黑客的字典里沒有“隱私”

李輝

黑客的字典里沒有“隱私”

李輝

至我們的客戶（節(jié)譯）：

保護(hù)您的個(gè)人、財(cái)務(wù)以及醫(yī)療信息，是我們的最優(yōu)先業(yè)務(wù)之一，正因與此，我們配備了最先進(jìn)的信息安全系統(tǒng)。然而，盡管我們?nèi)绱伺?，Anthem還是遭受了一次非常精心策劃的外部網(wǎng)絡(luò)攻擊。攻擊者以非授權(quán)的身份進(jìn)入了Anthem的IT系統(tǒng)，獲取了我們當(dāng)前和之前客戶的個(gè)人信息，包括姓名、生日、醫(yī)療ID/社會保險(xiǎn)號、家庭地址、郵件以及包含收入數(shù)據(jù)的就業(yè)信息。以我們所知，信用卡和醫(yī)療信息，如索賠、檢驗(yàn)結(jié)果或者診斷代碼，并沒有被攻擊。

在發(fā)現(xiàn)攻擊的第一時(shí)間，Anthem即盡一切可能關(guān)閉了安全漏洞，同時(shí)向FBI匯報(bào)并全力配合他們的調(diào)查。Anthem已經(jīng)與世界上最為領(lǐng)先的網(wǎng)絡(luò)安全公司——Mandiant——聯(lián)系，請他們評估我們的系統(tǒng)并提出更進(jìn)一步的解決方案。

Anthem自己的合伙人的個(gè)人信息——包括我自己的——在此次攻擊中同樣被侵犯。我們和每一個(gè)投保人一樣關(guān)切和感到沮喪。我保證我們正日以繼夜地工作來保證我們的數(shù)據(jù)在接下來的安全。

Anthem將會單獨(dú)通知信息被侵犯的每一個(gè)客戶。我們將提供免費(fèi)信用監(jiān)控以及身份保護(hù)服務(wù)。我們建立了一個(gè)專用網(wǎng)站：www.AnthemFacts.com，這里提供常見問題和解答。

Anthem董事長兼CEO，Joseph R.Swedish

在剛剛過去的2月，美國第二大保險(xiǎn)公司Anthem8000萬投保者數(shù)據(jù)被盜，成為新年伊始美國最為引人注意的科技新聞之一。

美國目前的總?cè)丝谑?.15億，這也意味著8000萬被盜的客戶數(shù)量，占到了這一世界第三人口大國總?cè)丝诘?/4強(qiáng)（當(dāng)然這8000萬里有一定比例是非美國籍的）。按照Anthem公司致客戶的公開信（見右欄）所言，被盜數(shù)據(jù)涵蓋了客戶的姓名、生日、醫(yī)療識別號、社會保險(xiǎn)號碼、家庭住址和電子郵件。全美四分之一人口的家庭地址被某個(gè)非法組織（或只是某個(gè)人）所掌握，無論如何都是極令人恐慌的一件事情。美國全國廣播公司、《華爾街日報(bào)》、《紐約時(shí)報(bào)》等主流媒體，以及眾多科學(xué)博客，為此事從各個(gè)角度展開了連篇累牘的報(bào)道和評論。

與2013年12月美國知名連鎖超市塔吉特(Target)的數(shù)據(jù)被盜——主要是銀行賬號被盜——不同，這次被盜取的數(shù)據(jù)中沒有銀行賬號數(shù)據(jù)。Anthem在致客戶的信中也特別指出了這一點(diǎn)——或許這種說明能讓擔(dān)心經(jīng)濟(jì)損失的客戶有所安心。

但很快有分析指出，社會保險(xiǎn)號、家庭地址這類數(shù)據(jù)的外泄要比銀行賬號外泄更加嚴(yán)重。因?yàn)殂y行卡一旦出現(xiàn)問題，第一時(shí)間打電話給銀行即可處理。而社會保險(xiǎn)號、家庭地址被人竊取，卻是連打電話報(bào)備的機(jī)構(gòu)都沒有的。況且，社會保險(xiǎn)號是一個(gè)人一輩子唯一的號碼，家庭地址對絕大多數(shù)人而言也是非常固定的，丟失了這些數(shù)據(jù)的客戶，只能在未來的人生中始終保持警惕。據(jù)報(bào)道，有人已將Anthem告上了法庭——但對于個(gè)人數(shù)據(jù)泄露的既成事實(shí)，想必已經(jīng)是于事無補(bǔ)了。

