Forskning som släpptes i måndags av en leverantör av cybersäkerhetstjänster avslöjar hur utbredda riskerna är för chefer och de organisationer som de hämtar från datamäklare som samlar in känslig information om dem.
Leverantören, BlackCloak, publicerade i en blogg resultaten av en analys av 750 av dess kunder, de flesta av dem chefer och styrelseledamöter på Fortune 1000 eller andra stora institutioner. Bland företagets resultat:
- 99 % av våra chefer har sin personliga information tillgänglig på mer än tre dussin datamäklarwebbplatser online, med en stor andel listad på mer än 100;
- 70 % av chefsprofilerna som hittades på datamäklarwebbplatser innehöll personlig information om sociala medier och foton, oftast från LinkedIn och Facebook;
- 95 % av chefsprofilerna innehöll personlig och konfidentiell information om deras familj, släktingar och grannar;
- I genomsnitt behöll datamäklare online mer än tre personliga e-postadresser för varje ledningspost.
“Även om att upprätthålla data på tre personliga e-postadresser kanske inte verkar så viktigt för nybörjarens öga, ökar tillgången till alla personliga e-postadresser riskerna för obehörig åtkomst, bedrägeri och e-postmeddelanden, bland andra digitala hot”, skrev BlackCloak Marketing Director Evan Goldberg .
Hemma som Soft Underbelly
Undersökningen fann också att 40 % av onlinedatamäklare hade IP-adressen till en chefs hemnätverk. “Du kan inte bara använda adressinformation som innehas av mäklaren för att fysiskt gå till en chefs hem, utan du kan använda IP-adressen för att digitalt bryta sig in i deras hem från var som helst i världen”, observerade BlackCloaks grundare och VD Chris Pierson.
“Vi ser företagsledare riktade hela tiden i deras personliga liv,” sa han till TechNewsWorld. “Om du riktar dig mot GE:s VD, kommer du att hacka honom på hans GE-e-postadress, där han skyddas av företagets cybersäkerhet, eller kommer du att rikta in honom på hans Gmail-konto eller hans frus konto eller hans barns konton , och få fotfäste i sitt hem?”
“Eftersom alla har arbetat hemifrån de senaste två åren, har det skapat hemmet som företagets mjuka underliv”, sa han.
“Datamäklarinformation har utnyttjats för att begå identifieringsstölder och arbetslöshetsbedrägerier under de senaste två åren”, tillade han.
Några av de risker som BlackCloak nämner är överdrivna, hävdade Daniel Castro, vicepresident för Stiftelsen Information Technology & Innovationen forsknings- och offentlig policyorganisation i Washington, DC
“Datamäklare säljer ofta data som redan är offentliga, såsom information om röstningsrekord eller kampanjbidrag,” sa han till TechNewsWorld.
“På liknande sätt,” fortsatte han, “är information som är allmänt tillgänglig på sociala nätverk eller på webbplatser inte särskilt känslig.”
Han erkände dock att cyberbrottslingar kan använda den informationen för att utföra nätfiskeattacker och utge sig för att vara en chef.
Fara för Top Brass
“Verkligheten är att datamäklare utgör fruktbara grunder för hackare, missbrukare och förföljare”, observerade Liz Miller, vicepresident och huvudanalytiker på Konstellationsforskningen teknologiforsknings- och rådgivningsfirma i Cupertino, Kalifornien.
“Var annars skulle du kunna betala $29 för en fullständig dokumentation om en ex-flickvän inklusive nuvarande adress och telefonnummer, nuvarande medarbetare som bor på samma plats och grundläggande information om den personen?” sa hon till TechNewsWorld. “När du faktiskt tänker på vad denna intensivt känsliga information kan betyda i händerna på någon utan moralisk eller etisk kompass, borde det skrämma människor.”
Datamäklare har bara en anledning till att vara, noterade Greg Sterling, medgrundare av Nära Media, en webbplats för nyheter, kommentarer och analyser. “Deras existensberättigande är att samla in så mycket data om så många hushåll och människor som möjligt”, sa han till TechNewsWorld.
“Per definition exponerar och överför de information som individer kanske inte vill exponeras eller säljas, eller som kan säljas utan samtycke eller utan kunskap om de inblandade individerna.”
Armen Najarian, chefsidentitetsofficer vid Outseer, en leverantör av betalningsbedrägeriskyddslösningar i Bedford, Massachusetts, hävdade att datamäklare utgör betydande risker för chefer. “I den digitala eran är data makt,” sa han till TechNewsWorld. “Det är farligt för alla företag att ha så detaljerade profiler av mycket inflytelserika affärsmän.”
“Ofta kommer dessa profiler att innehålla mycket personlig information, som inkomst och tillgångar, som används av cyberbrottslingar för att rikta in sig på och stjäla ett offers identitet”, fortsatte han.
“Genom att studera dessa chefers onlinebeteende får bedragare en intim titt på vad som händer i dessa individers liv, vilket gör det lättare för dem att sätta in mycket riktade attacker”, tillade han.
Inte så anonym anonymitet
Vissa datamäklare och applikationer motiverar sin glupska aptit på data genom att hävda att de bara delar anonymiserad information, ett påstående som bestrids av Electronic Frontier Foundation i juli 2021 artikel på sin webbplats skriven av Gennie Gebhart och Bennett Cyphers.
“Datamäklare säljer rika profiler med mer än tillräckligt med information för att länka känslig data till riktiga personer, även om mäklarna inte inkluderar ett juridiskt namn”, skrev de. “Särskilt finns det inget som heter “anonyma” platsdata. Datapunkter som ens hem eller arbetsplats är själva identifierare, och en illvillig observatör kan koppla rörelser till dessa och andra destinationer.”
“En annan pusselbit är annons-ID, en annan så kallad “anonym” etikett som identifierar en enhet,” tillade de. “Appar delar annons-ID:n med tredje part, och en hel industri av “identitetsupplösnings”-företag kan lätt länka annons-ID:n till riktiga människor i stor skala.”
Medan regeringar i vissa andra regioner i världen har intagit en hårdare linje mot datamäklare, har det inte varit fallet i USA “Det är ett område där lagarna i USA inte är så robusta som de skulle kunna vara,” Pierson sa. “Med tiden har det funnits ett antal olika lagförslag, men det har inte funnits några meningsfulla begränsningar i vad datamäklare kan göra i USA.”
“Det bästa sättet att reglera datamäklare skulle vara att skapa en federal dataskyddslagstiftning som fastställer grundläggande konsumentdatarättigheter, särskilt för känsliga personuppgifter,” rådde Castro. “Federal lag är det bästa sättet att säkerställa att amerikaner har kontroll över sin information och undviker att skapa ett komplicerat lapptäcke av lagar för varje stat.”
“Den amerikanska regeringen borde absolut överväga att anta lagstiftning för att reglera datamäklare”, tillade Najarian. “Det här är en fråga som sträcker sig bortom Fortune 1000-chefer. Det påverkar varje enskild person som använder internet.”