Trải Nghiệm Khi Vô Tình Tiết Lộ Dữ Liệu của 230 Triệu Người

Steve Hardigree chưa kịp đến văn phòng, ngày của anh ấy đã trở thành một ác mộng tỉnh giấc.

Khi anh ta Google tên công ty của mình vào sáng hôm đó tháng sáu năm ngoái, Hardigree phát hiện ra một danh sách ngày càng tăng về những tiêu đề chỉ đến công ty quảng cáo 10 người mà anh ấy đã thành lập ba năm trước, Exactis, là nguồn gốc của một rò rỉ thông tin cá nhân của gần như mọi người ở Hoa Kỳ. Một người bạn trong một văn phòng kế bên nơi anh ấy thuê làm trụ sở chính của công ty ở Palm Coast, Florida, đã cảnh báo anh ta rằng phóng viên tin tức truyền hình đã cắm trại ngoài tòa nhà với máy quay. Các công ty an ninh đang nhanh chóng đề xuất giải pháp cho anh ấy. Các hãng luật đã vội vã tổ chức một vụ kiện quần chúng chống lại công ty của anh ta. Tất cả chỉ vì một máy chủ không được bảo mật. "Như bạn có thể tưởng tượng," Hardigree nói, "tôi đã rơi vào trạng thái hoảng loạn."

Ngày trước cuộc hỗn loạn đó, MYTOUR đã tiết lộ rằng Exactis đã tiết lộ một cơ sở dữ liệu gồm 340 triệu bản ghi trên internet công cộng, như được phát hiện đầu tiên bởi một nhà nghiên cứu bảo mật độc lập tên là Vinny Troia. Sử dụng công cụ quét Shodan, Troia xác định một máy chủ Amazon ElasticSearch được cấu hình sai lầm chứa cơ sở dữ liệu, và sau đó tải nó về. Ở đó, anh ấy đã tìm thấy 230 triệu bản ghi cá nhân và thêm 110 triệu liên quan đến doanh nghiệp—hơn hai terabyte thông tin tổng cộng. Những tập tin đó không bao gồm thông tin thẻ tín dụng, mật khẩu, hoặc số An Sinh Xã Hội. Nhưng mỗi tập tin đều liệt kê hàng trăm chi tiết về cá nhân, từ giá trị của người ta vay mượn đến tuổi của con cái họ, cũng như thông tin cá nhân khác như địa chỉ email, địa chỉ nhà, và số điện thoại.

Exactis cung cấp thông tin đó cho khách hàng tiếp thị và bán hàng, để họ có thể tích hợp nó với cơ sở dữ liệu hiện tại của họ để xây dựng hồ sơ toàn diện hơn. Nhưng những chi tiết giống nhau đó, nếu để mở cho công chúng, có thể dễ dàng cho phép người gửi thư rác hoặc lừa đảo tạo hồ sơ mục tiêu.

Kiểu tiết lộ dữ liệu hàng loạt tình cờ mà Exactis trải qua không hề độc đáo, khi có loạt rò rỉ thông tin cá nhân tương tự hoặc tồi tệ hơn đã xảy ra ngay cả trong những tháng gần đây. Hiếm khi, tuy nhiên, là sự sẵn lòng nói chuyện của người sáng lập Exactis, Steve Hardigree, với MYTOUR về trải nghiệm đó: trở thành công ty ở trung tâm của một cuộc tranh cãi quốc gia về quyền riêng tư dữ liệu, cũng như xử lý hậu quả pháp lý, bürocratic và uy tín.

Kết quả là một câu chuyện cảnh báo về trách nhiệm mà một bộ dữ liệu lớn có thể tạo ra đối với một công ty nhỏ như Exactis. Nó cũng gợi ý về việc làm thế nào mà những công ty nhỏ có thể sử dụng cơ sở dữ liệu lớn, dễ bị rò rỉ thông tin cá nhân—mà không nhất thiết phải có tài nguyên hoặc kiến thức để bảo vệ chúng.

Trước hết, Hardigree muốn làm rõ điều này: Việc tiết lộ dữ liệu của Exactis không phải là "vi phạm," ông nói. Ông phản đối ngay cả việc gọi nó là một "rò rỉ." Hardigree khẳng định rằng trong khi dữ liệu được để lộ trực tuyến vào đầu tháng 6 năm ngoái—chỉ trong vài ngày, theo Hardigree, mặc dù Troia cho rằng nó kéo dài hơn nhưngi vài tháng—các bản ghi của công ty và một cuộc kiểm tra an ninh bên ngoại dường như chỉ ra rằng không có người ngoại việc Troia truy cập vào nó. Dữ liệu đã được bảo mật sau cảnh báo của Troia trước khi MYTOUR đăng bài. "Chúng tôi không tin rằng nó bao giờ bị rò rỉ," Hardigree nói.

