关于资金:CypherpunkGuide 不投放监控型广告——没有广告网络,没有跟踪像素,也没有软文。运营依靠透明的资金来源:现阶段是读者捐赠,将来会加入订阅以及符合编辑方针的联盟推广。我们面向读者,而非广告主。
社交媒体账号你可以删掉。可你没法把自己从税务机关、医疗系统或国民身份数据库里删除。你交给政府的那些数据,不是一个允许你日后反悔的选择——它是你作为公民"存在"所付出的代价。这种不对称,正是问题的全部所在。一家公司弄丢了你的数据,至少在原则上你还能一走了之;而当国家弄丢了它,你却仍被要求源源不断地继续上交。
到了2026年,国家正在大规模地弄丢这些数据。今年春天短短数周之内:美国自家网络防御机构的一名承包商,把政府云系统的管理员密钥放在一个公开代码仓库里,一放就是六个月;一家联邦卫生机构在网上目录里公布了医生们的社会安全号码(SSN,美国人终身唯一的身份识别号);英国国民医疗服务体系(NHS)也证实,一家私营分析公司的员工能够触及可识别到个人的病历。这些都不是什么精密的国家级网络攻击。它们是再普通不过的机构性失败——之所以反复上演,是因为催生它们的那套激励机制从未改变。
那么,如果泄露你既无法阻止、数据又无法拒交,你究竟还能做些什么?这不是一份教你"换一家更值得信赖的机构"的指南。我把它写成一份手册,立足于一个清晰的威胁模型——也就是把"你要保护什么、提防谁、一旦泄露会发生什么"讲明白——并立足于一个假设:每一个存有你数据的数据库,终将被攻破,所以你的防御必须落在你能掌控的那些层级里,而不是寄托于机构的承诺。
2026年的三起失败#
先从证据看起,因为只有当你看清这套模式不断重演,它才真正变得可以付诸行动。三起有据可查的2026年事故,横跨两个国家、又跨越公私边界,从三个角度暴露出同一处结构性弱点。这里所说的泄露,指的是敏感数据落到了本不该拿到它的人手里——无论是出于失误、暴露,还是过度宽泛的访问权限。
| 事故 | 暴露了什么 | 根本原因 | 现状 |
|---|---|---|---|
| CISA 承包商 GitHub 泄露 | 3 个政府云账户的管理员密钥 + 明文密码(844 MB) | 承包商通过公开仓库同步工作文件,且关闭了密钥扫描 | 仓库已删除;机构调查仍在进行 |
| CMS 医保目录 | 医疗服务提供者的社会安全号码 | SSN 被填进了公开数据库的错误字段 | 门户已下线 |
| Palantir × NHS 访问权 | 供应商员工可触及的可识别病历 | 合同约定的管理员访问权,并非黑客入侵 | 合同有效;访问权仍在持续 |
CISA 泄露是最清晰的一例。 网络安全与基础设施安全局(CISA)——正是负责守护美国网络的那个机构——的一名承包商,在 GitHub(一个广受欢迎的代码托管站点)上维护着一个公开仓库,里面装着三个政府云账户的管理员凭据、明文密码文件、签名证书和访问令牌:约 844 MB 的内部材料。据 KrebsOnSecurity 报道,这名员工用这个仓库在公司与家里的机器之间同步文件,还特意关掉了平台内置的、阻止密钥被上传的保护功能。这次暴露持续了大约六个月,才被安全公司 GitGuardian 发现;据称,仓库被删除之后,那些云端密钥还继续有效了约48小时。
CMS 泄露暴露的,是对那个你永远无法替换的身份识别号同样的草率。 联邦医疗保险与医疗补助服务中心(CMS,运营美国面向老年人与低收入者的公共医疗保险的机构)发布了一份新的医保服务提供者公开目录——而据 The Hill 报道(此前《华盛顿邮报》率先披露此事),其中至少有数十名服务提供者的社会安全号码——后续报道称超过一百个——遭到暴露,原因是这些号码被填进了错误的字段。该机构随即把门户下了线。对美国人而言,社会安全号码是最接近"终身万能钥匙"的身份识别号;一旦公开,它就终身处于失守状态。
