在过去一年中的某个时候,一个或多个黑客悄悄地入侵了一家名为 National Public Data (NPD) 的背景调查公司,泄露了数百万美国社会安全号码 (SSN)、姓名、电话号码以及电子邮件和邮寄地址。 其中一些数据的准确性和重要性值得怀疑,因为其中大部分数据可能是 NPD 从公共政府记录中抓取的。 但泄露事件本身是真实存在的:根据这家数据聚合公司网站上的公告,NPD 在 8 月承认发生了一起涉及“试图在 2023 年 12 月下旬入侵数据的第三方恶意行为者”的事件。 被盗信息似乎已于春季开始在网上出售。
想象一下社保号码和其他敏感信息像数字浮游生物一样在网络的阴暗角落里传播,这令人深感不安。 泄露出去的东西无法收回。 那么,当这种情况发生时,该怎么办呢?
您可以冻结您的信用——阻止任何人以您的名义开设新的信用账户,直到冻结解除——通过主要的信用报告机构。(美国使用的三大机构是 Equifax、Experian 和 TransUnion。) 这样的事件令人清醒地提醒我们,今后要养成良好的密码习惯。 不要重复使用密码——密码的复杂性和唯一性非常重要——并考虑使用密码管理器,例如 1Password。 美国人可以通过 Pentester 的 NPD Breach Check 等工具检查他们的社保号码是否被泄露。 在澳大利亚在线安全顾问特洛伊·亨特于 2013 年推出的网站 Have I Been Pwned? 上,访问者可以查看他们的电子邮件地址是否在数据泄露事件中被泄露; 一个分支项目 类似地评估密码。
支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。 通过购买订阅,您正在帮助确保有关塑造我们当今世界的发现和想法的具有影响力的故事能够继续存在。
在 Have I Been Pwned? 存在的十多年里,其规模已膨胀至包含 60 亿个唯一的电子邮件地址。 每个帐户平均被泄露略微超过两次。 亨特说:“我没想到它会变得如此庞大——我不会给它起这么愚蠢的名字。” “Pwn”(发音为“pone”,是“own”的谐音)某人是彻底击败他们,这是 2000 年代早期流行的互联网俚语。 它也意味着未经授权控制某人的计算机硬件或电子邮件帐户。
正如亨特所说,数据泄露的风险仅仅是伴随在线而来的冷酷现实。 如果互联网是信息高速公路,那么泄露事件就是路边残骸之一。 他说:“我们有交通事故死亡人数,这很糟糕——而零目标非常棒。” “但是,当我们以每小时 100 公里的速度在金属机器中疾驰时,这就是将会发生的事情。” 亨特与《大众科学》谈论了如何理解大规模泄露事件中可能惊人的数据量,以及日益在线化的世界对我们的私人信息意味着什么。
以下是经过编辑的对话记录。
今年已经披露了一些重大的数据泄露事件,例如 AT&T 泄露事件,该事件泄露了来自 7300 万前任和现任客户的数据。 最近,又发生了 National Public Data 的惨败。 这些泄露事件之间一个明显的区别是,NPD 是一家鲜为人知的数据聚合商,销售背景调查等服务,而不是一家大型、家喻户晓的公司。 也许没有标准数据泄露事件的蓝图,但请您告诉我:这是一个不寻常的案例吗?
我正在查看 Have I Been Pwned? 数据库中大型泄露事件的列表,通常它们来自数据聚合商。 人们不知道数据聚合商是谁。 我认为,我们大多数人都不太喜欢数据聚合的想法。 我们不喜欢组织在未经我们知情或知情同意的情况下,吸走我们的数据并将其货币化的想法。 我要补充这个限定条件。
当发生此类事件时,人们会感到非常沮丧,因为他们会问:“这个组织是谁? 他们为什么拥有我的数据? 我能做什么?” 而且实际上,您没有任何追索权。
对于泄露事件发生后应该做什么,有一些标准建议,例如冻结信用报告机构的信用,并确保您的密码足够强大。 人们还应该做其他事情吗?
