主席:格雷厄姆先生,3岁的孩子能构成什么威胁?

克里斯托弗·格雷厄姆(信息专员):即便是3岁孩子,也不能掉以轻心。

——2016年1月27日

有关网络安全的特别委员会上的口头记录

20世纪90年代的英国,提供互联网服务是一股新的“淘金热”,消费者和企业均发现了这块充满奇迹的未开垦之地。拨号连接是当时唯一的联网方式,消费者每月需要支付联网费用,并按分钟计费。而英国电信控制了90%的电话线,他们会从拨号连接费用中扣取一定的份额。

众多互联网服务供应商接连涌现,都试图从投资设备中谋取巨额利润,并从服务器和宽带连接费用中抽成。考虑到成本,他们必须最大限度地使用设备。也就是说,吸引的客户越多,签约的时间越长,他们的利润就越高。

然而,由于市场竞争、投资成本以及英国电信的严格定价,想谋取利润并不容易。资金充裕的互联网服务供应商Freeserve成立于1998年,他们凭借来自迪克森零售电商的资金,摒弃了一贯的每月付费规则,提供便宜的本地拨号号码,成功撼动了市场,而公司的利润则来自用户的电话费。这也启动了英国的互联网革命,1999—2000年,英国连接上网络的家庭比例几乎翻了一番,从13%增至25%。到1999年7月,Freeserve拥有了130万用户,公司顺利上市,市值达14亿英镑。到2000年9月,该公司拥有了200万用户,超过了英国电信以及拥有150万用户的美国在线。但截至2000年8月底,该公司收入仅为1460万英镑,亏损了1780万英镑。其中一个重要的转变是,行业盈利点转移到了宽带上。

2000年,出现了宽带接入服务,2007年,半数的英国家庭安装了宽带。在此期间,为了提高效率,众多以消费者为中心的互联网服务供应商经历了一轮激烈的竞争,有的直接被大型公司收购。每个月收取的费用成了区别供应商的一个重要因素,因为流量是最容易被替代的,而网速则受到硬件的限制。

在这场竞争中,最大的赢家是TalkTalk。它成立于2003年,前身是一个叫Opal电信的小型宽带供应商。TalkTalk是大型手机零售商Carphone Warehouse的子公司,在移动电话业务爆炸式增长的浪潮中活了下来。

2006年10月,在提供宽带服务的6个月后,TalkTalk做出了一项重大的举措,以3.7亿英镑收购美国在线在英国的互联网服务供应商业务,该业务共有210万名用户,其中有60万名拨号用户和150万名宽带用户。而在这一举措后,想要实现盈利,TalkTalk公司必须从每位消费者身上赚取176英镑。据公司预计,他们能在5年内回本,并且能从每位用户身上每年额外赚取35英镑。

2006年年底,共有5家公司掌控着互联网服务供应商市场。英国电信占据了24%的市场,维珍宽带公司(20世纪90年代英国有线电视公司的最终买家)占据了26%的市场,TalkTalk占据了17%的市场,意大利综合门户网站Tiscali占据了10%的市场,法国电信运营商Orange(在2001年1月收购了英国互联网提供商Freeserve)拥有8%的市场。剩下15%的份额属于200个小型互联网服务供应商,其中一些小公司的年营业额不足100万英镑,只有数千名客户。而在这些小型互联网服务供应商中规模最大、增长速度最快的是英国天空广播公司(Sky),它于2005年以2.11亿英镑收购了英国电信公司Easynet,拥有30万客户。

减速与协同工作

2007年开始,互联网用户的增长速度突然放缓,年增长率从10年前的两位数降至个位数,并且下降趋势依旧在继续。2009年5月,TalkTalk以2.36亿英镑的价格收购了Tiscali。到年底,曾经的五大巨头只剩下了四个,总共占据85%的市场份额。

到2010年,TalkTalk成为英国的第二大互联网服务供应商,它拥有415万宽带用户(占据市场份额的23%),另外有110万拨号用户以及16万小企业用户。TalkTalk成功上市了,这能给其母公司带来可观的回报。2009—2010年上半年,该公司创造了7.89亿英镑的收入,每名客户约贡献138英镑。宽带用户花费最多,这415万名宽带用户创造了公司大约75%的收入。