Troia phản đối rằng anh ta đã chụp màn hình vào tháng 7 năm ngoái của một bảng rao bán trên diễn đàn web tối tăm có tên là KickAss có vẻ đang bán ít nhất một phần của dữ liệu Exactis. (Xem dưới đây.) Nhưng Hardigree nói rằng Exactis đã bao gồm những nhân vật giả mạo "giống hạt giống" trong cơ sở dữ liệu, được thiết kế để phục vụ như một bài kiểm tra xem nó có bị rò rỉ hay không, một kỹ thuật tiêu chuẩn trong ngành tiếp thị. Hardigree nói rằng anh ấy đã tiếp tục theo dõi những hạt giống đó cá nhân và không có một cái nào nhận được bất kỳ email nào cho thấy có rò rỉ—spam, lừa đảo hoặc cái gì khác. Ông cũng nói rằng ông đã liên lạc với FBI và tuyên bố rằng cơ quan này đã quét web tối tăm để tìm dữ liệu Exactis và không tìm thấy gì. (FBI từ chối yêu cầu của MYTOUR để bình luận hoặc xác nhận điều này.)

Đe Doạ Mạng và Mối Đe Dọa

Cho dù tội phạm có lấy dữ liệu hay không, việc tiết lộ này đã kết thúc hiệu quả Exactis. Mặc dù công ty chưa tuyên bố phá sản, Hardigree nói rằng ông đã từ bỏ việc kiếm tiền từ nó và dự định tập trung nỗ lực vào một công ty khởi nghiệp khác. Sau đợt tin tức đổ mưa sau khi MYTOUR đăng bài, khách hàng của công ty chủ yếu đã từ bỏ nó. Các đối tác với họ Exactis đã giao dịch dữ liệu, hoặc mà nó đã sử dụng để xác minh dữ liệu, đã yêu cầu bị xóa khỏi trang web Exactis. Thậm chí Equifax còn đi xa đến mức gửi một lá thư yêu cầu dừng và không sử dụng tên của nó trên trang web của Exactis, Hardigree nói, một bi kịch hỉ iron khi xem xét vụ scandal quyền riêng tư lớn của chính Equifax. Cuối cùng, ba nhà quản lý cấp cao nhất nắm giữ cổ phần trong Exactis ngoại trừ Hardigree cũng rời đi. "Tôi đã mất công ty," Hardigree nói.

Trong thời gian đó, Hardigree nói rằng anh và công ty của ông đã nhận hàng nghìn email và cuộc gọi điện thoại tức giận, bao gồm nhiều đe dọa đến tính mạng. Hardigree thậm chí tuyên bố rằng Exactis đã bị mục tiêu bởi một lượng lớn lưu lượng truy cập rác mà làm đổ đứt trang web của nó.

"Tôi sợ hãi, và vợ con tôi cũng sợ hãi," Hardigree nói trong một cuộc gọi điện thoại với MYTOUR vào những ngày đầu của phản đối đó vào tháng 7 năm ngoái. "Điều này làm tôi chịu tổn thất một chút." Sau khi scandal bùng phát, Hardigree đi nghỉ làm việc ở Bắc Carolina, nhưng ông nói rằng căng thẳng về tình hình đã khiến anh ta bị phát ban và phải đến bệnh viện điều trị. Cuối cùng, Hardigree nhận được một cảnh báo qua tin nhắn từ LifeLock, một dịch vụ ngăn chặn trộm danh tính mà ông đã đăng ký. Nó cảnh báo anh ta về mối đe dọa đối với quyền riêng tư từ việc tiết lộ dữ liệu của công ty ông.

"Tôi đã suy sụp tinh thần," ông nói.

Trong những tháng kể từ đó, Hardigree nói rằng anh đã xử lý các yêu cầu điều tra từ hơn một tá bộ trưởng công tư bang lo lắng về khả năng lạm dụng dữ liệu của Exactis, cũng như FBI, mặc dù ông lưu ý rằng tất cả đã ngừng đặt câu hỏi ông. Vụ kiện quần chúng chống lại Exactis, do công ty luật Florida Morgan & Morgan dẫn đầu, vẫn chưa bị rút lại, nhưng chưa tiến triển đến phiên tòa. Hardigree tin rằng nó đã đình trệ, khiến cho công ty của ông không có tiền để thanh toán thiệt hại, ngay cả nếu có thể chứng minh được tổn thất. Morgan & Morgan không đáp lại yêu cầu điều tra từ MYTOUR.

