我认为自己是一个相当注重隐私的人,竭尽全力逃避在线跟踪,并且在很大程度上避免垃圾邮件。但是当我发现自己在一家我从未听说过的公司的网站上盯着我的家庭住址时,我知道我哪里出错了。
在 4 月底我们的房租到期前几天,我的合伙人收到了一封来自我们公寓楼业主的电子邮件,内容是我们可以在收取奖励积分的同时支付租金的新方式,比如忠诚度计划。在租金创历史新高的时候,这是一个很好的报价,所以她点击并加载了租赁奖励公司 Bilt Rewards的网站,并在显眼的位置显示了她的全名和我们的公寓号码。
这已经相当令人震惊了。我们的公寓楼已经将她的信息提供给了比尔特,我们现在正盯着它的网站看。我从来没有收到我的伴侣收到的电子邮件。但我很好奇,比尔特也有我的信息吗?
每当她点击电子邮件中的链接时,它都会打开同一个显示她的姓名和公寓号码的个性化 Bilt 网页,因为该网页通过 API 直接从 Bilt 的服务器检索她的信息。 (API 允许两个事物通过 Internet 相互通信,在这种情况下,Bilt 的服务器存储我们的信息及其网站。)您可以使用浏览器的开发工具看到这一点,无需花哨的技巧。使用浏览器的工具,您还可以看到该网站还提取了我们居住的公寓楼的名称,即使它没有显示在 Bilt 的网站上。
充其量这是对个性化注册页面的粗暴尝试,而在最坏的情况下,这是对我们家庭地址的破坏。但也有可能只使用她的电子邮件地址直接从比尔特的服务器检索相同的信息——不需要特殊的电子邮件链接——就像我们许多电子邮件地址是公开的一样,不幸的是不需要太多的猜测。
我输入了我的电子邮件地址,网站返回了我的姓名、建筑物名称和公寓号码,与我合作伙伴的信息相同。一家直到现在我才听说的初创公司怎么可能获取并泄露我的家庭住址?
我是美国大约 5000 万租户中的一员。我和我的伴侣以及我们的两只猫住在纽约市郊外的一栋公寓楼中,该公寓楼由 Equity Residential 拥有,Equity Residential 是美国最大的企业房东之一,旗下管理着 80,000 多套出租公寓。即便如此,Equity 还是包括 Blackstone、AvalonBay 和 Starwood 在内的大约 20 家企业业主之一,这些业主拥有超过 200 万套房屋,约占美国所有出租房屋的 4% 。
进入 Bilt,这是由于最近房地产技术领域或 proptech 的繁荣而出现的众多初创公司之一,因为它广为人知。 Bilt 由企业家 Ankur Jain 于 2021 年 6 月创立,让租户在每次支付租金时都能获得奖励。 通过与大多数最大的企业房东合作,Bilt 现在向美国超过 200 万套出租房屋提供租赁奖励计划,包括像我这样由 Equity 拥有的房屋。
我开始将此视为我过去报道过的任何其他数据泄露事件,并想知道还有谁受到了影响。
我的第一个电话是给同一栋楼的邻居,当他被告知比尔特的网站如何泄露我的地址时,他同意检查他是否也受到了影响。我拿出笔记本电脑,将他的电子邮件地址输入比尔特的 API,API 立即返回了他的姓名、建筑物名称和他的公寓号码;他的脸色从惊恐变为惊恐,就像我当天早些时候所做的一样。
我的第二个电话是英国网络安全测试公司 Pen Test Partners 的创始人 Ken Munro,这个名字你可能从之前接触过泄露的在线服务(如Peloton 自行车、 智能手机应用程序和偶尔的性玩具)中知道。我不知道的是,他在美国的一位同事在我的大楼里有一套公寓,并向我证实他的家庭住址的详细信息也被 API 暴露了。
现在我们有四个人,他们的信息仅通过知道他们的电子邮件地址就被比尔特的泄密网站暴露了。
我联系了比尔特,他的反应不是很好。
“您在下面发送的 API 正在按预期工作,”现任 Bilt 首席执行官的 Jain 回应道。 (Jain 宣布他的电子邮件“不公开”,这要求双方事先同意条款。我告诉 Jain 我们会公布他的回复,因为没有机会拒绝。)
“唯一的例外是 Equity Residential 运营的少数建筑物,他们尚未将 Bilt 整合到他们的本地居民门户中,”Jain 说。 “但鉴于建筑物数量较少,Equity 做出了一个风险决定,即在短期内使用更手动的方法发送电子邮件邀请和登陆页面。对于这一小部分试点建筑,使用此 API 生成的登陆页面只需要电子邮件,”他说。
Jain 表示,API 返回的信息“可以通过任何公共记录搜索广泛且轻松地获得”,并且“没有通过该 API 披露的私人信息在这些公共记录中不可用。” (Jain 和我将不得不同意不同意,因为到目前为止,我的家庭住址基本上都没有在互联网上公开——无论如何,仅仅因为某人的个人信息在一个地方公开并不是公开的理由在其他地方公开。)
Equity 发言人 Marty McKenna 发表评论时说:“在完成与 Bilt 的整合时,我们正在有限数量的建筑物中使用这一流程。我们不同意这是一个安全问题,”麦肯纳说。
麦肯纳一再拒绝透露有多少 Equity 大楼的居民信息被泄露。但我自己泄露的信息留下的线索表明,这个数字可能至少是 21 栋 Equity 大楼,总计有数千名租户。当被问及建筑物的数量时,麦肯纳没有质疑这个数字。
