游泳池、尿液与试图从互联网上删除你的数据Swimming Pools, Pee, and Trying to Delete Your Data From the Internet
作者以“在游泳池里撒尿”为生动比喻,深刻阐述了从互联网上彻底删除个人数据的极端困难性。文章探讨了数据泄露后,个人隐私信息如何在不同平台和数据商之间迅速传播并永久留存。结论指出,面对已经扩散的数据,传统的删除手段往往收效甚微,预防泄露才是根本。
Troy Hunt
我不记得这句话最初是别人说的,还是我在某次即兴评论中说的然后就不胫而走,但既然它经常被归功于我,不管怎样,我在这里转述一下:
试图从互联网上抹去自己的痕迹,就像试图把尿从游泳池里抽出来一样
根据发布渠道的不同,我会把这句话调整得更通俗易懂,或者更“澳式”一点,但核心意思不会变:一旦数据在互联网上扩散,你就再也盖不住了。在数据泄露的背景下,这一点至关重要,因为它揭示了暴露的个人信息的不可篡改性。它也说明了那些承诺能从互联网上抹除你数据的服务的实际效果非常有限。正是这些机构不断联系我,想在 Have I Been Pwned (HIBP) 上寻找营销机会,才促使我写下这篇文章。
我们先从这些服务说起。因为这类服务太多了,而且我不想公开抨击其中任何一家,所以我不会点名。我不点名的另一个原因是,尽管他们在营销推广上非常强势,但我确实认为他们的出发点是好的,我不想暗示并非如此。而且他们确实能发挥一定作用;只是这作用远比他们宣称的要有限得多。他们的定位通常是“数据中介清除服务”、“保护我的数据”或“从互联网上删除我的信息”。通过搜索这些词,你会找到提供此类服务的各种公司,或者你也可以搜索特定的机构……然后发现其他公司通过付费竞价,把自己的品牌广告投放在别人前面来劫持这些搜索词。当然,这只是常见的互联网营销暗箱操作,但在我看来,这充分说明了数据清除业务的商业化程度。
这些服务都遵循着大致相同的营销套路:
那么,让我们逐一分析这些观点。首先是关于数据中介的说法,这是绝对正确的。你的数据是有价值的——“数据是新石油”——获取和出售数据是一门生意。多年来,我个人接触过许多这类机构,主要是因为它们发生过数据泄露。南非的 Master Deeds 泄露事件规模巨大。几年前 National Public Data 的泄露规模还要大好几倍。Exactis、Adapt 以及其他许多机构这些年来也被加入了 HIBP。据我所知,它们都是合法运营的服务,尽管在尊重个人信息方面,它们可能游走在大多数人认为的“有点可疑”的边缘地带。
这就引出了关于恶意用途的第二点。数据经纪商在合法性方面存在非常广泛的跨度。就服务的合法性而言,让我们选取两个极端。在“完全合法运营”的一端,我们有 Experian,即使你不喜欢他们的所作所为,也无法否认他们处于合法性光谱中相对清白的一端,并且确实提供了有效的服务。而在另一端,则是像 LeakedSource(以及基本上所有名字中带有“Leak”字眼的服务)这样的平台……好吧……自己去 Google 一下吧。在这两端以及介于两者之间的每个位置,还有许许多多这样的服务。而且其中很大一部分处于非常灰色的地带:不同的法律管辖区、不同的数据获取手段,以及对遵守“选择退出”请求的不同容忍度。
但真正的核心问题在于数据删除。如果你花钱请上述的某项服务将你从互联网上抹去,我毫不怀疑他们在面对合法运营的服务时能取得一定程度的成功。那些服务会遵守合法请求,并且配备了完善的设施来接收和处理这些请求。但面对类似 LeakedSource 这样的平台呢?情况就大不相同了。而这正是问题的症结所在:
删除个人信息的请求,只对那些愿意尊重这些请求的服务有效。
