再次,泄漏的数据中包含了美国国防部的人员资料,有超过10万条,其中各种职能超过1万条,如职业军人,情报分析人员,弹药专家,化学工程师等。紧随其后的国家部门是美国邮政系统,有超过88000条员工记录,然后美国陆军,空军和退伍军人事务部共计76000条左右记录。考虑到当前复杂的安全态势,这点是相当令人担忧的——Hunt表示自己看到这些资料后第一时间想到的就是ISIS的悬赏名单。
以下是他列出的前十位数据泄漏的机构:
DOD Cce.: 101,013(美国国防部下属机构)
United States Postal Service: 88,153(美国邮政服务系统)
AT&T Inc.: 67382(美国电信巨头)
Wal-Mart Stores, Inc.: 55,421(沃尔玛)
CVS Health Corporation: 40,739(美国医药零售巨头)
The Ohio State University: 38,705(俄亥俄州立大学)
Citigroup Inc.: 35,292(花旗集团)
Wells Fargo Bank, National Association: 34,928(富国银行)
Kaiser Foundation Hospitals: 34,805(凯撒医疗基金会医院)
International Business Machines Corporation: 33,412(IBM)
以往此类信息虽然部分在互联网上可查,但是通常零散分布在各个角落,无法产生巨大效果,而这次泄露数据批量化地出现则证明了个人信息容易失控到了何等地步。Hunt在博客中如此评价道:“这件事提醒我们已经失去了对个人隐私的控制。事件中的大多数人都不清楚他们的个人信息以何种形式被贩卖出去,而他们对此无能为力。”
这锅我们不背不过本次事件的主角似乎并不打算就此接锅。尽管邓白氏承认了遭泄数据库是他们所有,但是也同样表示自身系统并没有遭到入侵。事实上,他们认为泄漏数据的格式与文件类型与他们提供给客户的相同,而且他们已经将类似的信息出售给超过“上千家公司”,言下之意一目了然。
目前他们在调查哪家第三方公司泄漏了这些数据,但取证过程困难重重。不过他们还强调这些数据是合法的,而且不包含所谓的“PII”信息——当然,我们都知道如果一个人的姓名,工作,邮箱和公司都不算个人信息的话是说不过去的。用Hunt的话说:这些就算做个人身份信息(PII),而且严重违反数据管理规范,如此多的私人信息将对牵涉其中的所有人带来严重威胁。
对此,BitSight(第三方风险管理与安全评估机构)联合创始人兼CTO,Stephen Boyer认为:“如果邓白氏所否认的是真的,那就意味着泄漏出自一个新维度——第三方购买者,而且这些人往往不像供应商那样和邓白氏之间有持续的合作关系,他们在批量购买数据时就很容易出问题。现在网络罪犯可以利用这些数据对大型企业发动攻击了——某些公司有超过10万条员工信息泄漏,他们要小心接下来的钓鱼和欺诈攻击了。”