尽管TalkTalk发展迅猛,但它依旧面临着很多问题。2010年2月,TalkTalk在与Carphone Warehouse解除合并关系后,收购了Tiscali,并提出以下动向——TalkTalk正计划创造“收购协同效应”(一种消除公司内部冗余的方式,通过合并,减少公司内部重复的工作),且服务供应商Opal仍作为一个独立品牌存在。此外,TalkTalk还在其发布会上声明,TalkTalk、美国在线和Tiscali正式合并为一家公司。

经过多次的合并收购,公司内部很容易出现冗余问题。在被TalkTalk收购之前,Tiscali收购的另外两个服务供应商Pipex和Nildram就出现过这类问题。尽管几家公司的流量可以互相转换,用户的登录信息(尤其是邮箱地址和网络空间)却不能转换。很多老牌互联网服务供应商提供了多个免费的邮箱域名,以使用户快速熟悉并投入使用。他们还提供子域的免费网页寄存服务,每个人都可以建立自己的网站。

从战略上说,提供邮箱和网页寄存服务能够增强用户黏度。比如用户和Freeserve签了约,他的邮箱地址就会以“@freeserve.co.uk”结尾。如果换了一个服务供应商,也许他们更便宜或是提供的服务更好,但用户就无法找回原有的邮件内容。同样,服务供应商被收购之后,由于品牌合并的原因,原有的邮箱就被弃用了。收购方为了安抚客户,帮助他们将旧的邮件内容转移至新的邮箱。

对TalkTalk来说,要整合Tiscali、Pipex和Nildram的数据库并非易事。在合并和协调用户信息的过程中,很多用户抱怨收到了重复的账单、迟交的账单和并不存在的还款要求,客户满意度直线下降。这个问题一直持续到2010年。2011年,《每日邮报》称TalkTalk的客户服务质量比英国税务局还要糟糕。后来,公司进行了一次耗资1200万英镑的重组,公司在财务报告中表示,重组的目的是“综合技术与IT的实力,整合后台的办公能力”。

2011年3月,公司在取消了宽带的前提下,还是向客户收取了宽带费,英国通信管理局命令TalkTalk向6.5万名客户支付总额为250万英镑(约每人38.5英镑)的赔偿金。2011年8月,英国通信管理局因TalkTalk在2010年1—11月的严重违规行为而对其罚款310万英镑。

即便如此,TalkTalk的业绩继续在提高。并购Tiscali虽然给很多人带来了麻烦,但结局却出人意料。

失去理智的外包

英国通信管理局总共收取了310万英镑的罚款。TalkTalk表示将关闭位于沃特福德的呼叫中心,据估计,此举每年可节省约1500万英镑的费用。TalkTalk和印度IT服务公司Wipro签订了合同,在加尔各答办事处处理客户服务中心的工作。TalkTalk从2004年开始,将部分客户服务中心的工作外包给了Wipro,并在2002年建立了一个门户网站,可以查询客户的详细信息。合并Tiscali带来的问题也慢慢成了过去式,外包起到了一定的作用:客户服务电话的数量逐年下降,与年运营成本6亿英镑比起来,数据变化呈可观趋势。1年后,尽管收入下降了1600万英镑,利润却增长了900万英镑。公司在2012年11月发布的半年业绩报告中称,这源于更好的客户服务,客户服务中心接到的用户投诉电话比去年同期减少了19%。

外包看上去是取得效益的可行途径。如果公司雇用员工在客户服务中心工作,那么,不管他们是否在处理客户事务,都需要支付他们工资。外包则按照实际通话时长付费,约占总工作时长的85%,这也就节省了15%的时薪。如果能选择正确的外包国家,员工成本通常占运营费用的60%~70%,甚至还要更低。菲律宾有大约6000万会说英语的人,他们的工资是美国或者英国同类工作工资的20%~50%。印度和南非等偏远地区也很受雇用公司的欢迎。公司只需要租用互联网语音服务,不需要支付昂贵的海外费用,就能以低于英国或美国的价格获得同等的服务。

然而,这一方法也存在缺点。客户可能会感到沟通困难。廉价的设备降低了音频的质量,口音和词汇的差异也可能会带来一些理解上的问题。另一个明显的缺点在于安全层面。一个不在公司管辖范围内的外包公司能获取客户数据,公司将如何保证其安全性呢?

