(本報訊)亨特(Troy Hunt)從互聯網上最黑暗的角落收集了48億份被盜竊身分的紀錄,但他並非黑客。

他是利用這資料庫來協助一般網民,協助他們應付與日俱增的企業數據外泄事故。所有個人資料是黑客從LinkedIn、Kickstarter、Dropbox、MySpace等知名服務以及偷情網站Ashley Madison上盜取,亨特只是作後期整理。

這位在澳洲黃金海岸家居辦公室工作的網絡保安研究員,在2013年設立了一個名為「Have I Been Pwned」的網站。至今已有超過一百萬人使用這免費服務,來查看黑客有沒有從疏忽的公司把他們的個人資料拿走並放到網上。

期間亨特仔細研究數據外泄事故,以及讓那麼多公司被黑客有機可乘的散漫保安。他個人曾揭露一些這樣的事故,部分更是在相關公司發現之前。

「將軍」疫情嚴重

「Pwned」是電玩迷刻意把「owned」串錯,意思等同「被將軍」。當你的社安號碼、生日以及其他個人資料被罪犯利用來冒名詐騙,這是相當貼切的形容。

亨特在11月底獲邀出席國會聽證會,協助議員應付這日益嚴重的消費者數據盜竊危機。單是在過去兩年,黑客從信用評級機構Equifax,還有Uber等熱門網上服務以及無數其他公司,盜取了數以億計人士的機密資料。

大部分被盜資料直接流到黑市。亨特上周四在眾議院能源及商貿委員會上作供時表示:「數據外泄是另一項商品,就如海洛英。」

自亨特獲邀作供的消息公布後,他從昆士蘭滑浪者勝地海灘到國會山莊進行「政府事務」一事已被經常用作開玩笑。維珍尼亞共和黨聯邦眾議員Morgan Griffith為同僚介紹亨特時指出,「他通常是穿牛仔褲及黑T恤,今次是為我們而穿西裝結領帶。」

數據外泄再下一城

大規模數據外泄事故成為「新常態」並不是開玩笑。有那麼多個人資料經由盜竊以及在社群媒體上自願分享而公開,已損害到以用戶名稱、密碼或有關生日或家族歷史的保安提問等傳統核實身分的方法。

在11月底,亨特分析其中一項消息來源所傳來的數據後,協助相片分享網站Imgur發現在2014年發生的一次數據外泄。有別於到最近才披露一年前有超過5,700萬乘客及司機資料被盜的Uber。Imgur收到亨特的電郵通知後25小時,在感恩節便公開事件。

將軍到底

亨特表示,原先是「因為好奇」而推出網站,當時他在輝瑞藥廠(Pfizer)任軟件設計師。數年後他辭職來從事獨立資訊保安顧問及導師。

亨特分析了在網上流傳的外泄數據,留意到不少人是在不同的數據外泄事故中也有出現。

民眾可以使用他的網站來搜尋他們的電郵地址,看看他們的記錄是否已被曝光。約有170萬人亦有登記提示服務,當他們的記錄在剛發現的數據外泄中出現,便可收到通報。