Deleteduser.com ——一个15美元的PII磁石

# Deleteduser.com —— 一个 15 美元的 PII 磁铁 原文链接：https://mike-sheward.medium.com/deleteduser-com-a-15-pii-magnet-c4396eb21061 作者：Mike Sheward (https://mike-sheward.medium.com/?source=post_page---byline--c4396eb21061---------------------------------------) 什么时候删除不是真正的删除？当它变成一个公开可路由的占位符时。 自从 GDPR 和 CCPA 等更严格的隐私法诞生以来，我们使用的应用和服务被迫构建功能，以移除那些不再希望其信息被保存在数据库和以 SaaS 名义创建的代码宫殿中的用户。但是，当你按下那个删除按钮时，实际上发生了什么？通常，并不是真正的删除。 你看，当许多应用和服务设计架构时，它们总是为了添加数据而构建——更多的用户、更多的记录、更多的订单等等。根本没有考虑或设想因为法律原因需要删除这些数据。所以，当删除变成一项要求时，真正地删除记录可能会引发大问题。数据库表之间的参照完整性根本不允许这样做，BI 报告会变得奇怪，而且非常有可能，如果某个唯一标识符以某种方式被重用，就会引发级联效应。 因此，为了解决这个问题，许多地方在删除时只是简单地“覆盖”记录。它们用垃圾数据替换某些字段，这样数据结构得以保留，但人的元素不再存在。这些“某些字段”的核心就是电子邮件地址——网络上最广泛使用的标识符。而亲爱的读者，这就是我们来到这个“诅咒般发现”的原因。 我在互联网上看到一个讨论，有人说他们在自己的应用中删除用户时，会用 `[email protected]` 覆盖用户的电子邮件地址。嗯，我想——我很好奇这种做法有多普遍？我打赌，不管是谁拥有 deleteduser.com，肯定能收到大量邮件！ 我决定去查一下，但令我真正惊讶的是——没人拥有 deleteduser.com，所以现在我拥有了它。 在获得这块新的网络地产后不久，我设置了一个邮件监听器，看看有没有邮件进来。该域名被我拥有不到一小时，我就收到了来自三家不同公司的邮件——它们显然都曾用 `deleteduser.com` 作为占位符进行覆盖，从未预料到它会实际路由到任何地方，但当然，现在它可路由了。 随着时间推移，越来越多的邮件涌入——这显然是一个非常普遍的模式。许多邮件包含了那些被“删除”的用户的原始 PII（个人身份信息）。24 小时后，我能够明确识别出 30 个不同的组织，它们显然都使用这种做法来响应“被遗忘权”请求。 其中包括： - 一家大型连锁健身房 - 一个酒店管理平台 - 一款 HR SaaS 工具 - 一家快递服务公司 - 一家大型能源公司 - 一个 SaaS 正常运行时间跟踪平台 - 以及我个人最喜欢的——两家不同的网络安全公司。 在 PII 泄露方面，酒店管理平台目前位居榜首。它定期发送摘要报告，说明哪些客人住哪家酒店哪个房间——包括客人的全名、房间号以及入住和退房日期。 那家大型能源公司会从其内部系统之一发送报告，里面包含采购订单详情，收件人地址不知为何是 `[email protected]`。 快递公司发送的报告显示了已投递包裹的跟踪信息，包括发件人、收件人等的完整联系方式。 那家健身房恳求被删除的用户重新加入，并直呼其名。 那个 SaaS 正常运行时间跟踪平台告诉被删除的用户，他们公司监控的东西已经修好了。 哦，还有来自某组织 WordPress 实例的密码重置邮件，里面带有有效的令牌： 那么，教训是什么？我想有两点。 1. 永远不要依赖你并不拥有的任何东西在你的流程中。你从未拥有 deleteduser.com，也永远不会拥有。 2. 如果你的删除流程仅仅是把电子邮件地址替换成 `[email protected]`，那么你不仅做了最低限度的事情，而且还做得比最低限度更糟糕——因为你主动将 PII 暴露给某个陌生人的域名，而之前你并没有这样做。 无论如何，我会尝试联系我在收件箱中看到的每一家公司，并让他们看看这篇文章。我还计划将相关信息分享给相关监管机构。我是一个好的互联网垃圾桶守护者——但如果我是一个坏的呢？不难看出，这些被人主动扔到我脸上的信息可能会被如何滥用。