这对现在阅读本文的任何人来说应该都是显而易见的,但当你在阅读数据删除服务的营销材料时,却根本看不到这一点。不过,我还只是刚刚热身……
想象一下,你要尝试从这里删除你的数据:
🚨🇺🇸 ShinyHunters 泄露了多家公司的数据...🇺🇸 American Tower Corporation🇺🇸 旗下拥有 Catalyst Brands 和 Authentic Brands Group 的 JCPenney 及其子公司🇺🇸 Madison Square Garden Sports Corp.🇺🇸 Ralph Lauren🇺🇸 https://t.co/08IaUnp1sx pic.twitter.com/TvqanSTO1Y— Dark Web Informer (@DarkWebInformer) 2026年6月16日
那是几周前 ShinyHunters 网站上的一个小片段。在撰写本文时,又有大量数据被倾泻出来,包括在我把这段话写进博客草稿前大约 15 分钟才刚刚泄露的。这些数据泄露事件已经影响了数千万人,包括我的妻子,因为她之前在 Canada Goose 购过物。现在,让我们看看你该如何从那起事件中清除她的数据。对于所有我稍后会将这篇博文指向的数据经纪商删除服务来说,你们会怎么做呢?显然,你做不到。这就像尿已经进了泳池,你再也无法将其抽出来了。而且这些数据也不仅仅是“存在于暗网中”,他们的 Tor 网站还直接链接到了一个托管着所有数据的明网网站:
而这仅仅是个开始。因为我们谈论的是公开发布的数字化数据,它会疯狂地自我复制。我妻子的个人信息将会有成千上万份副本在个人私藏、Telegram 频道和公开的黑客论坛之间四处流传。这个被放出魔瓶的精灵再也收不回去了,除非我们讨论的是合法运营的数据经纪商这一狭窄的范畴,而这又引出了另一个问题:
哪家合法运营的数据经纪商会通过数据泄露事件来扩充他们的数据库?!正规机构的数据来源根本不是这样的。这些数据来自问卷调查、与其他服务的交互(你在其中勾选了同意与“合作伙伴”交换数据的条款)、公开的商业目录,甚至逮捕记录。合法的服务、合法的来源、合法的流程。在一封寻求产品推广的公司邮件中,他们是这样描述其计划的(加粗部分为我所加):
一项允许你从任何(在合法范围内的)发现你个人信息的 URL 中移除你个人信息的计划
所以,最终的情况是:数据删除服务对于那些尊重合法请求的合法运营经纪商是有效的,但对于那些复制和滥用你数据的最恶劣的网站却完全无能为力。换句话说,你可能可以拒收某些营销材料或针对你过于精准定向的内容,但你无法阻止坏人试图窃取你的身份或敲诈你,因为“我们通过安装的恶意软件发现你在电脑上看色情片”。这有点像我十月份写过的,法院禁令就像是数据泄露应对中的“祈祷与默哀”:作为一个守法的澳大利亚人,我知道禁令的存在,所以我不能碰澳洲航空(Qantas)的数据泄露事件,但绝对没有什么能阻止真正的坏蛋滥用那些数据。
这就是为什么我不想与这些组织建立合作关系的核心原因:不是因为我不认同这项服务,也不是因为它会造成任何伤害,而是因为当有人使用 HIBP 搜索他们的电子邮件地址,并发现它出现在类似 Canada Goose 这样的数据泄露事件中时,这些服务对此无能为力。它们只是在撇去泳池水面上的树叶,而无论怎么撇,都无法清除我们都知道仍然潜伏在水面下的东西。
Troy Hunt 的照片
Troy Hunt
你好,我是 Troy Hunt,我撰写这个博客,为 Pluralsight 制作课程,同时也是微软区域总监和 MVP,我在世界各地旅行,在活动中发表演讲并培训技术专业人士
需要完整排版与评论请前往来源站点阅读。