2013年夏天,基思·奥尔德里奇接到了一通电话,对方声称自己是TalkTalk的客户服务代理人,说出了他的账号信息以及他一直遇到的一些问题。奥尔德里奇对此并不存疑,他的账号是新的,他只告诉过他的家庭成员。打电话的人告诉他,针对他遇到的问题,他们会给他一笔赔偿金,奥尔德里奇需要下载一个远程控制软件TeamViewer,并让电话那边的人通过这个软件来控制他的电脑。然后他们得到了奥尔德里奇的信用卡详细信息,并从信用卡里取出了钱,他们保证会将取出的钱和赔偿金都存进奥尔德里奇的账户,但是那笔钱却一直没有到账。

发现自己被骗后,奥尔德里奇感到既愤怒又担忧,他联系了TalkTalk的总经理办公室,说出了自己的疑惑:如果只有少数员工能够访问TalkTalk的客户数据库,怎么会有其他人知道他的账号详细信息呢?

对了解过印度客服中心产业的人来说,这种骗局并不少见。2010年,我开始接触一些受害者,他们都接过来自印度(主要通过口音来辨别)的电话。来电者坚称客户的电脑遭到了病毒感染,并会导致网络中断。

然而,这些电话只是单纯的骗局。来电者(在客服中心工作的骗子)会勤奋地翻阅电话簿跟其他数据库,声称他们是微软等互联网服务供应商的客服。他们会让你打开Windows的一个叫“事件查看器”的程序,来证明你的电脑“被病毒感染了”。对那些不懂的外行来说,屏幕上滚动的报告看起来像是出了一大堆问题。事实上,这不过是机器日常的工作内容,事件查看器中的警告并不重要。唬住了目标后,这些骗子会主动提出,如果能一次性付款,就能“解决”问题,或者他们会慷慨地提供免费服务,但是你要订阅他们的“支持”服务。“解决”问题需要通过TeamViewer进行远程控制,他们会在屏幕上移动几下鼠标,然后告诉你问题已经修复了。有时,他们会帮你安装软件,全新的(通常是盗版的)Windows系统的价格也定得很高,这同样需要付费。他们还会安装恶意软件,以获取你的历史操作和账户信息。

成千上万的人被电话诈骗了。英国和美国相关部门联合起来打压、侦破这类电话骗局。很明显,这些骗局起源于加尔各答的客服中心,他们培训了大量会说英语的工作人员,教他们一定的技术知识和即兴发挥的说辞。然而根本问题在于找到骗局的主使者。

奥尔德里奇是TalkTalk电话骗局的第一例。可问题是,来电者是从何得到他的信息的?

2014年秋天,更多的TalkTalk用户开始收到类似的来电,低质量的语音服务表明了骗子的总部在印度。他们声称自己是TalkTalk的员工,听到对方说出自己的TalkTalk账号以及相应的姓名、电话号码和地址时,即便是再多疑的客户,也大抵会放松警惕。其他的信息也许可以通过电话簿查到,但只有TalkTalk的系统能查到他们的用户账号。

越来越多的人掉入了电话诈骗的陷阱中。让目标用户下载能远程控制电脑的软件之后,来电者声称,用户的路由器或者电脑遭到了病毒侵入,屏幕上会显示红色警告的信号。来电者接着解释,TalkTalk对于黑客攻击造成的不便表示十分抱歉,并打算支付250英镑(有时是200英镑)的赔偿金。用户会看到一个满是银行图标的页面,对方要求他们选择自己的账户所在行,然后输入银行发到用户手机的六位数验证码,以授权这笔交易。另一个版本的骗局是,用户会发现银行账号多了5000英镑,然后来电者会致歉,让他们把多出的部分打到不同的系统上。

任何骗局都只有一个目的——从客户的账户里取钱。

2014年11月10日,TalkTalk向英国信息专员办公室(Information Commissioner's Office, ICO)致函(这是法律规定的),声称客户服务中心的个人资料可能遭到泄露。该部门主要负责处理数据保护的相关问题,尤其是与公司持有的个人数据泄露有关的事项。信息专员办公室开始调查原因和影响范围。但直到2015年2月,TalkTalk才给客户发了邮件,说明信息泄露的问题,一群骗子可能拥有了客户的个人数据。

为什么隔了4个月才向客户公示?正如首席执行官迪多·哈丁告诉国会议员的那样,他们没有通知客户的义务。即使几个月来,媒体一直在报道相关案例。

哈丁和TalkTalk的问题远没有结束。客服中心泄露的信息,只是该公司所将面临的危机的序章。

标记未知

由于在犯罪的时候还未满18岁,我们的下一个黑客需要使用化名,我们暂且叫他诶德。诶德住在诺里奇北郊的机场旁,他一直在研究如何黑进一些社交媒体,盗取一些售价较高的用户账号。“理想”的账号的用户名通常只有一个短单词,没有多余的后缀。较短的用户名表示你很早就加入了社交网络,或是有一定的影响力。对很多青少年来说,账号的等级和父母买的个性化的车牌一样珍贵,可以卖上个几百英镑,刚好能做零用钱。

