黑客的字典里沒有“隱私”

李輝

黑客的字典里沒有“隱私”

李輝

至我們的客戶（節譯）：

保護您的個人、財務以及醫療信息，是我們的最優先業務之一，正因與此，我們配備了最先進的信息安全系統。然而，盡管我們如此努力，Anthem還是遭受了一次非常精心策劃的外部網絡攻擊。攻擊者以非授權的身份進入了Anthem的IT系統，獲取了我們當前和之前客戶的個人信息，包括姓名、生日、醫療ID/社會保險號、家庭地址、郵件以及包含收入數據的就業信息。以我們所知，信用卡和醫療信息，如索賠、檢驗結果或者診斷代碼，并沒有被攻擊。

在發現攻擊的第一時間，Anthem即盡一切可能關閉了安全漏洞，同時向FBI匯報并全力配合他們的調查。Anthem已經與世界上最為領先的網絡安全公司——Mandiant——聯系，請他們評估我們的系統并提出更進一步的解決方案。

Anthem自己的合伙人的個人信息——包括我自己的——在此次攻擊中同樣被侵犯。我們和每一個投保人一樣關切和感到沮喪。我保證我們正日以繼夜地工作來保證我們的數據在接下來的安全。

Anthem將會單獨通知信息被侵犯的每一個客戶。我們將提供免費信用監控以及身份保護服務。我們建立了一個專用網站：www.AnthemFacts.com，這里提供常見問題和解答。

Anthem董事長兼CEO，Joseph R.Swedish

在剛剛過去的2月，美國第二大保險公司Anthem8000萬投保者數據被盜，成為新年伊始美國最為引人注意的科技新聞之一。

美國目前的總人口是3.15億，這也意味著8000萬被盜的客戶數量，占到了這一世界第三人口大國總人口的1/4強（當然這8000萬里有一定比例是非美國籍的）。按照Anthem公司致客戶的公開信（見右欄）所言，被盜數據涵蓋了客戶的姓名、生日、醫療識別號、社會保險號碼、家庭住址和電子郵件。全美四分之一人口的家庭地址被某個非法組織（或只是某個人）所掌握，無論如何都是極令人恐慌的一件事情。美國全國廣播公司、《華爾街日報》、《紐約時報》等主流媒體，以及眾多科學博客，為此事從各個角度展開了連篇累牘的報道和評論。

與2013年12月美國知名連鎖超市塔吉特(Target)的數據被盜——主要是銀行賬號被盜——不同，這次被盜取的數據中沒有銀行賬號數據。Anthem在致客戶的信中也特別指出了這一點——或許這種說明能讓擔心經濟損失的客戶有所安心。

但很快有分析指出，社會保險號、家庭地址這類數據的外泄要比銀行賬號外泄更加嚴重。因為銀行卡一旦出現問題，第一時間打電話給銀行即可處理。而社會保險號、家庭地址被人竊取，卻是連打電話報備的機構都沒有的。況且，社會保險號是一個人一輩子唯一的號碼，家庭地址對絕大多數人而言也是非常固定的，丟失了這些數據的客戶，只能在未來的人生中始終保持警惕。據報道，有人已將Anthem告上了法庭——但對于個人數據泄露的既成事實，想必已經是于事無補了。

用于詐騙

數據外泄，通常人們最擔心的是盜竊者的詐騙。美國媒體上已經羅列了非常多種可怕后果，有幾種是非常容易理解且已被“先行者”試驗過的。

簡單直接的詐騙方式，是盜竊數據者利用客戶的個人信息辦理一張信用卡，然后盡可能透支……

復雜一點的，掌握數據者可以通過郵件進行詐騙。很多人在收到陌生人發來的“張經理，您本月賬單，請查收”之類的郵件時，除非剛好姓張，一般人都會當其為詐騙郵件。但是如若一個很像電力公司的地址發來郵件，上面清楚地寫著“阮教授，您位于某街道某號樓的某某房間，需繳本月電費多少”，大概這位阮教授被騙的幾率就會大增了。假如點擊了郵件鏈接的網站并在線繳費的話，相關賬號以及密碼也可能被盜。

更加復雜的，盜竊數據者可以利用客戶的相關信息申請退稅，退的錢當然是到了騙子的口袋里。根據美國國稅局的調查，在2013年，有大約1500例這樣的事件發生。從8000萬客戶中挑出幾個進行這樣子的詐騙，應該不是難事。

