至我们的客户(节译):
保护您的个人、财务以及医疗信息,是我们的最优先业务之一,正因与此,我们配备了最先进的信息安全系统。然而,尽管我们如此努力,Anthem还是遭受了一次非常精心策划的外部网络攻击。攻击者以非授权的身份进入了Anthem的IT系统,获取了我们当前和之前客户的个人信息,包括姓名、生日、医疗ID/社会保险号、家庭地址、邮件以及包含收入数据的就业信息。以我们所知,信用卡和医疗信息,如索赔、检验结果或者诊断代码,并没有被攻击。
在发现攻击的第一时间,Anthem即尽一切可能关闭了安全漏洞,同时向FBI汇报并全力配合他们的调查。Anthem已经与世界上最为领先的网络安全公司――Mandiant――联系,请他们评估我们的系统并提出更进一步的解决方案。
Anthem自己的合伙人的个人信息――包括我自己的――在此次攻击中同样被侵犯。我们和每一个投保人一样关切和感到沮丧。我保证我们正日以继夜地工作来保证我们的数据在接下来的安全。
Anthem将会单独通知信息被侵犯的每一个客户。我们将提供免费信用监控以及身份保护服务。我们建立了一个专用网站:www.AnthemFacts.com,这里提供常见问题和解答。
Anthem董事长兼CEO,Joseph R.Swedish
在刚刚过去的2月,美国第二大保险公司Anthem8000万投保者数据被盗,成为新年伊始美国最为引人注意的科技新闻之一。
美国目前的总人口是3.15亿,这也意味着8000万被盗的客户数量,占到了这一世界第三人口大国总人口的1/4强(当然这8000万里有一定比例是非美国籍的)。按照Anthem公司致客户的公开信(见右栏)所言,被盗数据涵盖了客户的姓名、生日、医疗识别号、社会保险号码、家庭住址和电子邮件。全美四分之一人口的家庭地址被某个非法组织(或只是某个人)所掌握,无论如何都是极令人恐慌的一件事情。美国全国广播公司、《华尔街日报》、《纽约时报》等主流媒体,以及众多科学博客,为此事从各个角度展开了连篇累牍的报道和评论。
与2013年12月美国知名连锁超市塔吉特(Target)的数据被盗――主要是银行账号被盗――不同,这次被盗取的数据中没有银行账号数据。Anthem在致客户的信中也特别指出了这一点――或许这种说明能让担心经济损失的客户有所安心。
但很快有分析指出,社会保险号、家庭地址这类数据的外泄要比银行账号外泄更加严重。因为银行卡一旦出现问题,第一时间打电话给银行即可处理。而社会保险号、家庭地址被人窃取,却是连打电话报备的机构都没有的。况且,社会保险号是一个人一辈子唯一的号码,家庭地址对绝大多数人而言也是非常固定的,丢失了这些数据的客户,只能在未来的人生中始终保持警惕。据报道,有人已将Anthem告上了法庭――但对于个人数据泄露的既成事实,想必已经是于事无补了。
用于诈骗
数据外泄,通常人们最担心的是盗窃者的诈骗。美国媒体上已经罗列了非常多种可怕后果,有几种是非常容易理解且已被“先行者”试验过的。
简单直接的诈骗方式,是盗窃数据者利用客户的个人信息办理一张信用卡,然后尽可能透支……
复杂一点的,掌握数据者可以通过邮件进行诈骗。很多人在收到陌生人发来的“张经理,您本月账单,请查收”之类的邮件时,除非刚好姓张,一般人都会当其为诈骗邮件。但是如若一个很像电力公司的地址发来邮件,上面清楚地写着“阮教授,您位于某街道某号楼的某某房间,需缴本月电费多少”,大概这位阮教授被骗的几率就会大增了。假如点击了邮件链接的网站并在线缴费的话,相关账号以及密码也可能被盗。
更加复杂的,盗窃数据者可以利用客户的相关信息申请退税,退的钱当然是到了骗子的口袋里。根据美国国税局的调查,在2013年,有大约1500例这样的事件发生。从8000万客户中挑出几个进行这样子的诈骗,应该不是难事。
信息化时代,信息诈骗的招数层出不穷,这8000万客户的数据足可以让骗子将各种招数都演练一遍了。