用于詐騙

數(shù)據(jù)外泄，通常人們最擔(dān)心的是盜竊者的詐騙。美國媒體上已經(jīng)羅列了非常多種可怕后果，有幾種是非常容易理解且已被“先行者”試驗(yàn)過的。

簡單直接的詐騙方式，是盜竊數(shù)據(jù)者利用客戶的個(gè)人信息辦理一張信用卡，然后盡可能透支……

復(fù)雜一點(diǎn)的，掌握數(shù)據(jù)者可以通過郵件進(jìn)行詐騙。很多人在收到陌生人發(fā)來的“張經(jīng)理，您本月賬單，請查收”之類的郵件時(shí)，除非剛好姓張，一般人都會當(dāng)其為詐騙郵件。但是如若一個(gè)很像電力公司的地址發(fā)來郵件，上面清楚地寫著“阮教授，您位于某街道某號樓的某某房間，需繳本月電費(fèi)多少”，大概這位阮教授被騙的幾率就會大增了。假如點(diǎn)擊了郵件鏈接的網(wǎng)站并在線繳費(fèi)的話，相關(guān)賬號以及密碼也可能被盜。

更加復(fù)雜的，盜竊數(shù)據(jù)者可以利用客戶的相關(guān)信息申請退稅，退的錢當(dāng)然是到了騙子的口袋里。根據(jù)美國國稅局的調(diào)查，在2013年，有大約1500例這樣的事件發(fā)生。從8000萬客戶中挑出幾個(gè)進(jìn)行這樣子的詐騙，應(yīng)該不是難事。

信息化時(shí)代，信息詐騙的招數(shù)層出不窮，這8000萬客戶的數(shù)據(jù)足可以讓騙子將各種招數(shù)都演練一遍了。

用于創(chuàng)新

盜亦有道，竊走數(shù)據(jù)者也許并非以欺詐為目的，如果盜竊數(shù)據(jù)者不那么“壞”，這些數(shù)據(jù)可以被他們創(chuàng)新利用而不是詐騙。

有一點(diǎn)明確的是：Anthem公司可以用這些數(shù)據(jù)做什么，盜竊數(shù)據(jù)者就可以做什么。比如，掌握所有投保人的家庭地址，自然可以知道哪些地區(qū)買保險(xiǎn)的人比較多哪些地區(qū)比較少，Anthem據(jù)此可以在買保險(xiǎn)多的地區(qū)進(jìn)行保險(xiǎn)的下一步服務(wù)，而在買保險(xiǎn)少的地區(qū)加大保險(xiǎn)營銷力度。這類事情在這些數(shù)據(jù)沒有被盜之前，當(dāng)然是Anthem公司內(nèi)部數(shù)據(jù)挖掘部門用來分析用來決策的鎮(zhèn)店之寶。而一旦為他人所擁有，與Anthem公司類似的服務(wù)或者跟隨性的服務(wù)出現(xiàn)，也就在情理之中了。

還有一種可能，獲得數(shù)據(jù)者并非是同行，而是其他行業(yè)者。大數(shù)據(jù)時(shí)代，人們早已認(rèn)識到數(shù)據(jù)融合的重要性。保險(xiǎn)行業(yè)的數(shù)據(jù)保存在保險(xiǎn)公司之手，而移動電話的數(shù)據(jù)掌握在電信公司之手。如果有人能將這兩者融合，誰會知道有什么新的服務(wù)出現(xiàn)——但一定會出現(xiàn)。對保險(xiǎn)公司虎視眈眈垂涎欲滴的組織和公司不在少數(shù)，他們一旦拿到保險(xiǎn)公司的這些數(shù)據(jù)，或許對數(shù)據(jù)經(jīng)濟(jì)的發(fā)展有意外的益處（雖然并不合法）。

如果是這樣的結(jié)果，最終受損失的主要是Anthem公司，客戶則并不會有直接的損失。

用于交易

數(shù)據(jù)只是數(shù)據(jù)，只有開發(fā)成信息才有價(jià)值。上面這兩種可能，都是開發(fā)者基于8000萬客戶數(shù)據(jù)或好或壞的“應(yīng)用開發(fā)”。還有一種可能，那就是黑客只是黑客，他們在獲得數(shù)據(jù)后的目的不是應(yīng)用，而是“交易”。