信息化時代，信息詐騙的招數層出不窮，這8000萬客戶的數據足可以讓騙子將各種招數都演練一遍了。

用于創新

盜亦有道，竊走數據者也許并非以欺詐為目的，如果盜竊數據者不那么“壞”，這些數據可以被他們創新利用而不是詐騙。

有一點明確的是：Anthem公司可以用這些數據做什么，盜竊數據者就可以做什么。比如，掌握所有投保人的家庭地址，自然可以知道哪些地區買保險的人比較多哪些地區比較少，Anthem據此可以在買保險多的地區進行保險的下一步服務，而在買保險少的地區加大保險營銷力度。這類事情在這些數據沒有被盜之前，當然是Anthem公司內部數據挖掘部門用來分析用來決策的鎮店之寶。而一旦為他人所擁有，與Anthem公司類似的服務或者跟隨性的服務出現，也就在情理之中了。

還有一種可能，獲得數據者并非是同行，而是其他行業者。大數據時代，人們早已認識到數據融合的重要性。保險行業的數據保存在保險公司之手，而移動電話的數據掌握在電信公司之手。如果有人能將這兩者融合，誰會知道有什么新的服務出現——但一定會出現。對保險公司虎視眈眈垂涎欲滴的組織和公司不在少數，他們一旦拿到保險公司的這些數據，或許對數據經濟的發展有意外的益處（雖然并不合法）。

如果是這樣的結果，最終受損失的主要是Anthem公司，客戶則并不會有直接的損失。

用于交易

數據只是數據，只有開發成信息才有價值。上面這兩種可能，都是開發者基于8000萬客戶數據或好或壞的“應用開發”。還有一種可能，那就是黑客只是黑客，他們在獲得數據后的目的不是應用，而是“交易”。

這里必須提到數據黑市了。據蘭德公司的一份報告《網絡犯罪工具和偷竊數據的市場》（Markets for Cybercrime Tools and Stolen Data），黑客工作所需的網絡工具和作為其成果的偷竊數據，已催生了一個巨大的黑市。2013年12月，知名連鎖超市塔吉特多達4千萬的信用卡和7千萬的用戶賬戶被黑，這些數據在數天后就出現在了黑市網站上。

蘭德公司通過大量的調研，對數據黑市的特征、組織架構有了一些基本的了解。只是基本了解，蘭德公司也承認數據黑市非常復雜。他們認為，數據黑市是一個地理上極度分散的市場，而且各主體之間的交流以暗語進行，所以外部的觀察家們非常難以真正理解其內部的組織機構和運行規則。這份報告的分析結果頗為悲觀。

它認為：將來只會有更多的黑客活動；黑客攻擊的能力將超過防守的能力；網絡連接越來越高速，將引發更多的攻擊；盜采社會網絡和移動設備的行為將增加；將會有更多黑客行為被雇傭，甚至有黑客經紀人出現！總而言之，黑客活動會越來越多、技術會越來越精、工具會越來越好、組織會越來越復雜。

且不管蘭德公司通過大量調研和研究所得出的這些結論在他們看來也只是冰山一角，僅就這些結論，我們已經很容易得出“數據黑市已經愈演愈烈”的結論。蘭德公司在其報告的結尾也略有無奈地說道：“我們能預料，這個地下市場將會繼續成長和有針對性，繼續創新和適應新的變化，繼續走向成熟。”

皆為利來

須說明的是，最近一些列黑客事件，主角都是“數據”，而非“信息”。

在2013年著名的棱鏡門事件中，愛德華·斯諾登將美國國家安全局的絕密資料盜竊并披露。其資料本身就是信息。但是最近這些黑客事件的被竊對象，是數據。數據在分析之前只是冷冰冰的數字，但是經加工后可以成為價值連城的信息——可以用來詐騙也可以用來提供新的服務。

數據時代到來后，人們對數據的價值已經不存在任何疑問。問題在于，不是所有人都擁有有價值的數據。很多政府和企業的數據封存內部服務器，而利用數據創造價值的呼聲越來越高，在此情況下，數據開放漸成成一種社會運動。美國政府自奧巴馬上任第一天簽署《透明與開放政府備忘錄》起，就在全球領大規模開放政府數據風氣之先。

只是很多數據并不一定適合開放。不愿意或者不能做到數據開放的理由，通常集中在“個人隱私、商業機密、國家安全”三方面。在數據可能帶來的利益的驅動下，數據盜竊和數據黑市就應運而生了——畢竟在黑客的字典里，沒有“隱私”這樣的字眼。