杜克大学于11月6日发布的的一项新研究报告表明,网络攻击者可以轻松地从数据经纪人手中,以低廉的价格获取有关美国军人的敏感信息。
数据经纪人收集和汇总信息,然后直接或通过利用数据的服务出售、许可或共享信息。数据经纪人包括 Equifax 和 Experian 等信用报告机构、Acxiom 等营销公司以及 Verisk 等数据分析和风险评估公司。该领域的另一个主要参与者是移动应用程序,它们通常在用户不知情或不同意的情况下收集用户信息并将其出售给第三方。
数据经纪人收集和出售的信息广泛,包括姓名、政治偏好、家庭和电子邮件地址、GPS 位置、财务状况和健康信息等。 此类信息对于攻击者而言非常有用,可对目标进行跟踪、诈骗、勒索、等行动。对于军人来说,这些数据的暴露可能会对国家安全构成风险。
杜克大学的研究人员发现,在许多情况下,获取在役军人和退伍军人的信息既简单又便宜,经纪人会专门宣传此类数据。
研究人员联系了美国的十几家经纪人,购买了军人信息。他们发现经纪人用来验证客户身份的方法不一致,并指出这些做法高度不受美国政府监管。
虽然一些经纪人拒绝将数据出售给未经验证的组织,但其他经纪人更感兴趣的似乎是确保数据购买的机密性,而不是实际数据的机密性。当购买数千条记录时,研究人员设法以每条 0.12 美元的价格获取到了敏感信息,而对于更大数量购买,价格甚至可以低至每条 0.01 美元。
研究人员尝试使用美国域名和已链接到新加坡 IP 地址的.asia域名购买数据,发现即使使用 .asia 域名,一些经纪人也同意提供数千条记录,包括地理围栏到华盛顿特区、北卡罗来纳州布拉格堡、弗吉尼亚州阿皮山堡和匡蒂科等战略地点的数据。
研究人员在报告中认为,一些国家间的间谍活动对美国军方的数据尤其感兴趣,建议立法者通过一项全面的隐私法,对数据经纪生态系统进行强有力的控制,并建议国会向能够执行新政策的监管机构提供更多资金。