這里必須提到數(shù)據(jù)黑市了。據(jù)蘭德公司的一份報(bào)告《網(wǎng)絡(luò)犯罪工具和偷竊數(shù)據(jù)的市場》（Markets for Cybercrime Tools and Stolen Data），黑客工作所需的網(wǎng)絡(luò)工具和作為其成果的偷竊數(shù)據(jù)，已催生了一個(gè)巨大的黑市。2013年12月，知名連鎖超市塔吉特多達(dá)4千萬的信用卡和7千萬的用戶賬戶被黑，這些數(shù)據(jù)在數(shù)天后就出現(xiàn)在了黑市網(wǎng)站上。

蘭德公司通過大量的調(diào)研，對數(shù)據(jù)黑市的特征、組織架構(gòu)有了一些基本的了解。只是基本了解，蘭德公司也承認(rèn)數(shù)據(jù)黑市非常復(fù)雜。他們認(rèn)為，數(shù)據(jù)黑市是一個(gè)地理上極度分散的市場，而且各主體之間的交流以暗語進(jìn)行，所以外部的觀察家們非常難以真正理解其內(nèi)部的組織機(jī)構(gòu)和運(yùn)行規(guī)則。這份報(bào)告的分析結(jié)果頗為悲觀。

它認(rèn)為：將來只會有更多的黑客活動；黑客攻擊的能力將超過防守的能力；網(wǎng)絡(luò)連接越來越高速，將引發(fā)更多的攻擊；盜采社會網(wǎng)絡(luò)和移動設(shè)備的行為將增加；將會有更多黑客行為被雇傭，甚至有黑客經(jīng)紀(jì)人出現(xiàn)！總而言之，黑客活動會越來越多、技術(shù)會越來越精、工具會越來越好、組織會越來越復(fù)雜。

且不管蘭德公司通過大量調(diào)研和研究所得出的這些結(jié)論在他們看來也只是冰山一角，僅就這些結(jié)論，我們已經(jīng)很容易得出“數(shù)據(jù)黑市已經(jīng)愈演愈烈”的結(jié)論。蘭德公司在其報(bào)告的結(jié)尾也略有無奈地說道：“我們能預(yù)料，這個(gè)地下市場將會繼續(xù)成長和有針對性，繼續(xù)創(chuàng)新和適應(yīng)新的變化，繼續(xù)走向成熟?！?/p>

皆為利來

須說明的是，最近一些列黑客事件，主角都是“數(shù)據(jù)”，而非“信息”。

在2013年著名的棱鏡門事件中，愛德華·斯諾登將美國國家安全局的絕密資料盜竊并披露。其資料本身就是信息。但是最近這些黑客事件的被竊對象，是數(shù)據(jù)。數(shù)據(jù)在分析之前只是冷冰冰的數(shù)字，但是經(jīng)加工后可以成為價(jià)值連城的信息——可以用來詐騙也可以用來提供新的服務(wù)。

數(shù)據(jù)時(shí)代到來后，人們對數(shù)據(jù)的價(jià)值已經(jīng)不存在任何疑問。問題在于，不是所有人都擁有有價(jià)值的數(shù)據(jù)。很多政府和企業(yè)的數(shù)據(jù)封存內(nèi)部服務(wù)器，而利用數(shù)據(jù)創(chuàng)造價(jià)值的呼聲越來越高，在此情況下，數(shù)據(jù)開放漸成成一種社會運(yùn)動。美國政府自奧巴馬上任第一天簽署《透明與開放政府備忘錄》起，就在全球領(lǐng)大規(guī)模開放政府?dāng)?shù)據(jù)風(fēng)氣之先。

只是很多數(shù)據(jù)并不一定適合開放。不愿意或者不能做到數(shù)據(jù)開放的理由，通常集中在“個(gè)人隱私、商業(yè)機(jī)密、國家安全”三方面。在數(shù)據(jù)可能帶來的利益的驅(qū)動下，數(shù)據(jù)盜竊和數(shù)據(jù)黑市就應(yīng)運(yùn)而生了——畢竟在黑客的字典里，沒有“隱私”這樣的字眼。