Hardigree đã phải đối mặt với rắc rối pháp lý và bürocratic còn đọng này lớn phần một mình. Trong số những người đã rời công ty là ba đối tác của ông, trong đó có hai người quản lý công nghệ của công ty và an ninh dữ liệu của nó, và mà Hardigree đổ lỗi cho việc tiết lộ cơ sở dữ liệu ElasticSearch của công ty trực tuyến. Cả hai đối tác cũ đều không trả lời yêu cầu ý kiến từ MYTOUR.

Cuộc trải qua đã là bài học khó khăn cho Hardigree, ông nói rằng ông đã học bằng cách khó khăn nhất về việc một công ty nhỏ như công ty ông phải ưu tiên an ninh. "Hãy cẩn thận với dữ liệu của bạn và cẩn thận với những người quản lý dữ liệu của bạn," Hardigree nói. "Tôi thuê một số anh chàng rất không cẩn thận. Nhưng cuối cùng, là CEO phải chịu trách nhiệm. Tôi chịu trách nhiệm."

Góp Ý Cuối Cùng

Tuy nhiên, ở một số điểm, Hardigree vẫn kiên quyết. Ông gọi Troia, nhà nghiên cứu đã tìm thấy dữ liệu của ông bị tiết lộ, là "không phải là người tốt," và buộc tội anh ta đã làm suy giảm Exactis để nâng cao hình ảnh cá nhân của mình. Ông chỉ trích Troia đã liên lạc với MYTOUR trước khi liên lạc với Exactis về việc tiết lộ dữ liệu của mình, và gửi cho công ty một tờ rơi quảng cáo sau email ban đầu, mà Hardigree và nhân viên của ông xem như một loại làm áp đặt. Ông cũng cáo buộc rằng Troia có thể đã vi phạm pháp luật khi tải xuống dữ liệu bị tiết lộ—một thực hành khá phổ biến trong cộng đồng nghiên cứu an ninh—và một lần nữa khi cho một bản sao nó cho dịch vụ thông báo về việc vi phạm HaveIBeenPwned.com.

"Tôi có thể kiện anh ta trong tòa dân sự hoặc đề xuất buộc tội hình sự nhưng tôi không nghĩ điều đó giải quyết vấn đề gì," Hardigree nói. Troia thừa nhận rằng anh ta cảm thấy tiếc nuối vì đã đóng vai trò trong việc làm chết chúng Exactis. Nhưng anh ta không hối hận về hành động của mình. "Nếu tôi không tìm thấy nó, người khác sẽ tìm thấy nó theo thời gian," anh ta nói. "Cuối cùng, cửa đó đã mở rộng, và dữ liệu của mọi người đều đang rò rỉ."

Hardigree cũng vẫn khẳng định rằng dữ liệu Exactis tổng hợp và sau đó bị tiết lộ không thực sự nhạy cảm, và sự phẫn nộ về việc tiết lộ của nó đã bị nổi lên quá mức. Ông nói rằng nhiều phần lớn đều được rút từ nguồn như các hồ sơ công cộng và dữ liệu điều tra dân số. Exactis kết hợp thông tin công cộng đó với dữ liệu mà nó đã trao đổi và mua, từ các nguồn như các công ty cho vay tiền trả góp và ô tô đến các cuộc khảo sát và biểu mẫu đăng ký cho các xuất bản về kinh doanh. Hardigree khẳng định rằng hàng trăm công ty nhỏ sở hữu dữ liệu tương tự. Ông lập luận rằng bất cứ ai cũng có thể mua một phiên bản ít tinh tế hơn của bộ sưu tập tương tự, được biết đến là Một Tệp Người Tiêu Dùng, với giá khoảng 1.000 đô la. "Dữ liệu này đã có, và luôn luôn đã có," Hardigree nói.

Nhưng Troy Hunt, nhà nghiên cứu an ninh và chuyên gia vi phạm dữ liệu quản lý HaveIBeenPwned, nói rằng dữ liệu của Exactis thực sự đủ nhạy cảm để chứng minh làm đúng làn sóng đau khổ đã đổ xuống công ty sau khi bị mất an ninh. Anh ấy lập luận rằng dữ liệu thực sự đủ chi tiết để góp phần vào việc đánh cắp danh tính, và chắc chắn là đủ chi tiết để làm kinh sợ bất kỳ ai phát hiện họ có trong đó.