用于创新
盗亦有道,窃走数据者也许并非以欺诈为目的,如果盗窃数据者不那么“坏”,这些数据可以被他们创新利用而不是诈骗。
有一点明确的是:Anthem公司可以用这些数据做什么,盗窃数据者就可以做什么。比如,掌握所有投保人的家庭地址,自然可以知道哪些地区买保险的人比较多哪些地区比较少,Anthem据此可以在买保险多的地区进行保险的下一步服务,而在买保险少的地区加大保险营销力度。这类事情在这些数据没有被盗之前,当然是Anthem公司内部数据挖掘部门用来分析用来决策的镇店之宝。而一旦为他人所拥有,与Anthem公司类似的服务或者跟随性的服务出现,也就在情理之中了。
还有一种可能,获得数据者并非是同行,而是其他行业者。大数据时代,人们早已认识到数据融合的重要性。保险行业的数据保存在保险公司之手,而移动电话的数据掌握在电信公司之手。如果有人能将这两者融合,谁会知道有什么新的服务出现――但一定会出现。对保险公司虎视眈眈垂涎欲滴的组织和公司不在少数,他们一旦拿到保险公司的这些数据,或许对数据经济的发展有意外的益处(虽然并不合法)。
如果是这样的结果,最终受损失的主要是Anthem公司,客户则并不会有直接的损失。
用于交易
数据只是数据,只有开发成信息才有价值。上面这两种可能,都是开发者基于8000万客户数据或好或坏的“应用开发”。还有一种可能,那就是黑客只是黑客,他们在获得数据后的目的不是应用,而是“交易”。
这里必须提到数据黑市了。据兰德公司的一份报告《网络犯罪工具和偷窃数据的市场》(Markets for Cybercrime Tools and Stolen Data),黑客工作所需的网络工具和作为其成果的偷窃数据,已催生了一个巨大的黑市。2013年12月,知名连锁超市塔吉特多达4千万的信用卡和7千万的用户账户被黑,这些数据在数天后就出现在了黑市网站上。
兰德公司通过大量的调研,对数据黑市的特征、组织架构有了一些基本的了解。只是基本了解,兰德公司也承认数据黑市非常复杂。他们认为,数据黑市是一个地理上极度分散的市场,而且各主体之间的交流以暗语进行,所以外部的观察家们非常难以真正理解其内部的组织机构和运行规则。这份报告的分析结果颇为悲观。
它认为:将来只会有更多的黑客活动;黑客攻击的能力将超过防守的能力;网络连接越来越高速,将引发更多的攻击;盗采社会网络和移动设备的行为将增加;将会有更多黑客行为被雇佣,甚至有黑客经纪人出现!总而言之,黑客活动会越来越多、技术会越来越精、工具会越来越好、组织会越来越复杂。
且不管兰德公司通过大量调研和研究所得出的这些结论在他们看来也只是冰山一角,仅就这些结论,我们已经很容易得出“数据黑市已经愈演愈烈”的结论。兰德公司在其报告的结尾也略有无奈地说道:“我们能预料,这个地下市场将会继续成长和有针对性,继续创新和适应新的变化,继续走向成熟。”
皆为利来
须说明的是,最近一些列黑客事件,主角都是“数据”,而非“信息”。
在2013年著名的棱镜门事件中,爱德华·斯诺登将美国国家安全局的绝密资料盗窃并披露。其资料本身就是信息。但是最近这些黑客事件的被窃对象,是数据。数据在分析之前只是冷冰冰的数字,但是经加工后可以成为价值连城的信息――可以用来诈骗也可以用来提供新的服务。
数据时代到来后,人们对数据的价值已经不存在任何疑问。问题在于,不是所有人都拥有有价值的数据。很多政府和企业的数据封存内部服务器,而利用数据创造价值的呼声越来越高,在此情况下,数据开放渐成成一种社会运动。美国政府自奥巴马上任第一天签署《透明与开放政府备忘录》起,就在全球领大规模开放政府数据风气之先。
只是很多数据并不一定适合开放。不愿意或者不能做到数据开放的理由,通常集中在“个人隐私、商业机密、国家安全”三方面。在数据可能带来的利益的驱动下,数据盗窃和数据黑市就应运而生了――毕竟在黑客的字典里,没有“隐私”这样的字眼。