Palantir–NHS 这一案在性质上有所不同,而这一区别至关重要。 它不是一次黑客入侵。据 The Register 报道,英格兰 NHS 证实,运营其耗资3.3亿英镑的"联邦数据平台"(FDP,NHS 的中央患者数据平台)的私营承包商 Palantir(美国大型数据分析公司),其员工可持有对可识别病人信息的管理员访问权。无需任何攻击者;这种访问权早已写进了系统的运作方式之中。公民社会组织 Medact 记录了由此引发的担忧,而大曼彻斯特地区始终是唯一拒绝加入的区域机构。这里的教训不是"有个坏人闯了进来",而是:把一国的病历集中托付给单一供应商,这件事本身就是暴露——还轮不到有人去滥用它。
这些并非仅有的案例。把镜头往回拉一年,同样的形态再度浮现:始于2024年末、2025年初被发现,为多个州运营医疗补助、子女抚养费和食品援助系统的政府承包商 Conduent 遭到攻破,超过2,500万美国人的社会安全号码与健康数据因此暴露。其系统虽已恢复,但诉讼仍在继续,而泄露出去的那些身份识别号永不过期。今年春天的几起、前一年的一起,两个国家,有公有私:登场的角色在换,失败却始终如一。
政府为何在结构上注定会泄露#
听上去让人安心的解释是"运气不好"——一名粗心的员工、一个打错的字、一家糟糕的供应商。真正有用的解释是:这些并非意外,而是系统构建方式的必然产物。有四股结构性力量,让政府数据泄露近乎不可避免;而把它们一一指认出来,正是你得以防御整个类别、而非疲于追逐每一条头条新闻的关键。
| 结构性力量 | 运作机制 | 见于 |
|---|---|---|
| 承包商依赖 | 每一次外包交接,责任就被稀释一分 | CISA 密钥握在承包商手里;NHS 数据握在 Palantir 手里 |
| 影子 IT | 未经批准的工具绕开各种防护,把密钥引到旁路 | 那名承包商的公开 GitHub 仓库 |
| 聚合 | 记录一旦集中,一个失误就暴露数百万人 | NHS 平台;Conduent 的2,500万条记录 |
| 不对称的问责 | 机构交一笔罚款;永久的风险却由你承接 | 2026 年的三起案例全部 |
承包商依赖稀释了责任。 现代国家大多不自己运营技术,而是把它外包出去。CISA 的密钥握在承包商手里;NHS 的病历握在 Palantir 手里;那2,500万条记录则握在 Conduent 手里。每一次交接,都多出一个组织,它的安全状况你看不见,它的利益也不是你的利益。后果由机构承担,笔记本电脑却在承包商手上。
影子 IT——人们未经批准就在用的那些工具——把密钥绕过防护、引向旁路。 那名 CISA 员工的公开仓库就是影子 IT:一种绕开了机构自以为部署到位的所有控制的、未经许可的便利。每当一道流程太慢,人们就会在它旁边另辟一条更快的路,而那条更快的路上往往没有护栏。
聚合把一个小失误放大成一场灾难。 记录分散时,一个失误只暴露寥寥数人。而当一个联邦平台或一份全国性目录把它们集中起来,同样一个失误就暴露数百万人。集中化被当作"效率"来兜售;它同时也是一个会引发灾难性后果的单点。
问责是不对称的。 泄露一旦发生,机构发一份声明,或许交一笔罚款,然后照常运转。永久的风险却由你来承接。这种失衡,是"假定已被泄露"这一立场最深层的理由:弄丢你数据的那一方,并不承担弄丢它的代价,所以它永远没有足够的理由停下来。
把这些拼到一起,得出的结论不是犬儒,而是一份设计指引。你无法从外部去改革这四股结构性力量。但你能够为自己搭建一套从一开始就预设它们会失效的个人架构。
防御架构:假定100%会被泄露#