但是诶德有更大的野心。他拥有SQL地图(一个免费且合法的程序,能够查询网站数据库的漏洞),尽管它的许可证规定了“只能在主人同意下使用”,但他还是开始了探险。他首先瞄准了曼彻斯特大学、剑桥大学和一家总部在北威尔士的公司“功勋徽章”(Merit Badges),在其中,他发现了合适的数据库。

仔细排查后,他发现TalkTalk严重忽略了这些网站的安全性。

TalkTalk本该注意到这些危险的。黑客是项很高调的职业,2011年,美国和英国执法部门一直在追查一个有组织的黑客犯罪团体鲁兹安全,他们曾侵入FBI的网站,并在几个月间一直占据着新闻头条。

TalkTalk多年的并购跟成本削减,必然导致某些地方的安全问题被忽视了,而诶德则最擅长寻找漏洞。2015年6月,他向一个漏洞悬赏网站报告了一个漏洞。9月和10月,他还向另外100个网站报告了一些小的漏洞。

诶德还积极浏览黑客论坛以获取知识。在某个论坛上,他开始谈及自己的发现。前《华盛顿邮报》记者布赖恩·克雷布斯目前任职于Krebs On Security网站,他主要追踪黑客和网站被破坏的问题。他注意到:

来参加这些论坛的年轻孩子十分容易受到影响,他们想寻找一位导师,帮助他们入门。并且,他们很容易被他人利用和抛弃。等他们意识到自己参与的事件的性质之后,他们也被利用完了,曾经的朋友都消失不见。这是十分常见的情况。

理查德·德维尔是“反社会工程”公司的经营者,该公司与TalkTalk有一定的商业联系。理查德于2015年10月发现,TalkTalk长期提供域名为talktalk.net的免费网页寄存服务(是早期为吸引客户的遗留服务),而一些类似“fraudsupport.talktalk.net”的子域,很容易骗过大多数人的眼睛,让他们以为这是TalkTalk的官网。TalkTalk没有理会理查德的投诉。一气之下,他在10月9日写了一篇博文,展示了伪造的页面,并声称这绝对可以骗到一部分人。他还说自己已经查到了近1500个类似的子域,并表示“这些网站需要被叫停”。

当时,诶德通过谷歌找到了TalkTalk的这些漏洞。可理查德不确定诶德是否阅读过他的那篇博文,他觉得时间点十分巧合。

2015年10月15—21日,原本属于Tiscali的三个网站遭到了黑客的攻击。黑客通过SQL注入侵入了数据库,里面有客户的详细信息,包括姓名、地址、出生日期、电话号码、电子邮箱和财务信息等,也包括银行账户的详细信息。

10月21日上午,TalkTalk的网络系统在一场持续的DDOS攻击下陷入了崩溃。不巧的是,公司计算机安全小组的组长正在土耳其度假。那天下午,哈丁与董事会进行了一次电话会议,同时将公司的系统关闭了,“我的个人邮件里收到了赎金的要求,黑客要求我们支付465比特币,在当时约折合126550美元,否则他们就开始散播用户数据”。Pastebin网站上也出现了相关推送。起初,Pastebin网站是程序员用来交换代码的平台,但多年来,该网站已经成为黑客发布数据、炫耀行径、威胁他人的首选渠道。

Pastebin网站上推送的内容提及了TalkTalk的客户信息样本,里面还有一个令人担忧的信息,“我们使用了洋葱路由器进行匿名通信,你们无法追踪加密的信息、私钥电子邮件和被黑的服务器。我们将教育我们的孩子为真主使用网络,你们的手将沾满鲜血,审判日即将来临”。

随后,哈丁发布了正式的内部回应,称本次事件为一次重大的事故。TalkTalk从未进行过网络攻击的模拟演练,但它有一个应对延长停机时间的计划。在接下来的18小时内,团队试图评估黑客的水平,并知晓他们可能修改了系统日志,以隐藏他们在网络中的分布位置。到10月22日早上,TalkTalk意识到可能有很多客户数据被盗了,但还需要花一定时间才能知道具体的信息和数量。哈丁让每个员工都保持警觉,尽可能地保护客户信息。

