IEEE與日誌故事

IEEE（電力與電子工程師學會）是電力、電子、通信、電腦工程、計算機科學及相關領域標準製定和促進科學教育發展的世界領先組織之一。該組織在全世界擁有超過415000名成員，其中近一半在美國[1]。

從組織的性質來看，IEEE成員是高度專業化的個人，他們中的許多人在關鍵行業、政府和軍事項目中工作。此外，可以合理地假設，一個發佈領先的以安全為重點的出版品[2]的組織將重視其成員的隱私，並主動保持其數據的安全。

由於幾個毫無疑問的嚴重錯誤，ieee.org帳戶用戶名和大約100000個ieee成員的明文密碼在ieee FTP伺服器上公開了至少一個月。此外，這些用戶在ieee.org網站上執行的所有操作也都是可用的。另外，spectrum.ieee.org的訪問者活動也是公開的

對於IEEE web管理員來說，最簡單也是最重要的錯誤是，他們未能限制對IEEE.org和spectrum.IEEE.org的web服務器日誌的訪問，從而允許訪問ftp://ftp.IEEE.org/uploads/akamai/地址的任何人查看這些日誌（在我報告後，於9月24日13:00 UTC左右關閉）。在這些日誌中，每一個web請求都被記錄下來（總共超過3.76億個HTTP請求）。Web服務器日誌永遠不應該公開，因為它們通常包含可用於標識用戶的資訊（有時甚至在“AOL事件”[3]中匿名化日誌之後）。然而，這種情況更糟，因為411.308個日誌條目同時包含用戶名和密碼。其中，似乎有99979個唯一的用戶名。

如果讓一個包含100GB日誌的FTP目錄公開打開可能是設定存取權限時的一個簡單錯誤，那麼將用戶名和密碼都保持為純文字則麻煩得多。保持密碼的加密散列被認為是最佳實踐，因為它可以完全减少這樣的存取權限錯誤。此外，將密碼保存在日誌中本質上是不安全的，特別是明文密碼，因為任何有權訪問日誌（用於分析、監視或入侵偵測）的員工都可能對用戶的隱私構成威脅

測井分析

很不幸，這個資訊被洩露出去了，誰知道誰在修復之前得到了它。可能有FTP的訪問日誌，囙此可以評估損壞情况。無論如何，可能必須通知受影響的用戶，因為我的理解是法律要求這樣做（更新：IEEE通知成員）。在歐洲，有關於隱私和電子通信的指令（指令2002/58/EC）第4條及其修正案（指令2009/136/EC）。在美國，46個州似乎有類似的要求[4]。

雖然數據洩露的原因已經解决，但必須從研究的角度指出該數据集的價值。研究人員很少能獲得如此豐富的數据集。在公開發佈這些數据集之前，必須評估各種與道德和隱私相關的考慮因素。决定如何匿名化數據不是一個容易的挑戰。僅僅排除任何讓用戶可以直接識別的資訊是不够的，因為過去的數据集版本已經表明，一些用戶仍然可以被精確定位。這導致了Netflix[5]和AOL[6]的訴訟，或者像最近的Wikipedia案例[7]一樣撤回數據。出於這個原因，穀歌等公司更願意保留這些數據供內部研究人員研究，而不向公眾公佈[3]。此外，一些公司將數據發佈給一比特值得信賴的研究人員，條件是保持匿名，就像一比特未透露姓名的歐洲行动电话運營商為阿爾伯特·拉斯洛巴拉巴西所做的那樣[8]。這意味著在資訊檢索等領域工作的學術研究人員對新的真實世界數據的訪問有限，對他們的工業同行不利。

基於這些原因，我不能不想對這些偶然獲得的數據進行基本分析，儘管我承認這在道德上可能是可疑的。但是，我沒有，並且計畫不向任何其他人發佈原始日誌數據。

數據概述

• 日誌數據時間跨度：01/Aug/2012:20:46:28+0000至18/Sep/2012:08:47:17+0000
• 日誌條目的總數：376021496
• ieee.org的日誌條目：301319566
• spectrum.ieee.org的日誌條目：74701930
• 包含密碼詳細資訊的日誌項：411308（其中17157是密碼重置請求，沒有用戶名欄位）

下麵的分析僅基於包含密碼詳細資訊的411308個日誌條目，這些條目包含99979個不同的用戶名值。