法院禁令是数据泄露响应中的“思想与祈祷”

每当悲剧发生时，人们总会通过“思想与祈祷”来表达同情。同情固然重要，但批评者指出，这句话常常成为有意义的行动的替代品。用“思想与祈祷”来回应事件实际上毫无作用，这也引出了数据泄露后的法院禁令问题。

让我们从HWL Ebsworth开始，这家澳大利亚律师事务所在2023年成为勒索软件攻击的受害者。他们获得了禁令，内容如下：

最终临时禁令禁止ALPHV（或称“黑猫”）黑客组织的黑客在互联网上发布HWL数据、与任何人分享数据，或除就法院命令获取法律建议外以任何理由使用信息。

简而言之，禁令禁止了入侵该律师事务所并试图勒索的俄罗斯犯罪团伙在互联网上发布数据。结果呢？攻击者随后收到了禁令，并以完全可预测的方式回应：

去你妈的

然后他们倾倒了大量数据。显然，犯罪分子根本不会理会禁令，但这种法律结构的影响远不止于坏人：

斯莱特里法官表示，禁令还将“通过使HWLE能够通知可能发布该材料的在线平台，帮助限制被窃取材料的传播”。

换句话说，数据对好人也是禁区。记者、安全公司以及“我被坑了吗”（HIBP）都受到此类禁令的影响。在某种程度上，当数据像律师事务所通常持有的那样敏感时，你可以理解这一点，只需稍加想象就能知道这类数据落入坏人之手会造成多大损害。但像澳航这样的公司泄露的数据则非常不同：

现在轮到我的数据了。仍然没有具体说明是哪个服务被入侵，但很像是忠诚计划数据（即与具体航班、密码、护照或支付细节无关）。——特洛伊·亨特（@troyhunt）2025年7月11日

除了运营HIBP的兴趣外，我和我的妻子及孩子似乎也是他们数据泄露的受害者。为了强调我在这场游戏中的利害关系，我还是澳航的股东和非常忠诚的客户：

坐在机场，准备乘坐我的第301次（已追踪）@Qantas航班。与工作人员的有趣对话：“你可以丢失我的数据，但别丢失我的行李” 😬 ——特洛伊·亨特（@troyhunt）2025年7月2日

因此，当他们申请并获得自己的法院禁令时，我特别感兴趣。为什么？这能带来什么可能的好处？因为到现在，数据会发生什么已经很清楚了：

这来自获取澳航数据及其他一些大公司数据的组织运营的Telegram频道：

🚨🚨🚨突发 - 新的数据泄露网站由Scattered LAPSUS$ Hunters曝光Salesforce客户。数十家全球公司卷入大规模勒索活动。Scattered LAPSUS$ Hunters声称已入侵Salesforce，窃取约10亿条记录。他们指控Salesforce…… ——Hackmanac（@H4ckmanac）2025年10月3日

“Scattered LAPSUS$ Hunters”威胁要在几天内公开倾倒所有数据，除非支付赎金，而赎金不会被支付。Telegram图片中的引述来自澳航发言人，显然，禁令不会阻止数据的发布。我对禁令的许多不满在于它们以某种方式保护客户（如我）的前提，而显然它们没有。但是，嘿，“思想与祈祷”，对吧？

不想给试图勒索我的数据（以及其他人数据）的犯罪分子太多赞誉，但他们对媒体机构的看法是对的。禁令会对十年前的Ashley Madison报道产生有意义的影响，当时媒体乐于曝光泄露中名人的存在。显然，澳航的数据远没有那么有新闻价值，我无法想象头条新闻会超出某些政客的显著积分余额。数据就是没那么有趣。

禁令仅对符合以下标准的人有效：

• 知道有禁令存在的人
• 守法的人
• 在澳大利亚的人*

前两点很明显，第三点带星号是因为它有非常严格的限制。这是今天早上与一位专攻此领域的律师朋友的聊天内容：

这取决于哪个国家以及是否与澳大利亚有互惠协议，例如英国，以及你试图对谁执行，然后由该国法院决定——但由于这是禁令（所以不是针对特定人的债务等），这几乎是不可能的——据我所知，你不能仅仅在某个地方注册一个针对全世界的外国判决。

