杜克大学周一发布的一项新研究表明,外国威胁行为者可以轻松地从数据经纪人那里获取有关美国军人的敏感信息。
数据经纪人收集和汇总信息,然后直接或通过利用数据的服务出售、许可或共享信息。数据经纪人包括 Equifax 和 Experian 等信用报告机构、Acxiom 等营销公司以及 Verisk 等数据分析和风险评估公司。该领域的另一个主要参与者是移动应用程序,它们通常在用户不知情或不同意的情况下收集用户信息并将其出售给第三方。
数据经纪人收集和出售广泛的信息,包括姓名、人口统计数据、政治偏好、生活方式详细信息、家庭和电子邮件地址、GPS 位置、财务状况和健康信息。
此类信息对于威胁行为者非常有用,包括诈骗、勒索、分析、造成声誉损害和跟踪。对于军人来说,这些数据的暴露可能会对国家安全构成风险。
虽然一些数据经纪人采取措施确保此类数据不会落入坏人之手,但杜克大学研究人员进行的研究发现,在许多情况下,获取军人和退伍军人的信息既简单又便宜,经纪人专门宣传此类数据。
杜克大学的研究人员联系了美国的十几家经纪人,购买有关军人和退伍军人的信息。他们发现经纪人用来验证客户身份的方法不一致,并指出这些做法高度不受美国政府监管。
虽然一些经纪人拒绝将数据出售给未经验证的组织,但其他经纪人似乎更感兴趣的是确保数据购买的机密性,而不是实际数据的机密性。
当购买数千条记录时,研究人员设法以每条记录 0.12 美元的价格获取敏感信息,而对于大量购买,价格可以低至每条 0.01 美元。
研究人员尝试使用美国域名和已链接到新加坡 IP 地址的 .asia域名购买数据。
即使使用 .asia 域名,一些经纪商也同意提供数千条记录,包括地理围栏到华盛顿特区、北卡罗来纳州布拉格堡、弗吉尼亚州阿皮山堡和匡蒂科等战略地点的数据。
“历史上,外国政府出于间谍活动、选举干预和其他目的而寻求有关美国个人和组织的数据。他们对美国军方的兴趣特别高,他们可以通过数据经纪生态系统获取这些数据,要么通过合法购买,要么通过侵入经纪人或其客户的数据库,”研究人员在报告中写道。
研究人员建议立法者通过一项全面的隐私法,对数据经纪生态系统进行强有力的控制,并建议国会向能够执行新政策的监管机构提供更多资金。
此外,国防部应进行内部合同数据流评估,这可能有助于限制敏感军事信息向数据经纪人的暴露。
>>>错与罚<<<
原文始发于微信公众号(祺印说信安):美大学称:数据经纪人暴露敏感的美国军人信息
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论