当天下午,警方建议哈丁暂停运营,哈丁拒绝了。2016年10月,共享用车软件“优步”在被黑客盗取了5700万客户数据并索要赎金时,支付了10万美元。这则消息于1年后传出,优步被多家企业起诉,同时也无从得知黑客是否遵守了承诺。

当天下午晚些时候,TalkTalk宣布,公司正遭受一场严重且持续的网络攻击,客户的姓名、地址、出生日期、邮箱、电话号码、TalkTalk账户信息、信贷和银行信息等均可能被泄露。

哈丁面临着来自媒体的巨大压力,她不知道这次侵入事件是如何发生的、又有多少人受到了多大程度的影响,她也不确定被盗的数据是否经过了加密。人们对此表示惊讶,但经过多次并购,这家公司拥有着庞大的残留信息,的确很难对所有信息都进行加密。后经查明,所有的数据都未经加密,但是信用卡的信息被“标记化”了,隐藏了账号的中间6位数,黑客无法实施诈骗。

周五早上,前伦敦大都会警察局的网络犯罪专家阿德里安·卡利在BBC4频道的《今日议程》节目中表示,“这不仅仅是一场黑客侵入,它似乎与伊斯兰的网络恐怖主义有关。TalkTalk拥有近百万用户,它同时是一个国家的核心基础设施,这关乎国家的安全问题”。

国家安全!将TalkTalk上升到和电力、水力供应商同等的位置似乎有些过分夸大了,德蒙特福特大学网络安全中心客座教授彼得·索默如此认为。在卡利之后,他也出现在节目中,表示一个疑似恐怖分子的声明没有实际意义,黑客更有可能只是为了敲诈公司、获取客户银行账号。BBC的安全通讯员也表示,官方消息认为,这只是一次普通的网络犯罪。国家通信部门可以查出信息来源,并对幕后黑手有一个十分准确的定位。

11月,诶德在漏洞悬赏网站上的帖子突然被删了,他没有因此而失去兴趣。11月4日,TalkTalk仍旧对黑客进行着调查,诶德在诺维奇被警方逮捕,随后被保释。另有3人在同一天被捕,警方对此进行了指控。来自南威尔士小镇的19岁的丹尼尔·凯利,被指控滥用电脑、敲诈、诈骗和洗钱。来自斯塔福德郡塔姆沃思的马修·汉利和康纳·奥尔索普,当时分别是22岁和20岁,也被控滥用电脑和欺诈。尽管他们清除或者加密了自己的电脑,但警方还是通过聊天日志和社交媒体的信息,发现了他们曾试图出售盗取的账户数据。

同时,有人报案称自己的信用卡被盗刷了,一名妇女告诉《每日镜报》,她的卡有一笔600英镑的消费记录。无法确定她的信息是在TalkTalk黑客侵入中被窃的,还是在别的什么地方,但这也证明了人们对于这一起黑客事件的不安。

4%的决心

哈丁负责此次黑客事件的调查。据估计,一个两班制全天候的事故小组只需几天就能将一切恢复原状。可事实上,他们却花了14天的时间,用于获取信息的在线系统离线了整整3个礼拜。

那时,TalkTalk预估失去了400万潜在用户,其中“仅有”156959名客户(占客户基数的4%)信息被泄露。其中,15656个银行账户和识别代码被盗,且都是英国账户的相关数据。

这个异常精准的数字指向了黑客的起源,它可能来自之前的Tiscali。TalkTalk没有在声明中披露这一点,因为这可能影响警方的调查。

“罪犯成功地在干草堆中找到了一根针。”哈丁这样告诉国会议员。

这其实没有人们想象的那么难。黑户找到了一台以前用来做营销活动的服务器,并收集了客户数据。营销活动结束之后,技术人员移除了DNS(域名服务器)的入口。

DNS服务器相当于互联网的电话簿,它是一种系统,能将google.com这类可读的域名转换成电脑可识别的IP地址,这能帮助电脑准确发送数据包到指定的位置。

每当我们多添加一个服务器进入互联网,该服务器就对应生成了一个IP地址。但是,如果它没有DNS服务器,就没有可读的域名。DNS系统能让网页可懂,不然的话,我们浏览网页时就需要记住很多12位的IP数字,这就好比你要记住你的所有联系人的号码一样。没有DNS,我们只能依赖书签跟超文本上网,因为那些网站没有名字,只有一串IP数字。

通常,移除服务器的DNS就足以加密这个服务器。但是,在本次事件中,却并不是这样的,服务器中的数据十分有价值。德维尔在讨论子域talktalk.net的时候,他以为TalkTalk已经移除了DNS入口。然而,他们并没有彻底关闭页面。

