这是一起“只有理论尚不足以证明事件发生可能性”的案件
数周前,美国联邦贸易委员会(FTC)做出了一个有趣的裁决。该裁决针对的是一家被指控保护客户数据不当的癌症研究公司LabMD。
导致FTC介入调查的最初起因源于2008年,这是一起长达7年的曲折调查过程,虽然最终做作撤消指控的判决,但LabMD公司也已经被案件拖累的精疲力尽。
该案件大抵是这样子的:
LabMD的一名员工在公司计算机上安装了点对点音乐文件分享应用程序,(显然是无意地)将整个“我的文档”文件夹标记为了“可供分享”,然后导致LabMD的某些文件暴露在了分享站点上。该案件核心文件被称为“1718文件”,因为它有1718页那么长。这份文件中包含有一旦被泄露将有可能被用于进行身份盗窃的信息。
一家数据泄露检测公司——Tiversa,联系了LabMD,声称他们在多个文件分享网站上发现了该文件。但实际上,根据事后Tiversa前鉴证分析师的证词,Tiversa这份声明是虚假的。
Tiversa多次尝试向LabMD兜售其服务,但均遭到LabMD的拒绝。在独立调查中,FTC向Tiversa索取信息,而LabMD的文件也随之曝光,由此引发了正式立案调查。
被误导的政府机构,对一家无辜的公司展开调查。这种事牵扯到的相关事务并不简单。事实上,要了解LabMD所遭受的不公还真得需要一本书的容量。但,人们依然可以从这起事件的简单描述中学到一些东西。
Tiversa的商业模式是这样的:
扫描文件共享网站,找寻可被利用来恐吓客户支付所谓的漏洞奖励的文件。但根据证词,Tiversa会修改扫描结果,造成一种这些文件已经被下载到已知身份盗窃网站的假象。实际上,Tiversa的这种行径已经可以定性为明显的敲诈勒索了。
FTC的审判长迈克尔·查普尔最终撤销了所有对LabMD的指控,查普尔表示,从可能的数据泄露中做出的有害预测不等于伤害发生的可能性。身份盗窃可能几年之后才发生,而且也无法说明该案件核心文件被泄的后果。查普尔法官强调,该案已历时7年多,而政府无法确认被泄文件中有谁遭到了身份盗窃。
带给安全社区的思考
此起案件对于信息安全社区来说,最为引起思考的一点在于,这是一起“只有理论尚不足以证明事件发生可能性”的案件。文件可能被非授权人士读取的事实,并不意味着该文件就已经被非授权人士读取了。类似的还有,要证明一个漏洞真的能被利用,可不是单纯的对危害风险的猜测就够的。
这事儿可以用家庭安防来打个比方。想象一下:当地家庭安全公司悄悄来到你的社区评估你家的安全状况,然后将所有漏洞报告给了警察局,然后警察以‘小偷可能进入你的房子’为理由逮捕了你。是不是很匪夷所思?(保护家庭安全的注意义务可能与公司保护数据的义务不完全相同,但两个场景的相似性可以帮助澄清该案件中所发生的事件实质。)
可以明确的是,LabMD的员工确实有过失,LabMD为此历经折磨也很令人伤感,但最终,这对信息安全社区而言可能是件好事,它将一定程度上起到了阻止类似于Tiversa这种利用作假来恐吓客户的公司的作用。同时,该起判决也将提升那些讲诚信和道德的信息安全公司的形象。
本文仅代表作者观点,不代表本站立场。
本文来自网络,如有侵权及时联系本网站。