下面这部分,是任何一份"泄露应急清单"都不会给你的,因为它没法被当作一次性的修补来兜售:一套常设的架构,它假定每一个存有你数据的机构终将弄丢它。把它想象成五个层级,从心态排到具体操作。你不会一口气把五层全部建好;你要像搭建任何防御那样去搭建它——一次一层,在你暴露最大的地方筑得最牢。
第一层——养成"假定已被泄露"的心态。 威胁模型,无非就是对"我要保护什么、提防谁、一旦泄露会怎样"这个问题的一个清晰回答。这里的转变在于:不再把机构设想成安全的,转而把它们设想成终将外泄之数据的临时保管人。这不是疑神疑鬼;这是2026年的记录所摆明的事实。一旦你假定数据库会泄露,之后的每一个决定——交什么、以哪个身份去交、留什么后手——都会变得更容易。
第二层——把你交出去的东西降到最少。 你无法拒绝税务机关,但绝大多数数据索取在法律上并非强制。那个会员积分计划、那个可填可不填的资料栏、那个其实并不需要却要你"用身份证验证一下"的服务——每一处都是一座日后可能泄露的蓄水池。把每一项非必要的披露,都当作一份将来会写着你名字的泄露通知来对待。最有效的单一隐私控制,就是那份压根没被收集的数据。想对多年社交媒体使用已经外泄出去的东西做一次实操盘点——并搞清为什么删除往往抹不掉它——可参阅你的社交媒体数字足迹究竟有多持久。
第三层——把你的身份分隔开来。 我为每一个主要场景——财务、健康、公共生活——各留一个不同的邮箱地址,这样一个被泄露的数据库就无法与其他数据库拼接起来。一个像开源的 Bitwarden 这样的密码管理器,让"每个站点一组唯一凭据"变得切实可行;而像 Proton Mail 这样的服务商,则支持按服务生成别名,一旦泄露你可以随手弃用。分隔身份并不能阻止泄露;它阻止的是一次泄露演变成全盘皆失。(这套做法更深入的版本——化名与法域分离——见 Cora 关于自主身份的写作。)
第四层——锁死那些你无法更换的身份识别号。 有些数据是永久的:你的社会安全号码、你的出生日期、你的生物特征。正因为它们无法轮换,你就在"使用环节"上守护它们。在美国,到三大征信机构——Equifax、Experian 和 TransUnion(美国三大信用机构,保存你借贷历史的公司)——同时冻结你的信用,这能阻止有人以你的名义开设新账户;它免费,也可随时解除。再加上欺诈预警。并且把你重要的登录迁到基于硬件的多因素认证(MFA,即在密码之外再加一道身份验证)——也就是一把实体安全密钥,最强的第二重凭证——这样,光有一个被盗的号码也打不开门。这一层,是"泄露应急清单"与本架构难得达成一致的地方——区别在于,在这里它是一项永久的卫生习惯,而非一次惊慌之下的反应。
第五层——把你的工具与法域分散开来。 把你的信任分摊到多个服务商与多套法律体系之上,让它们不会同时落入同一个行为方的可及范围。敏感对话用加密通信;用一个无日志的 VPN(虚拟专用网络,可隐藏你的真实网络去向)——比如 Mullvad——切断你的网络与你的活动之间的关联;存储也不要集中在一家公司或一个政府之下。目标是:任何单独一次泄露、一纸传票或一段供应商关系,都无法暴露全貌。
请留意这套架构不要求什么:它不要求机构值得信赖。这正是要点所在。每一层都是一项握在你手里的控制,而不是一句别人给你的承诺。
如果你已经被暴露#
如果你的数据正落在这些泄露之中——而从统计上说,它早就在了——眼下要做的步骤虽然不多,却值得今天就做,先于上面那套常设架构。这些是我视为不容商量的步骤;请把它当作急救分诊,而非完整的治疗。
- 冻结你的信用,三大征信机构同时冻结(免费、可在线办理、可随时解除)。这是杠杆最高的单一动作。
- 设置欺诈预警,给你的金融账户加上,并打开交易通知。
- 假定永久性身份识别号已永久失守。 一个泄露的社会安全号码不会过期;凡是你能轮换的(密码、账号)就全部轮换,其余的则在使用环节上守护。