诶德并没有发现这个漏洞。据报道,11月5日,一群黑客在Skype上通话,其中一人泄露了进入TalkTalk数据库的方法。一名黑客告诉记者,“至少有25个人知道如何侵入数据库”。

这位接受采访的黑客表示,“这不过是几个朋友聚在一起嘲笑一家安保不健全的公司而已,我们只是在开玩笑”。

但是这个玩笑却让他们都被逮捕了。

尽管发生了这么多事情,哈丁还是在黑客事件发生的1个月后,发布了一份乐观的报告。该报告表示,“客户的任何敏感个人信息都无法被窃取”。

但这无法杜绝信息盗窃的问题。只要有名字和邮箱,或者名字和家庭住址,黑户就能了解这个人的家庭与工作信息,而社交媒体账号往往能暴露更多的个人信息。一旦掌握了这些信息,骗子就能轻而易举地做很多事情,比如伪装成TalkTalk的工作人员向受害者准确地报出银行信息和其他信息。

哈丁说,TalkTalk估计了这次网络攻击的损失,约为3000万~3500万英镑,损失主要包括调查事件、修复网络、销售页面消失后可能损失的机会成本、免费升级和免费信贷监控的成本以及客户对公司的安全系数失望之后可能造成的损失。

12月15日,哈丁向下议院的相关委员会提交了一份书面文件。文件上提出了一个问题:谁对公司的安全问题负责?哈丁回答是她自己。网络安全是董事会级别的问题,对于一家电信公司,安全就是一切,“这就是为什么我自己需要为网络安全负责”。但事实上,董事会里没有人具体负责网络安全,技术团队也没有人直接向董事会报告。最终,哈丁还是受到了董事会的压力,通过普华永道咨询公司招聘了公司的首位首席信息安全官。

“谁对公司内部的安全负责?”主席杰西·诺曼问道。哈丁再次重申,客户数据安全问题是团队每个人的责任,“在一家电信公司里,安全问题不可能只跟安全主任有关。这是一起刑事犯罪,所以他们都不需为此负责。问题在于,公司需要负责吗?”

这听起来有些自以为是,公司当然需要为漏洞而负责。克雷布斯常和公司谈论安全的重要性,他表示,黑客可以从互联网中获取网络侵入的相关专业知识,加上公司树大招风,这会给公司带来不可估量的威胁。他说:

大多数成长中的公司,很容易在网页中暴露出许多问题,尤其是当他们并购了另一家公司和IT服务团队时,这种情况就更为普遍了。公司将合并运作,但是他们却很少会检查现有的漏洞。这些前公司的遗留系统只是单纯地并入了更大的网络系统,而没有被检查和维护。

低估了风险

信息专员克里斯托夫·格雷厄姆表示,他曾看过一个YouTube视频,一位网络安全专家向他3岁的孩子演示如何使用SQL注入技术侵入一个网站。委员会主席杰西·诺曼问道,3岁的小孩能构成什么威胁?

“不能忽视一个3岁小孩可能带来的威胁。”格雷厄姆回答。英国资讯委员会小组组长西蒙·莱斯表示,“很多自动化的工具,3岁孩子也完全可以掌握”。软件被运行之后,就能自动检索网站、寻找漏洞。

英国资讯委员会随后在2016年10月发布了报告,表示TalkTalk的信息泄露是因为内部的不用心,“SQL攻击能准确探测到漏洞,然后提取出想要的数据”。没有人做过防范SQL攻击的准备工作,而一些存在漏洞的页面还用着过时的软件库,且系统的MySQL数据库也过时了,所以攻击者才能绕过访问限制,实际上这些漏洞在2012年就可以免费修复。而这些被攻击的网页漏洞的存在时间可以追溯到2009年5月,在TalkTalk收购Tiscali之前。

英国资讯委员会以安全缺陷为由对TalkTalk处以40万英镑的罚款,指责他们允许黑客“轻松地”访问客户数据。这也是英国资讯委员会有史以来最大的一笔罚款。根据银行的信息显示,每位受影响的客户的损失约为2.54~25.5英镑。

英国资讯委员会向公众解释说,他们有一个罚款的制度,不仅检查违规行为的规模和内容,还包括公司是否允许违规行为。简而言之,这不仅是数据泄露的问题,还关乎公司自身存在的安全漏洞。诶德后来告诉地方法官,他不过是和朋友“炫耀”这些漏洞多么脆弱。

