杜克大學(xué)于11月6日發(fā)布的的一項新研究報告表明，網(wǎng)絡(luò)攻擊者可以輕松地從數(shù)據(jù)經(jīng)紀人手中，以低廉的價格獲取有關(guān)美國軍人的敏感信息。

數(shù)據(jù)經(jīng)紀人收集和匯總信息，然后直接或通過利用數(shù)據(jù)的服務(wù)出售、許可或共享信息。數(shù)據(jù)經(jīng)紀人包括 Equifax 和 Experian 等信用報告機構(gòu)、Acxiom 等營銷公司以及 Verisk 等數(shù)據(jù)分析和風(fēng)險評估公司。該領(lǐng)域的另一個主要參與者是移動應(yīng)用程序，它們通常在用戶不知情或不同意的情況下收集用戶信息并將其出售給第三方。

數(shù)據(jù)經(jīng)紀人收集和出售的信息廣泛，包括姓名、政治偏好、家庭和電子郵件地址、GPS 位置、財務(wù)狀況和健康信息等。 此類信息對于攻擊者而言非常有用，可對目標進行跟蹤、詐騙、勒索、等行動。對于軍人來說，這些數(shù)據(jù)的暴露可能會對國家安全構(gòu)成風(fēng)險。

杜克大學(xué)的研究人員發(fā)現(xiàn)，在許多情況下，獲取在役軍人和退伍軍人的信息既簡單又便宜，經(jīng)紀人會專門宣傳此類數(shù)據(jù)。

研究人員聯(lián)系了美國的十幾家經(jīng)紀人，購買了軍人信息。他們發(fā)現(xiàn)經(jīng)紀人用來驗證客戶身份的方法不一致，并指出這些做法高度不受美國政府監(jiān)管。

雖然一些經(jīng)紀人拒絕將數(shù)據(jù)出售給未經(jīng)驗證的組織，但其他經(jīng)紀人更感興趣的似乎是確保數(shù)據(jù)購買的機密性，而不是實際數(shù)據(jù)的機密性。 當購買數(shù)千條記錄時，研究人員設(shè)法以每條 0.12 美元的價格獲取到了敏感信息，而對于更大數(shù)量購買，價格甚至可以低至每條 0.01 美元。

研究人員嘗試使用美國域名和已鏈接到新加坡 IP 地址的  .asia域名購買數(shù)據(jù)，發(fā)現(xiàn)即使使用 .asia 域名，一些經(jīng)紀人也同意提供數(shù)千條記錄，包括地理圍欄到華盛頓特區(qū)、北卡羅來納州布拉格堡、弗吉尼亞州阿皮山堡和匡蒂科等戰(zhàn)略地點的數(shù)據(jù)。

研究人員在報告中認為，一些國家間的間諜活動對美國軍方的數(shù)據(jù)尤其感興趣，建議立法者通過一項全面的隱私法，對數(shù)據(jù)經(jīng)紀生態(tài)系統(tǒng)進行強有力的控制，并建議國會向能夠執(zhí)行新政策的監(jiān)管機構(gòu)提供更多資金。