Bilt 最终在 5 月 26 日堵住了其漏洞的 API,也就是在我第一次联系后将近一个月。
但仍然不清楚比尔特是如何获得我的信息的,在我签署的租赁协议中没有提到数据收集或共享。
McKenna 解开了这个谜团,他告诉我:“Equity Residential 与服务提供商共享信息,以便为我们的居民提供服务。我们这样做的权力在于我们网站上提供的使用条款和隐私政策。”
简短的回答是肯定的,没有人认为——我也没有想到——阅读的网站上的隐私政策。从您走进 Equity 大楼的那一刻起,它的隐私政策就允许进行广泛的数据收集,包括离线收集,例如在您签署公寓租赁协议时收集的关于您的数据。大多数数据可以出于多种原因与第三方公司共享,例如代表 Equity 提供服务。根据该政策,像比尔特这样的公司“可以访问[个人身份信息],以便向我们或代表我们提供这些服务。”
这并不是 Equity 独有的。许多其他公司房东在他们的隐私政策中使用类似的包罗万象的语言,这使他们可以广泛地收集、使用和共享或出售您的个人信息。
AvalonBay 在美国东海岸拥有 79,000 套公寓,在其隐私政策中使用相同的逐字逐句的语言将其租户的个人信息提供给与其合作的第三方。这可能包括洗衣服务、停车场供应商或——如比尔特——租金支付处理器。可以访问您的个人信息的第三方数量会迅速增加。
德克萨斯大学奥斯汀分校美国研究系助理教授 Erin McElroy 的研究包括房地产技术和住房,他告诉 TechCrunch,随着住房被更多地视为商品而不是权利或社会福利。随着租户越来越多地被视为消费者,一个人在使用某种产品或服务时可能会体验到的大部分内容现在也以租户的身份体验。 “这是战略性的,是住房公司化和金融化的重要组成部分,租户当然不会将自己视为消费者并阅读租赁协议中的所有细则,并想象可能会发生这样的事情,”麦克尔罗伊说。
一些隐私政策走得更远。 GID 拥有 86,000 多个住宅单元,其隐私政策明确允许其将大量租户的个人信息出售给其附属公司、其他管理公司和数据经纪人,这些公司进一步收集、合并和出售您的信息给他人。
“制定管理数据使用的隐私政策是很常见的,”Hunton Andrews Kurth 的隐私律师兼合伙人 Lisa Sotto 在电话中告诉 TechCrunch。索托说,隐私政策不是一句空话:“它们受联邦贸易委员会监管,联邦贸易委员会禁止不公平或欺骗性的贸易行为。”
FTC 可以而且有时确实会对滥用数据或数据安全实践不佳的公司采取行动,例如暴露敏感个人信息的抵押数据公司、试图掩盖数据泄露的行为以及违反隐私承诺的科技公司。正如Orrick 律师事务所的律师所写:“你可以出售租户数据的事实并不意味着你应该出售这些数据。”
但是没有专门保护租户个人信息共享的规则。
相反,由每个州立法。索托说,美国只有少数几个州——加利福尼亚、康涅狄格、科罗拉多、犹他和弗吉尼亚——通过了保护这些州消费者的隐私法。在撰写本文时,目前只有加利福尼亚州的法律有效。
加利福尼亚成为美国第一个颁布个人隐私权的州——类似于根据 GDPR 向所有欧洲人提供的那些。 《加州消费者隐私法》或众所周知的 CCPA 于 2020 年 1 月生效,并授予加州人访问、更改和删除公司和组织收集的数据的权利。 CCPA 成为数据饥渴公司的主要眼中钉,因为法律迫使他们在隐私政策中划出广泛的例外情况,以允许加州人有权选择不将他们的数据出售给第三方。它还经常要求公司为加州居民提供完全独立的隐私政策,就像 GDPR 几年前所做的那样。
CCPA 与 GDPR 一样,至少可以说是不完美的。但作为美国第一部全州隐私法,它为其他州设置了标准,并在理想情况下随着时间的推移而改进。
弗吉尼亚州是下一个法律将于 2023 年 1 月生效的州。但批评者称该法案“弱”,同时有报道称该法案的文本是由亚马逊和微软的游说者撰写的,旨在为他们的企业利益服务。科技巨头正在支持并推动大力游说的州隐私法,例如弗吉尼亚州的隐私法,其最终目标是推动联邦立法,在美国各地制定较弱的一揽子规则,以取代拼凑而成的州法律——包括加利福尼亚州,那里的规则是最强。
但是,虽然一小部分美国人受到一些隐私法的保护,但大多数人生活在对个人信息共享几乎没有保护措施的州。
“确实缺乏立法,”麦克尔罗伊说。 “租户通常不会被告知有关他们收集了哪些类型的数据。他们没有机会同意,也没有任何潜在危害的迹象,”他们说。
如果我知道我的公司房东会与不关心保护它的第三方分享我的个人信息,我是否会搬进这间公寓?也许不吧。但随着租金飞涨和全球经济衰退迫在眉睫,尽管美国一些最大的公司业主创造了创纪录的利润,租房者可能没有太多选择。
“随着房屋被这些公司抢购一空,大多数城市都出现了负担得起的住房危机,租户在寻找租房时不能太挑剔,”麦克埃尔罗伊说。 “租户经常被迫放弃寻找数据政策滥用较少的房东,只是因为没有选择。”
那么,一家科技初创公司是如何获得我的家庭住址的呢?轻松合法。至于泄露呢?这只是糟糕的安全性。
更多关于 TechCrunch 的信息:
原文: https://techcrunch.com/2022/06/30/bilt-address-leak-privacy/