英国资讯委员会的罚款和2011年通信管理局(Ofcom)对TalkTalk诈骗电话事件的罚款形成了鲜明对比。直到2018年,英国资讯委员会的罚款限额最高为50万英镑,这是议会设定的数字。

客户数据一旦被窃,就无法挽回,这种损失是永久性的。这似乎也传达了一个信息,糟糕的客户服务会导致严重的罚款,而泄露个人数据的罚款则少得多。英国资讯委员会的克里斯托夫·格雷厄姆表示,对于规范公司的网络安全来说,基于营业额的罚款似乎更加合理。同时,他也表示,对于TalkTalk这样的公司,黑客攻击对公司声誉造成的损害比经济上的损失更为严重。

然而,这还预示了一些别的现象。2015年11月11日,查清攻击的范围之后,哈丁给出了四张图,第一张图表明在宣布黑客侵入的4天后,也就是10月27日,取消直接扣款服务的人数达到了峰值,之后恢复到了正常水平。第二张图表明,客户主动提出的中止服务请求也在同一天达到正常水平。“忠诚度”表明了客户是否能坚持使用TalkTalk,第三张图则为这一指标在黑客声明公示的第二天大幅下降,随后恢复到了正常水平。第四张图则是民意调查,调查的内容是人们是否认可TalkTalk在处理黑客问题中诚实的态度。数据表明,从10月30日到11月6日,公司的支持率从48%上升到了54%。“大多数客户认为我们做的事是对的。”哈丁的报告传达了这一信息。

第二年,公司公布了财务数据,并自豪地宣布客户流失率仅为1.3%,而黑客侵入事件时的流失率达到2.1%,为历史最高水平。

人们或许通过这次事件重拾了对TalkTalk的信心;又或许那些早就想离开的人选择了离开,留下了对服务较满意、不太可能离开的人。TalkTalk估计,在流失的客户中,有0.6%的人因这一漏洞而离开,约为9.5万名客户,大约占受到黑客事件影响的人的2/3。

另外,TalkTalk利用“四合一”(宽带、电话、电视和手机)提案吸引了很多客户,有1/5~1/3的用户不仅使用了TalkTalk的宽带业务,还使用了至少两种更为复杂的服务。

审判与惩罚

2016年11月,诶德承认了与TalkTalk遭遇的黑客攻击事件有关的7项黑客犯罪,他的手机、笔记本电脑、硬盘和USB都被没收了。他的辩护律师克里斯·布朗请求缓刑,声称这名少年“创造了很多线上身份,仅仅是想要证明他作为黑客的实力。他只是在玩游戏,游戏的乐趣在于竞技,而不是毁坏了多少网站、造成了多少损失”。

埃德承认了自己的行为是违法的,“当时我没有考虑后果”。2016年12月,他收到了长达12个月的社会服务令。

2017年4月,在伦敦老贝利中央刑事法院,汉利和奥尔索普承认了与2015年10月黑客袭击有关的指控。汉利还向“另一个人”(未公开)提供了数据。凯利也承认了滥用电脑、敲诈和欺诈的指控,他犯下这些罪行时,还处于一次DDOS攻击的保释期。

TalkTalk最终宣布网络攻击的总损失为4200万英镑,但他们并没有公布客服中心泄露数据所造成的损失。

收集电话

2016年1月,印度警方逮捕了3名威普罗公司的雇员,并指控他们偷窃了TalkTalk的客户数据,并用于诈骗。TalkTalk在随后的媒体声明中表示,“我们很开心看到调查有了收获,我们也开始重新审视与威普罗公司的合作关系”。

但TalkTalk尚未完全脱离黑客攻击的阴影。2016年2月,BBC的《钱箱》(Moneybox)节目采访了两名电话工程师,他们表示,接下来的几天会有声称自己是英国电信Openreach(负责维护基础设施的公司)或是TalkTalk的人给他们打电话。不出所料,电话来了,来电者报出了两位工程师的账户号码、家庭地址,甚至准确的名字。

这两位工程师称这个电话就是TalkTalk泄露客户数据的证明,并以此向TalkTalk索求补偿。TalkTalk拒绝了他们的要求,并坚称没有泄露客户数据,还暗示这是工程师合作的第三方公司造成的。TalkTalk的回复似乎不尽如人意,尽管严格意义上说,这并不是TalkTalk内部员工实施的骗局。但这也不是客户的过错,他们已努力核实来电者的身份,而TalkTalk确实没有尽职地调查外包公司。TalkTalk的确有给客户一些赔偿,但是由于损失过于庞大,TalkTalk不愿承担全部责任。