那么，如果禁令在为数据泄露受害者提供有意义的保护方面如此无用，它的意义何在？它保护了谁？在研究这篇文章时，我能找到的最佳解释来自Clayton Utz律师事务所：

当保密因黑客攻击而被破坏时，各方通常应该做——并被看到在做——他们能做的以防止或最小化损害程度。即使禁令可能不会影响黑客，出于上述原因，它们可以在合法个人和组织进一步传播被黑客攻击的信息方面提供辅助好处。根据条款，它还可能有助于相关保险政策的恢复，并降低证券集体诉讼的风险。

“被看到在做”这个词说明了一切。现在这只是我的猜测，但我可以想象澳航的律师在法庭上为他们将面临的不可避免的集体诉讼（我对此也有强烈看法）辩护时说：“法官大人，我们尽了一切努力，我们甚至获得了禁令！”在之前关于另一起成功获得禁令的数据泄露的对话中，涉及的律师告诉我，他们想向客户保证他们已经尽了一切可能。那次泄露随后通过一个流行的明网黑客网站（不是“暗网”）在线传播，但我假设这一事实以及禁令对该受众的无效性在客户沟通中被省略了。我很自信地认为，禁令的主要受益者是股东，而不是客户。而且我假设律师是收费的，对吧？

这对澳航意味着，就个人而言，作为一个知道禁令的守法澳大利亚人，我将无法查看我的数据或我孩子的数据。我当然可以随时向澳航索取，但如果数据在互联网上传播，我将无法去获取。犯罪分子当然可以，这是一种非常不舒服的感觉。

从HIBP的角度来看，我们显然不能加载这些数据。很可能我们成千上万的订阅者会受到影响，而我们将无法通知他们（这也是我写这篇文章的部分原因——以便在被问及时可以引导他们到这里）。当然，澳航显然已向受影响的个人发送了披露通知，但我认为来自HIBP的通知具有不同的分量：被告知“我们发生了安全事件”是一回事，而得知你的数据现在已经流传到被发送给我们的程度则是另一回事。此外，澳航不会通知域名所有者其客户的电子邮件地址已被暴露。许多人会使用工作电子邮件地址注册澳航账户，当你将其与其他暴露的数据属性结合起来时，就会产生组织风险。公司希望知道公司资产（包括电子邮件地址）在数据泄露中暴露时，不幸的是，我们将无法向他们提供这些信息。

我理解澳航追求禁令的决定涉及比可能出现在HIBP中的电子邮件地址更广泛的事情。我实际上认为澳航给出的许多建议是好的，例如，他们在关于泄露的页面上提供的资源：

这些都是极好的，每个都有许多好的外部资源，担心诈骗的人应该参考。例如，ScamWatch有这个：

而cyber.gov.au有我们澳大利亚信号局提供的方便提示：

我们的朋友IDCARE也不甘示弱，提供很好的建议：

当然，OAIC也有一些很好的指导：

澳航推荐的诈骗资源都链接到一个永远不会返回澳航数据泄露的服务。我已经提到过“思想与祈祷”了吗？

更新，2025年10月14日

如所威胁，澳航数据在本文写作两天后公开倾倒。数据出现在一个明网文件共享服务上，链接自他们的.onion网站以及数据公开后不久出现在新域名上的明网网站。由于禁令，我自己没有访问数据，但世界其他地区的安全人员联系并确认我的记录及我家人的记录存在。我还看到了其他研究人员分析数据的公开评论，并有多人联系我并提出发送数据。

显然，禁令在阻止数据传播方面的能力已被证明极其有限。此外，作为澳航客户，我尚未收到他们关于我的数据现在已被公开发布的任何消息。这一切都不应让任何人，包括澳航，感到惊讶。

关于评论中关于禁令合法性及何处可获得的疑问，我从我们使用的律师事务所获得的建议是，它绝对是合法的，感兴趣的各方需要联系澳航如果他们想查看（可能是编辑版本）。我不熟悉法院发布这些禁令的机制以及为什么它们不那么公开可访问，但我建议阅读这篇引用坎克法官的话的故事值得一读。坦率地说，这一切有点疯狂，但这就是我们运作的环境和我们需要遵守的规则。