本文來自微信公眾號“GoUpSec”。
近日,一個被全球主流銀行和超過300個政府情報機構(gòu)使用的“風控數(shù)據(jù)庫”(又稱恐怖分子數(shù)據(jù)庫)發(fā)生數(shù)據(jù)泄露,530萬條高風險個人信息落入犯罪分子手中并在網(wǎng)上泄露。
全球最大的“黑名單”之一
泄露的數(shù)據(jù)庫名為World-Check,匯總了數(shù)以百萬的非法分子(高風險人物)和實體信息,例如恐怖分子、洗錢者、不端政客等,供企業(yè)驗證用戶可信度(KYC),尤其是銀行等金融機構(gòu)用來驗證其客戶的身份,確定潛在客戶是否可能與洗錢等金融犯罪有關(guān),或是否受到政府制裁。
World-Check從公開來源(例如官方制裁名單、監(jiān)管執(zhí)法名單、政府來源和值得信賴的媒體出版物)匯總數(shù)據(jù),以訂閱方式提供給全球主流銀行和政府情報機構(gòu)(需要通過嚴格的審核流程并簽署保密協(xié)議)。其中包含大量敏感人物信息,例如皇室成員、國家黑客組織成員、宗教人士、受制裁的政府官員和實體等。
World-Check數(shù)據(jù)庫泄露可能會對全球金融業(yè)的安全審核程序產(chǎn)生重大影響。畢竟,沒有一家銀行愿意與洗錢者扯上關(guān)系。
被第三方泄露
據(jù)The Register報道,上周四黑客組織GhostR宣稱對數(shù)據(jù)庫泄露事件負責。負責維護World-Check數(shù)據(jù)庫的倫敦證券交易所集團(LSEG)的發(fā)言人后來證實了這一說法。
LSEG發(fā)言人表示,數(shù)據(jù)泄露事件確實發(fā)生,但是通過第三方泄露的。
“這不是針對LSEG或我們系統(tǒng)的安全漏洞,”LSEG發(fā)言人說道:“此次事件涉及第三方的數(shù)據(jù)集,其中包含一份World-Check數(shù)據(jù)文件的副本。該副本是非法從第三方系統(tǒng)中獲取的。我們正在與受影響的第三方聯(lián)絡(luò),以確保我們的數(shù)據(jù)安全,并確保通知任何相關(guān)執(zhí)法機構(gòu)。”
根據(jù)TechCrunch的報道,GhostR聲稱3月份入侵了一家能夠訪問World-Check數(shù)據(jù)庫的新加坡公司,但并未透露公司名稱及其與World-Check的關(guān)系。
1萬條泄露數(shù)據(jù)樣本流出
黑客組織GhostR并未透露竊取數(shù)據(jù)的動機,但在回復(fù)The Register的郵件中表示將很快開始泄露數(shù)據(jù)庫。GhostR聲稱第一次泄露將包含數(shù)千人的詳細信息,其中包括“皇室成員”。
為驗證其說法的真實性,GhostR向The Register提供了1萬條被盜數(shù)據(jù)的樣本供查閱核驗。據(jù)稱整個數(shù)據(jù)庫總共包含超過500萬條記錄。
研究者快速瀏覽樣本后發(fā)現(xiàn),該名單上來自不同國家的大量個人和實體因各種原因被列入其中,包括政治人物、法官、外交官、恐怖分子嫌疑人、洗錢者、毒品大王、網(wǎng)站、企業(yè)等。
一些網(wǎng)絡(luò)犯罪嫌犯也出現(xiàn)在名單上,其中包括本月才進入數(shù)據(jù)庫的國家APT黑客組織成員,一家來自塞浦路斯的間諜軟件公司也出現(xiàn)在樣本中。
根據(jù)GhostR提供的泄露數(shù)據(jù)樣本,World-Check原始數(shù)據(jù)包括社會安全號碼、銀行賬號、加密貨幣賬戶、護照、全名、個人類別(例如有組織犯罪成員或政治人物)、有時還包括具體職務(wù)、出生日期和地點(如果已知)、其他已知的別名、性別以及出現(xiàn)在名單上的原因簡要說明。
八年前發(fā)生過一次泄露
這并不是World-Check數(shù)據(jù)庫第一次發(fā)生重大泄露事故。在World-Check還屬于湯森路透旗下資產(chǎn)時,其早期版本曾在2016年發(fā)生過泄露,當時僅泄露了220萬條記錄(遠遠低于本次泄露的530萬條)。該數(shù)據(jù)庫當時在網(wǎng)上被公開販賣,每份副本售價6750美元。湯森路透證實了這一泄密事件,指出泄露的記錄“已經(jīng)過時”,并報道稱這些記錄在發(fā)現(xiàn)后已被第三方刪除。
值得注意的是,盡管World-Check數(shù)據(jù)聲稱是從可靠來源匯總而來,但過去曾有無辜人士被添加到World-Check名單上。在2016年第一次泄露時,調(diào)查發(fā)現(xiàn)其數(shù)據(jù)存在不準確之處,并且將許多人錯誤地列為恐怖分子。
如何檢查個人信息是否在World-Check數(shù)據(jù)庫中
2021年,LSEG(倫敦證券交易集團)以270億美元收購了金融數(shù)據(jù)公司Refinitiv,World-Check歸LSEG所有。
擔心個人信息可能包含在(泄露)數(shù)據(jù)庫中的人可以向LSEG提交查詢(https://www.lseg.com/en/risk-intelligence/screening-solutions/world-check-kyc-screening/about/am-i-listed-on-world-check)。倫敦證券交易所網(wǎng)站指出,主體有權(quán)索取其所持有的任何個人信息的副本、要求更新個人信息并反對處理其個人信息,并且請求無需支付任何費用。
該網(wǎng)站還指出,LSEG可能并不總是能夠滿足請求,如無法滿足請求將提供解釋。