2016年夏天,TalkTalk决定中止与威普罗公司的合作,并收回了印度的客服外包服务,选择与菲律宾、南非和英国等客服外包服务商合作,但具体措施要到2017年夏天才能落实。

在具体措施尚未落实前,问题并没有消失。2017年3月,《卫报》报道了简·哈顿的案例,她是TalkTalk的客户,曾于1月收到了一台新的路由器,两周后,一位印度口音的人给她打了电话,来电者知道她的合同升级细节、路由器序列号和密码。来电者尝试了诈骗,但失败了,因为哈顿的银行阻止了付款。作为报复,对方锁定了她的电脑,并要求支付赎金,最终哈顿选择断开电脑的网络连接并将其格式化。还有很多这样的案例,均表明TalkTalk的数据泄露情况并没有停止。

2016年1月格雷厄姆向国会议员表示,英国资讯委员会仍在调查2014年的事件。“这一切何时结束?”主席杰西·诺曼问道。格雷厄姆拒绝给出确切的答案,他表示,事件的跨国性质给调查带来了诸多阻碍,他手下的30余名调查人员同时处理着25~30起案件。

2017年8月,发出警告的3年后,英国资讯委员会公布了2014年9月数据泄露事件的调查报告,并对TalkTalk以“没有保护好客户数据,导致数据落入骗子之手”为由,处以10万英镑的罚款。值得一提的是,调查显示有3个威普罗公司的账号访问了多达21000名客户的数据,而有40名威普罗公司的员工可以查看25000~50000名客户的数据。这些员工可以通过任何设备登录门户网站,并不需要威普罗公司的授权,即可访问那些信息。一旦进入了系统,员工能够搜索通配符,例如输入“A*”,就能导出所有姓氏以A开头的客户的信息,一次性可以查看500条记录。

“TalkTalk本有足够的时间去采取合适的措施,但是他们没有做。”英国资讯委员会在罚款声明中写道,“TalkTalk门户网站在2002年就开始启用,而这个漏洞可能也存在了这么长的时间。”

令人难以置信的是,英国资讯委员会表示他们无法找到直接的证据,证明受害者的损失与诈骗电话之间存在联系。这也暗示了数据泄露与诈骗同时出现可能纯属偶然,但根据人们的经验来看,这是不太可能的。这更像是英国资讯委员会的一个让步,如果有受害者起诉TalkTalk,他们将不会出庭作证。TalkTalk坚持认为,他们对受害者没有责任,因为受害者是自愿向未经公司授权的人付款的。

对受害者来说,英国资讯委员会的让步和没有诚意的罚款令人失望。同时,面对那些无动于衷的准自治非政府组织,受害者感到无力且恐惧,因为这些组织本该保护客户的利益,如今却不断回避。我和一名受害者谈过,他对英国资讯委员会谨慎地回避法律责任的行为感到愤怒,但是该受害者拒绝透露自己的姓名。他担心自己的话可能会被英国资讯委员会用于对付那些试图组织集体诉讼的人,因为他们无法确定客户的数据确实是TalkTalk泄露的。这也揭露了这场黑客游戏的规则,并提醒所有的黑客和受害者:尽管黑客和受害者都输掉了游戏,但被黑的公司却还能继续远航。

小结|勒索软件

收购一家公司时,你需要接纳它所有的问题和缺点。

被忽视多年的残留系统会成为一个隐患,公司在收购与被收购过程中不一定会提高原有系统的安全系数。

如果需要外包一些服务,例如客户服务中心,你需要谨慎考虑这是否会对公司的数据安全造成潜在威胁。外包公司或许会窃取你最具价值的客户数据。

自2018年起,对于姑息数据泄露行为的公司,欧洲加大了惩罚力度,罚款金额高至2000万瑞士法郎,或者按公司全球营业额的4%进行罚款。这与之前的情况形成了鲜明的对比,以前的罚款和其产生的损失相比,不过是九牛一毛。

即便存在数据泄露的问题,用户的使用惯性依旧很大。

对于可能出现的大型数据泄露事件,应提前做好准备。

负责网络安全的人需向董事会级别的人汇报工作。

不要支付赎金。你没有办法保证数据不会进一步泄露,也无法保证你拿到的数据是原始数据。

不要高估你的系统的安全系数,也不要忽略年轻的参与者。年轻人有足够的时间和好奇心去观察事情的走向。