- 优先把邮箱和财务迁到硬件 MFA——邮箱是其他一切账户的找回路径。
- 提防针对性钓鱼。 被泄露的数据会让骗局变得"对人下菜";一个能说出你真实信息的来电者,靠的是泄露数据,而不是其身份正当的证明。
这些步骤堵住的是眼下这道缺口。而那套分层架构,才是让下一次泄露——一定还会有下一次——不至于用同样的方式再坑你一回的东西。
常见问题#
政府泄露了我的数据,我能起诉它吗?#
有时可以,但这很少是一条你能指望得上的救济。主权豁免规则、赔偿金的上限,以及证明具体损害的难度,都让政府泄露诉讼既缓慢又不确定。把法律行动当作一个或有的事后补充,而非一道防御——真正能降低你暴露面的,是你那套分层架构。
冻结信用就够了吗?#
不够,但它是最好的单一动作。冻结信用能挡住大多数"新开账户"类欺诈,可它对医疗身份盗用、税务欺诈,以及在信贷申请之外滥用泄露的社会安全号码,统统无能为力。请把它与欺诈预警、硬件 MFA 和身份分隔配套使用。
数据既然已经泄露,防御不就没意义了吗?#
并非如此。一次泄露所造成的伤害,大多发生在暴露之后——当泄露的数据被用来开设账户、冒充你,或炮制针对性骗局之时。即便底层数据早已外流,冻结信用、加固你的登录,依然能挡住那个"被利用"的环节。
这只适用于美国吗?#
具体做法各有不同——冻结信用是美国的机制,NHS 一案则在英国——但这套架构是普适的。每一个国家都在聚合公民数据,并把它的处理外包出去。把披露降到最少、分隔身份、守护永久性身份识别号,无论你身处何地都适用。
参考资料#
| # | 来源 | URL | 存档 |
|---|---|---|---|
| 1 | CISA 管理员在 GitHub 上泄露 AWS GovCloud 密钥 — KrebsOnSecurity | https://krebsonsecurity.com/2026/05/cisa-admin-leaked-aws-govcloud-keys-on-github/ | 存档 |
| 2 | 我们如何让一起 CISA GitHub 泄露被撤下 — GitGuardian | https://blog.gitguardian.com/how-we-got-a-cisa-github-leak-taken-down-in-26-hours/ | 存档 |
| 3 | CMS 公布社会安全数据 — The Hill | https://thehill.com/policy/healthcare/5860959-cms-publishes-social-security-data/ | 存档 |
| 4 | 医保门户暴露服务提供者的 SSN — Washington Post | https://www.washingtonpost.com/health/2026/04/30/medicare-portal-social-security-numbers-exposed/ | 存档 |
| 5 | 英格兰 NHS 证实 Palantir 员工可访问病人数据 — The Register | https://www.theregister.com/databases/2026/05/12/nhs-england-confirms-palantir-staff-can-access-patient-data/5238712 | 存档 |
| 6 | 简报:Palantir 与 NHS 数据系统 — Medact | https://www.medact.org/2026/resources/briefings/briefing-palantir-fdp/ | 存档 |
| 7 | 擦除权(第17条)— GDPR | https://gdpr-info.eu/art-17-gdpr/ | 存档 |