对于此类事件,您无法直接采取任何具体的措施。 这不像不忠约会网站 Ashley Madison 遭到泄露那样,您应该更改密码,并且可能需要与您的配偶或伴侣谈谈。 在这种情况下,所有这些都是您本来就应该做的基本的事情。 您应该在需要申请信用之前冻结您的信用。 对于身份盗窃监控服务,您必须花一些钱,但这不是一个坏主意。 当然,还要使用强大、唯一的密码和多因素身份验证。
然后只需意识到“您应该注意哪些可能表明这些数据正在被滥用的迹象?”——例如,银行打来的电话,询问您不了解的申请。 指导方针不会因这次泄露事件而改变。 它只是加强了指导方针。
关于 NPD 泄露事件的传言在几个月前就开始流传,然后才渗透到主流媒体。 当它首次出现时,一些头条新闻描述了 29 亿个被黑客入侵的帐户,这与事实不符。 泄露事件实际上似乎由大约 29 亿行数据组成。 此外,泄露或销售背后的不良行为者可能不可信——他们会吹嘘并夸大文件大小,或将来自多次泄露事件的已泄露数据组合起来,以使泄露事件看起来规模庞大。 我们应该如何批判性地思考关于数据泄露的头条新闻中那些巨大而可怕的数字?
我们以前见过很多次这种情况。 今年夏天,我们看到有史以来最大规模的密码泄露事件的头条新闻,其中包含 100 亿条记录。 但是,当不良行为者包含字典中的每个单词及其每个组合时,普通人需要担心吗? 不需要!
今年早些时候,还有另一个类似的事件在流传。 它被称为“所有泄露事件之母”。 那是 200 亿条记录或其他什么。 好吧,这只是因为有人吸走了大量泄露事件并将它们放在一起。 再添加一个,现在您就有了更大的所有泄露事件之母。
同样,真相始终存在于数据中。 记录总数是一个重要的数字。 但是,如果不了解这实际上意味着什么,就很难理解它。 因此,我认为一个更公平的指标是有多少人受到影响。 显然,如果仅仅是美国社会安全号码,那么绝对上限将是数百万的低位数。
我们是否可以确定每个美国社会安全号码都在 NPD 泄露事件中?
不,我们不能肯定地知道这一点。 调查记者布莱恩·克雷布斯撰写了一些关于此事的优秀文章。 这些数据可能会在许多不同的地方发布,然后它们都被聚合在一起。 例如,如果您没有被捕或最终出现在某个公共记录中,那么您可能不在其中。
真正让我对此感到沮丧的是,NPD 显然发生了泄露事件。 我认为现在对此没有任何疑问了。 当您查看其披露通知时,基本上没有任何内容。 该公司实际上没有给我们提供任何实质性的东西。
[编者注:《大众科学》多次通过电子邮件联系 NPD,询问其是否已采取其他措施联系受影响的个人。 该公司未回复。 在其泄露事件热线的录音消息中,NPD 表示,如果“有进一步适用于您的重大进展,我们将尝试通知您。”]
您在题为“数据泄露的现状”的6 月份博客文章中写到了企业披露不足的问题。 人们可能会惊讶地发现,数据泄露法律可能存在与通知相关的例外情况。 在 NPD 所在的佛罗里达州,如果安全泄露事件涉及超过 50 万人,那么法律上充分的做法是“以印刷和广播媒体发布通知”以及“在相关实体的互联网网站上发布显眼通知”。 您将如何改进披露?
披露不一定意味着让个人知道。 通常是向监管机构披露,除非我们谈论的是敏感的个人信息——例如健康数据。 澳大利亚的例外情况是,必须有可能造成严重伤害。 正如您刚才提到的,佛罗里达州的情况是发布通知。 加利福尼亚州有《加州消费者隐私法案》,但我相信即使根据该法案,公司仍然可以决定是否在绝大多数情况下通知个人。
所有这些人,当他们没有被告知时,都会非常生气——真的,非常生气,这是可以理解的! 我坐在 Have I Been Pwned? 这里,心想:“好吧,我有你的数据。 我可以通知你。” 但这不应该是我的工作,对吧? 我应该完全是多余的,因为组织应该尽早通知人们。
您在 Have I Been Pwned? 上工作了十多年。 但让我们展望未来。 未来 10 年,数据泄露将走向何方?
如果您考虑导致数据泄露或扩大数据泄露的因素,我们将会有更多的人。 我们将有更多的系统。 我们将有更多具有数据的设备; 我们已经看到了许多与物联网相关的数据泄露事件。 Have I Been Pwned? 中有来自 CloudPets 玩具(会说话的泰迪熊)的数据。 我们也正在走向一个方向,即我们看到大量泄露事件——例如今年所有与云数据存储公司 Snowflake 相关的泄露事件——我们如此依赖外部服务,以至于威胁行为者的缺陷或做法可以一次又一次地重新应用于每个使用该特定平台的人。 因此,所有这些因素结合起来放大了我们现在遇到的问题。 总而言之,我认为情况正在变得更糟。