"Tôi đang chơi chiếc đàn violin nhỏ lắm ngay bây giờ," Hunt nói về những rắc rối của Exactis sau khi bị tiết lộ. "Họ nói 'hãy xem, chúng tôi đã gom lại một số dữ liệu của mọi người mà họ không mong đợi sẽ được sử dụng như thế này, và chắc chắn không có bất kỳ sự đồng thuận thông tin nào. Sau đó, chúng tôi đã không bảo vệ nó đúng cách. Bây giờ chúng tôi buồn phiền vì điều xấu xảy ra với chúng tôi vì kết quả của nó.' Họ sẽ không nhận được nhiều sự đồng cảm từ bất kỳ ai về điều đó."

Thời Thượng Đại

Nhưng Hunt đồng ý ít nhất với một điểm của Hardigree: Một đám mây ngày càng lớn của các công ty khởi nghiệp có vẻ có và phân tích lượng lớn dữ liệu người tiêu dùng mà trước đây không thể đối với các công ty nhỏ. Anh ấy chỉ đến cả Apollo.io và Verifications.io làm ví dụ về các công ty vô danh đã gần đây đã tiết lộ các kho dữ liệu khổng lồ của người tiêu dùng. Verifications.io, ví dụ, có vẻ đã bí mật đến nỗi phản ứng lại sự rò rỉ dữ liệu của mình bằng cách tắt trang web của mình, và từ đó đến nay vẫn chưa khôi phục lại.

Bạn có thể cảm ơn các dịch vụ đám mây và các tiến bộ trong lĩnh vực máy tính cho sự không phù hợp đó giữa kích thước của một công ty và lượng dữ liệu mà nó có thể lưu trữ, Hardigree nói. "Trước đây bạn cần phải có máy tính siêu vi tính để làm điều này. Bây giờ bạn có thể làm điều đó từ một máy tính cá nhân," ông nói.

Tổ chức Privacy Rights Clearinghouse, theo dõi việc vi phạm dữ liệu tại Mỹ, nói rằng nó không có dữ liệu về kích thước của các công ty đã làm rò rỉ tổng cộng 1,37 tỷ hồ sơ chỉ trong năm qua. Nhưng cố vấn chính sách của nhóm Emory Roane nói rằng với sự tiến bộ công nghệ và thiếu các quy định kèm theo, việc tăng lên của các vụ rò rỉ lớn từ các công ty nhỏ dường như là một kết quả tự nhiên. "Tôi hoàn toàn không ngạc nhiên khi có những công ty như Verifications.io và Exactis khắp cả nước mà đã mua hoặc có thể thu thập các cấp độ ngưng tụ cực kỳ cao của dữ liệu," Roane nói. "Điều này có thể xảy ra vì công nghệ, nhưng cũng vì chúng ta không có những bảo vệ mạnh mẽ."

Mặc dù Hardigree ở một số điểm bảo vệ và coi nhẹ sự cố về quyền riêng tư của công ty mình, nhưng tại những điểm khác trong cuộc trò chuyện, ông dường như đã nhận ra ví dụ mà công ty ông đã đặt ra như một công ty nhỏ đã trả giá cho một sự tiết lộ dữ liệu lớn—có lẽ không phải là một cái duy nhất, nhưng là một trong nhóm ngày càng tăng của các tổ chức tổ chức nhỏ thu thập dữ liệu đã không may mắn đến nỗi đã bị bắt gặp khi tường lửa của chúng không còn hoạt động.

"Tôi không muốn trở thành gương mặt tiêu biểu cho điều này," Hardigree nói với MYTOUR trong một trong những khoảnh khắc đầu hàng của ông. "Nhưng nó đã thay đổi cách tôi cảm nhận về quyền riêng tư. Tất cả chúng ta cần phải chịu trách nhiệm bảo vệ thông tin này. Nếu bạn không thể bảo vệ dữ liệu, bạn không nên ở trong không gian này."

More Great MYTOUR Stories

• Trolls hiện đang trở nên nhàm chán
• Trung Quốc đang nhanh chóng đuổi kịp Mỹ trong nghiên cứu trí tuệ nhân tạo—nhanh chóng
• NSA đã phát mã nguồn một công cụ an ninh mạnh mẽ
• Zuck muốn Facebook xây dựng một máy đọc suy nghĩ
• Làm thế nào Arrivo đã thuyết phục Colorado ủng hộ dự án cao tốc này
• 👀 Bạn đang tìm kiếm những thiết bị công nghệ mới nhất? Kiểm tra các hướng dẫn mua sắm và ưu đãi tốt nhất của chúng tôi suốt cả năm
• 📩 Ăn ngon để biết thêm về những cuộc phiêu lưu sâu rộng trên chủ đề yêu thích tiếp theo của bạn? Đăng ký nhận bản tin Backchannel của chúng tôi