涉及美國軍方、企業等上千萬條員工資訊的資料庫洩露

3月16日訊 近日美國商業服務巨頭dun＆bradstreet的52gb資料庫遭到洩露，這套資料庫中包含超過3300萬條記錄，具體包括政府部門與大型企業客戶，有證據證明，其曾面向營銷廠商出售過。

涉及美國軍方、企業等上千萬條員工資訊的資料庫洩露 - e安全

這套資料庫整體約為52 gb，包含3380萬條惟一電子郵箱位址與成千上萬條企業員工聯系資訊，其影響範圍已經占據美國企業從業者的可觀比例。

商業服務巨頭dun & bradstreet證明是該資料庫擁有者，并透露這是2015年一筆1.25億美元的交易收購netprospex公司所獲得。

這套資料庫包含九十條字段，其中一部分包含多項個人資訊，例如姓名、職稱與職能、工作電子郵箱位址以及電話号碼。其它資訊還包括公開的更為通用的企業資料，包括準确的辦公地點、業務機關内員勞工數以及與企業所屬行業相關的其它描述，例如廣告、法律、媒體與廣播以及電信等資訊。整套資料庫旨在幫助dun & bradstreet公司定位其電子郵件營銷活動，并通過其它通信途徑引導其營銷人員拓展現有及潛在客戶群體。

這批資料可進行批量購買，亦可根據具體公司記錄類型進行購買，但尚不清楚完整資料集的購買價格。根據我們掌握的情況，購買50萬條記錄的成本可能高達20萬美元左右。

洩露通報網站have i been pwned的營運者troy hunt獲得了這套資料庫，并對其中記錄進行了分析。hunt在本周二釋出的一篇博文當中稱，此次外洩資訊重災區為美國，且加利福尼亞州為資訊主要來源，涉及400萬條以上的記錄。紐約有270萬條記錄，德克薩斯州有260萬條記錄。

　　hunt對記錄的分析得出結論：

美國國防部在其中占比最高，包含相關員工記錄10萬1013條;

其次是美國郵政局，包含員工記錄8萬8153條;

涉及美國陸軍、空軍與榮民事務部的記錄總計7萬6379條;

涉及高知名度企業,如at&t、波音、戴爾、聯邦快遞、ibm以及施樂公司，這套資料庫均擁有這些企業的成千上萬條員工記錄。

hunt在本周二發出的一封郵件中，

“盡管這套資料庫裡存在很多已經公開的的資料，但像此套資料庫所提供的聚合資訊集及其易于搜尋的特性極具利用價值。此次事件再次提醒我們，我們已經失去了對個人隐私的控制力; 這些資料集中涉及的絕大多數人士對自己的資訊以這種方式出售毫不知情，自然也不具備任何控制能力。”

hunt通過have i been pwned網站的洩露記錄資料庫與此次曝光的資料庫進行了比較，并發現有14%的電子郵箱位址此前就已經存在于其洩露記錄資料庫内。相關資料已經在have i been pwned網站上提供搜尋。

此次資料庫外洩很難歸因于誰，因為這套資料曾出售給多方。

目前尚不清楚該資料的具體外洩原因，或者說該由誰為本次洩露事故負責。

dun & bradshaw公司的一位發言人拒絕作出進一步評論，僅釋出了一份與之相關的電子郵件聲明。

這份聲明是這樣的：

“我們已經對自身共享的資訊進行了認真評估，此次外洩的資訊在類型與格式上确實與我們向客戶傳遞的内容相符。不過根據我們的分析，dun & bradstreet系統并未受到入侵或者曝光。”

這位發言人強調稱，一項内部調查顯示盡管外洩資料歸屬于該公司，但其系統并未遭遇安全違規或者洩露事件。該公司同時補充稱，這批資料大約為六個月前的版本，且相當一部分被出售給“數千”家企業。

dun & bradshaw公司的一位高管評論稱，其“很難”追蹤到底是哪家第三方企業公開了這套資料庫的副本。dun & bradstreet公司向其客戶及資料收集對象解釋稱，此次洩露并不會造成嚴重風險。其指出這批資料包含“用于銷售與營銷目的的一般性公開業務聯系資料。”

hunt稱涉及個人資訊、組織機構的資訊洩露将有利于網絡犯罪分子實施不法活動

不過hunt表示，這種說辭并不會降低資料遭到濫用的可能性。“如果擁有了他人的姓名、工作職務及其歸屬于所在企業的工作電子郵箱位址，即相當于擁有了對方的個人身份資訊。這意味着此次洩露的資料集确實能夠引發巨大風險; 其中的大量個人資訊在配合同時洩露的專業角色背景之後，将給其所涉及的組織機構造成嚴重威脅。”

此類資料既然是因為其商用價值被營銷公司購買了便于營銷人員所使用，那麼惡意人士當然也能夠采取同樣的使用方式，甚至用于擴大從受害者處擷取的利益。例如近年來，安全領域出現了一系列針對金融機構官員及其他高層企業管理人員的網絡釣魚攻擊活動，旨在誘導員工洩露财務資訊以通過納稅申報返還金額擷取經濟回報。如果這批資料讓網絡犯罪分子更為輕松地實施上述活動，那他們幹嘛不用。

hunt稱，“這些資料包含大量高實用性資訊，足以支援極為可信的攻擊活動，對于釣魚活動來說無疑是一座巨大的寶藏。利用這些資料，大家可以根據組織結構與其職能特性策劃釣魚資訊，以創造幾乎可以以假亂真的誤導内容，這樣的迷惑性與國家支援型惡意活動基本持平。”

目前尚不清楚出售資訊這種作法是否屬于資料保護與隐私法律的管控範疇，不過該公司高管表示這套資料庫“完全符合”美國隐私法的要求。該公司拒絕評論此次資料洩露會給其業務造成怎樣的影響，亦沒有明确給出該資料庫的通路、下載下傳或者共享次數。

他同時補充稱，該公司有時會在不經意間收集到“更為敏感且機密的個人資料”，對于這類資料他們會主動清除相關記錄，不會将其提供或者出售給客戶。

hunt表示，對于那些自身資料已經被無數次出售的企業員工而言，他們取回這些資料的可能性完全為“零”。

本文轉自d1net（轉載）