信息來源：Freebuf

近日，網(wǎng)絡安全專家兼微軟區(qū)域主管Troy Hunt在博客上披露了他收到的一份多達52GB的數(shù)據(jù)庫資料。內(nèi)容包含近3400萬美國人的個人身份信息（PII），且覆蓋種類多樣——從姓名、職位，郵箱、電話到公司盈利情況，雇員數(shù)量等林林總總，甚至還有國防部下轄軍人檔案信息！

千瘡百孔

在安全狀況頻出的今天，發(fā)生數(shù)據(jù)泄漏的問題并不是什么稀罕事，不過本次爆料里還是有諸多看點值得一提。

首先，這批數(shù)據(jù)的來源是世界商業(yè)信息服務公司巨頭——鄧白氏（Dun&Bradstreet），不熟悉的同學可以去Google一下該公司的體量。鄧白氏前不久受到了由Ethisphere頒發(fā)的“2017全球最具商業(yè)道德公司”的提名（當然現(xiàn)在聽上去可能有些諷刺），并且曾在2015年以1.25億美元收購了NetProspex——一家服務于各大機構，提供B2B數(shù)據(jù)管理的公司。NetProspex宣稱自己“擁有多元化的數(shù)據(jù)處理流程，依托世界最大的商業(yè)數(shù)據(jù)庫并無縫對接用戶的市場系統(tǒng)?！钡珶o論如何，證據(jù)顯示本次泄漏的數(shù)據(jù)庫就是當時交易的一部分，鄧白氏對此也予以了承認。

目前本次泄漏事件在Have I Been Pwned排在第16位，意味著受影響人數(shù)超過Ashley Madison被黑事件

其次，泄漏的數(shù)據(jù)細節(jié)詳盡，價值不菲。諸如姓名、職稱、職能、工作郵件、電話號碼，甚至工作單位的盈利情況，員工數(shù)量等條目都在列。這些內(nèi)容將大大提升泄漏數(shù)據(jù)的價值，相信會有不少人愿意憑借此類信息為精準的市場營銷造勢，比如針對特定公司人群的郵件宣傳之類。更何況當年鄧白氏也是為了這些數(shù)據(jù)花了好大一筆銀子。據(jù)找到的兩年前的一本手冊來看，一家公司查看50萬條記錄約需要花費20萬美元，而這次泄漏的內(nèi)容里單單不同的郵件地址就包含近3380萬條！

據(jù)Hunt介紹，所有資料都來自美國境內(nèi)，最多的當屬加州（約400萬條），其次就是紐約（270萬）以及德克薩斯（260萬）。

本次泄漏的數(shù)據(jù)庫資料格式相當規(guī)范整潔（原文件列在CSV文檔里）：

{  

   "netprospex contact id":"177496766",

   "first name":"Zack",

   "last name":"Whittaker",

   "job title":"Writer Editor",

   "email":"zack.whittaker@cbsinteractive.com",

   "contact phone 1":"(415) 344-2000",

   "contact phone 2":"(415) 344-2000",

   "primary job function":"Marketing",

   "all job functions":"Creative",

   "joblevel":"",

   "company name":"CBS Interactive Inc.",

   "d-u-n-s":"808539506",

   "company phone":"(415) 344-2000",

   "location type":"HQ",

   "street address":"235 2Nd St",

   "city":"San Francisco",

   "state":"CA",

   "postal code":"94105",

   "county":"San Francisco",

   "country":"US",

   "web address":"http://www.zdnet.com",

   "revenue":"246860181",

   "revenuerange":"$100 mil to less than $250 mil",

   "employees":"600",

   "employee range":"500 to less than 1,000",

   "primary industry":"Advertising & Marketing",

   "all industries":"Advertising &Marketing; Information Collection & Delivery",

   "primary sic code":"7319",

   "primary sic description":"Advertising, nec",

   "company name (us ultimate parent)":"National Amusements, Inc.",

   "d-u-n-s (us ultimate parent)":"49422439",

   "street address (us ultimate parent)":"846 University Ave",

   "city (us ultimate parent)":"Norwood",

   "state (us ultimate parent)":"MA",

   "postalcode (us ultimate parent)":"02062",

   "country (us ultimate parent)":"US",

   "revenue (us ultimate parent)":"27613349110",

   "revenue range (us ultimate parent)":"$1 bil and above",

   "employees (us ultimate parent)":"133269",

   "employee range (us ultimate parent)":"100,000 and above"

