近日，一個被全球主流銀行和超過300個政府情報機構(gòu)使用的“風(fēng)控數(shù)據(jù)庫”（又稱恐怖分子數(shù)據(jù)庫）發(fā)生數(shù)據(jù)泄露，530萬條高風(fēng)險個人信息落入犯罪分子手中并在網(wǎng)上泄露。

全球最大的“黑名單”之一

泄露的數(shù)據(jù)庫名為World-Check，匯總了數(shù)以百萬的非法分子（高風(fēng)險人物）和實體信息，例如恐怖分子、洗錢者、不端政客等，供企業(yè)驗證用戶可信度（KYC），尤其是銀行等金融機構(gòu)用來驗證其客戶的身份，確定潛在客戶是否可能與洗錢等金融犯罪有關(guān)，或是否受到政府制裁。

World-Check從公開來源（例如官方制裁名單、監(jiān)管執(zhí)法名單、政府來源和值得信賴的媒體出版物）匯總數(shù)據(jù)，以訂閱方式提供給全球主流銀行和政府情報機構(gòu)（需要通過嚴格的審核流程并簽署保密協(xié)議）。其中包含大量敏感人物信息，例如皇室成員、國家黑客組織成員、宗教人士、受制裁的政府官員和實體等。

World-Check數(shù)據(jù)庫泄露可能會對全球金融業(yè)的安全審核程序產(chǎn)生重大影響。畢竟，沒有一家銀行愿意與洗錢者扯上關(guān)系。

被第三方泄露

據(jù)The Register報道，上周四黑客組織GhostR宣稱對數(shù)據(jù)庫泄露事件負責(zé)。負責(zé)維護World-Check數(shù)據(jù)庫的倫敦證券交易所集團(LSEG)的發(fā)言人后來證實了這一說法。

LSEG發(fā)言人表示，數(shù)據(jù)泄露事件確實發(fā)生，但是通過第三方泄露的。

“這不是針對LSEG或我們系統(tǒng)的安全漏洞，”LSEG發(fā)言人說道：“此次事件涉及第三方的數(shù)據(jù)集，其中包含一份World-Check數(shù)據(jù)文件的副本。該副本是非法從第三方系統(tǒng)中獲取的。我們正在與受影響的第三方聯(lián)絡(luò)，以確保我們的數(shù)據(jù)安全，并確保通知任何相關(guān)執(zhí)法機構(gòu)?！?/p>

根據(jù)TechCrunch的報道，GhostR聲稱3月份入侵了一家能夠訪問World-Check數(shù)據(jù)庫的新加坡公司，但并未透露公司名稱及其與World-Check的關(guān)系。

1萬條泄露數(shù)據(jù)樣本流出

黑客組織GhostR并未透露竊取數(shù)據(jù)的動機，但在回復(fù)The Register的郵件中表示將很快開始泄露數(shù)據(jù)庫。GhostR聲稱第一次泄露將包含數(shù)千人的詳細信息，其中包括“皇室成員”。

為驗證其說法的真實性，GhostR向The Register提供了1萬條被盜數(shù)據(jù)的樣本供查閱核驗。據(jù)稱整個數(shù)據(jù)庫總共包含超過500萬條記錄。

研究者快速瀏覽樣本后發(fā)現(xiàn)，該名單上來自不同國家的大量個人和實體因各種原因被列入其中，包括政治人物、法官、外交官、恐怖分子嫌疑人、洗錢者、毒品大王、網(wǎng)站、企業(yè)等。

一些網(wǎng)絡(luò)犯罪嫌犯也出現(xiàn)在名單上，其中包括本月才進入數(shù)據(jù)庫的國家APT黑客組織成員，一家來自塞浦路斯的間諜軟件公司也出現(xiàn)在樣本中。

根據(jù)GhostR提供的泄露數(shù)據(jù)樣本，World-Check原始數(shù)據(jù)包括社會安全號碼、銀行賬號、加密貨幣賬戶、護照、全名、個人類別（例如有組織犯罪成員或政治人物）、有時還包括具體職務(wù)、出生日期和地點（如果已知）、其他已知的別名、性別以及出現(xiàn)在名單上的原因簡要說明。

八年前發(fā)生過一次泄露

這并不是World-Check數(shù)據(jù)庫第一次發(fā)生重大泄露事故。在World-Check還屬于湯森路透旗下資產(chǎn)時，其早期版本曾在2016年發(fā)生過泄露，當時僅泄露了220萬條記錄（遠遠低于本次泄露的530萬條）。該數(shù)據(jù)庫當時在網(wǎng)上被公開販賣，每份副本售價6750美元。湯森路透證實了這一泄密事件，指出泄露的記錄“已經(jīng)過時”，并報道稱這些記錄在發(fā)現(xiàn)后已被第三方刪除。

值得注意的是，盡管World-Check數(shù)據(jù)聲稱是從可靠來源匯總而來，但過去曾有無辜人士被添加到World-Check名單上。在2016年第一次泄露時，調(diào)查發(fā)現(xiàn)其數(shù)據(jù)存在不準確之處，并且將許多人錯誤地列為恐怖分子。

如何檢查個人信息是否在World-Check數(shù)據(jù)庫中

2021年，LSEG（倫敦證券交易集團）以270億美元收購了金融數(shù)據(jù)公司Refinitiv，World-Check歸LSEG所有。

擔(dān)心個人信息可能包含在（泄露）數(shù)據(jù)庫中的人可以向LSEG提交查詢。倫敦證券交易所網(wǎng)站指出，主體有權(quán)索取其所持有的任何個人信息的副本、要求更新個人信息并反對處理其個人信息，并且請求無需支付任何費用。

該網(wǎng)站還指出，LSEG可能并不總是能夠滿足請求，如無法滿足請求將提供解釋。