;


目前美国的数据经纪公司几乎不受监管,对国家安全来说是一个巨大的威胁,多位议员呼吁进行监管。


美国几家市值数十亿美元的数据经纪公司被发现,正在出售所掌握的军队人员个人信息。
网络安全专家和国会议员认为,这些公司的举动未受到应有的监管,并对国家安全构成了严重威胁


数据经纪公司正在


公开叫卖军人信息


长期追踪数据经纪公司商业活动的网络安全专家、大西洋理事会网络治国倡议研究员、杜克大学政策研究室网络政策研究员贾斯汀・谢尔曼说,Axciom、LexisNexis和NielsenIQ三家大型数据经纪公司均有出售现役或退役军人个人数据的行为。他指出,数据经纪公司收集和出售的个人数据范围广、种类多,不仅包括个人心理健康情况、信用卡交易明细、互联网搜索记录,还包括GPS实时定位信息以及政治倾向等。收集完成后,这些信息将被打包成卷,其详细程度堪称“危险级别”,可以很容易被用来对某人进行“人肉搜索”,并确认其是否现役军人。谢尔曼说,美国目前没有任何审查程序可以对数据经纪公司出售的数据进行筛查,或监督已售数据是如何被使用的。“所以,美国的敌对国家可以很容易地开设一家表面上与政府毫无关联的空壳公司或幌子公司,然后通过这家公司购买所有需要的信息。要知道,从数据经纪公司手里购买目标人物的敏感信息所花费的成本是非常低的,”他说。俄罗斯互联网研究局等外国机构可以利用唾手可得的美国军人及其家庭的数据,轻而易举地支持政府的信息作战、网络胁迫和敲诈或情报收集等活动。


缺乏法律约束威胁国家安全


美国共和党参议员比尔・卡思迪已注意到数据经纪公司的行为,并在去年12月举行的参议院金融委员会听证会上强调了对数据经纪公司带来的国家安全隐忧的担心。“目前无法阻止数据经纪公司向敌对国家出售军队人员个人信息的行为,”他说。“这类行为不但危险,而且对我们的国家安全构成巨大威胁。”贾斯汀・谢尔曼对参议员的担心表示认可。他说,美国国内目前没有任何报告或执行机制监督此类行为的发生。美国的两项现行法律,《家庭教育权和隐私法案》(FERPA)和《医疗保险可携性和责任法案》(HIPAA)“只限制了特定实体对个人健康和教育信息的收集,许多心理健康APP、教育市场公司以及中介公司并不属于被限制对象,上述两项法案无法保证这些信息不被数据经纪公司获得,”他说。“从这个角度上说,目前美国的数据经纪公司几乎不受监管,可以随意编撰美国公民的个人材料并在公开市场上肆意叫卖。对国家安全来说这是一个巨大的威胁……外国人可以旁若无人地走上来,把美国公民的敏感数据买走。”为保护军人或其他美国公民的个人信息不再被贩卖,贾斯汀・谢尔曼在去年的一份报告中呼吁对数据经纪公司进行全面、广泛的审查,以“防止数据经纪公司把美国公民的信息出售给外国实体”。卡思迪、尤恩・奥索福和罗恩・威登等几位参议员则在推动相关法律的出台,建议禁止向不友好的外国公司和政府出售个人数据,并将数据经纪公司向敌对国家出售军人数据与信息的行为标定为非法


相关方对数据流失反应冷淡


经纪公司造成数据流失的危害已逐渐显露出来。据称2020年7月联邦法官埃瑟・萨拉斯(Esther Salas)之子在其住所外被杀害,背后就有数据经纪公司的影子。凶手就是从一家数据经纪公司手里买到了法官的住址。萨拉斯在接受《纽约时报》采访时愤怒地谴责,法官们的住址、住宅照片以及车辆牌照等信息可以很容易地从网上或数据经纪公司手里获得。“就我儿子的案件而言,枪手很轻松地获得了诸如我的上班路线、我的密友名单、我常去的教堂等信息,构建出我的生活档案,悄悄潜入我的社区,”萨拉斯说。“所有这一切都完全合法。枪手合法地获得了我的个人信息,然后夺走了我们唯一的孩子的生命。”军人信息流失或泄露会造成国家安全层面上的危害。比如2018年1月,媒体和研究人员发现,使用Strava应用软件的健身爱好者竟然因为发布个人锻炼热力地图而暴露了秘密军事基地以及CIA秘密监狱的存在。美国公民自由联盟高级技术员丹尼尔・凯恩・吉尔摩尔因此建议,包括军人在内的个人在使用Strava、Waze或Google Maps等地图软件时,应该时刻提防自己的位置信息遭到数据经纪公司的分享。尽管如此,相关方对数据流失一事反应仍十分冷淡。美国国防部发言人只是通过邮件发布声明,称本部门“已获悉此事,正实施一系列方案帮助现役和退役人员保护各自的私人信息”。被批评出售军人信息的三家公司中,Axciom和NielsenIQ并未对此事做出回应,LexisNexis公司则在声明中辩解称,本公司“只在联邦法律允许的情况下,配合银行和其他金融机构的要求严格使用军人的个人信息。除此之外,我们在商业活动中并未使用与军队人员有关的数据“。吉尔摩尔表示,一切都是利益使然。“这些数据经纪公司的任务只是让本公司的利益最大化,”吉尔摩尔说。“他们掌握着海量数据。这时如果有人过来对他们说,‘我们用一大笔钱换你们的数据,’他们又有什么理由拒绝呢?”

参考来源:cyberscoop.com




推荐阅读





点击下方卡片关注我们,
带你一起读懂网络安全 ↓


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存