}

再次，泄漏的數(shù)據(jù)中包含了美國國防部的人員資料，有超過10萬條，其中各種職能超過1萬條，如職業(yè)軍人，情報分析人員，彈藥專家，化學工程師等。緊隨其后的國家部門是美國郵政系統(tǒng)，有超過88000條員工記錄，然后美國陸軍，空軍和退伍軍人事務部共計76000條左右記錄?？紤]到當前復雜的安全態(tài)勢，這點是相當令人擔憂的——Hunt表示自己看到這些資料后第一時間想到的就是ISIS的懸賞名單。

以下是他列出的前十位數(shù)據(jù)泄漏的機構：

DOD Cce.: 101,013（美國國防部下屬機構）

United States Postal Service: 88,153（美國郵政服務系統(tǒng)）

AT&T Inc.: 67382（美國電信巨頭）

Wal-Mart Stores, Inc.: 55,421（沃爾瑪）

CVS Health Corporation: 40,739（美國醫(yī)藥零售巨頭）

The Ohio State University: 38,705（俄亥俄州立大學）

Citigroup Inc.: 35,292（花旗集團）

Wells Fargo Bank, National Association: 34,928（富國銀行）

Kaiser Foundation Hospitals: 34,805（凱撒醫(yī)療基金會醫(yī)院）

International Business Machines Corporation: 33,412（IBM）

以往此類信息雖然部分在互聯(lián)網(wǎng)上可查，但是通常零散分布在各個角落，無法產(chǎn)生巨大效果，而這次泄露數(shù)據(jù)批量化地出現(xiàn)則證明了個人信息容易失控到了何等地步。Hunt在博客中如此評價道：“這件事提醒我們已經(jīng)失去了對個人隱私的控制。事件中的大多數(shù)人都不清楚他們的個人信息以何種形式被販賣出去，而他們對此無能為力?！?

這鍋我們不背

不過本次事件的主角似乎并不打算就此接鍋。盡管鄧白氏承認了遭泄數(shù)據(jù)庫是他們所有，但是也同樣表示自身系統(tǒng)并沒有遭到入侵。事實上，他們認為泄漏數(shù)據(jù)的格式與文件類型與他們提供給客戶的相同，而且他們已經(jīng)將類似的信息出售給超過“上千家公司”，言下之意一目了然。

目前他們在調(diào)查哪家第三方公司泄漏了這些數(shù)據(jù)，但取證過程困難重重。不過他們還強調(diào)這些數(shù)據(jù)是合法的，而且不包含所謂的“PII”信息——當然，我們都知道如果一個人的姓名，工作，郵箱和公司都不算個人信息的話是說不過去的。用Hunt的話說：這些就算做個人身份信息（PII），而且嚴重違反數(shù)據(jù)管理規(guī)范，如此多的私人信息將對牽涉其中的所有人帶來嚴重威脅。

對此，BitSight（第三方風險管理與安全評估機構）聯(lián)合創(chuàng)始人兼CTO，Stephen Boyer認為：“如果鄧白氏所否認的是真的，那就意味著泄漏出自一個新維度——第三方購買者，而且這些人往往不像供應商那樣和鄧白氏之間有持續(xù)的合作關系，他們在批量購買數(shù)據(jù)時就很容易出問題。現(xiàn)在網(wǎng)絡罪犯可以利用這些數(shù)據(jù)對大型企業(yè)發(fā)動攻擊了——某些公司有超過10萬條員工信息泄漏，他們要小心接下來的釣魚和欺詐攻擊了?！?

*文章來源：Softpedia，F(xiàn)B小編cxt編譯，轉載請注明來自FreeBuf.COM