美国征信巨头Equifax遭黑客入侵，1.43亿公民身份数据泄漏

Equifax公司泄漏1.43亿个人数据

近日，美国3大老牌征信企业之一的Equifax公司披露称，公司网站遭遇黑客攻击，1.43亿美国公民的个人信息泄露，危及用户的社会保障号码、出生日期、住址以及部分驾驶执照号码等。

Equifax公司在一份新闻稿中表示，公司于7月29日发现了“未经授权的访问行为”，之后迅速雇佣一家网络取证公司展开调查。Equifax表示，目前，调查仍在进行中，但此次数据泄漏事件可能已经危及到了大约209,000名美国消费者的信用卡号码以及“约182,000名美国消费者附有个人识别信息的特定争议文件”。

此外，该公司还表示，此次数据泄漏事件还对一些英国以及加拿大公民的个人信息造成了影响，具体数量不详，公司将与这些国家的监管机构展开合作确认下一步调查计划。

Equifax公司董事长兼行政总裁理查德·史密斯（Richard F. Smith）在向媒体的声明中表示，

这对我们公司来说显然是一个噩耗，不禁让我们反思自己的定位和存在的意义是什么。由于此事为消费者和我们的业务客户带来的担忧和失望，我们在此致以最诚挚的歉意。目前，我们正在彻底审查我们的整体安全部署。

Equifax表示，攻击者可以通过利用应用程序漏洞来访问特定文件，从而进入公司的网络系统。但是，该公司并未说明是哪个应用程序或哪个漏洞造成了此次数据泄漏事件。

为了应对危机，Equifax公司已经开通一个网站——www.equifaxsecurity2017.com，任何人都可以通过访问该网站查看自己是否受到此次数据泄漏事件影响。此外，该网站还允许消费者注册TrustedID Premier（由Equifax运营的3局——Equifax、Experian和Trans Union信用监控服务），为用户提供信贷监控服务。

根据Equifax的说法，当你登录网站时，该网站会要求你提供个人姓名和社会保障号码后6位；根据这些信息，你将收到一条通知，告诉你自己的个人信息是否已经受到此次泄漏事件影响。该公司表示，无论你的信息是否受到影响，公司都会为你提供注册TrustedID Premier的机会，该优惠活动将于2017年11月21日结束。

事件分析

截至文章撰写之时，Trustedid.com网站上Experian（Equifax运营的一家信贷监控服务公司）正在大力推广免费的信贷监控服务，但是该服务仅间歇性可用，可能是由于免费消息推出后访问流量过大造成的间歇性服务中断。

虽然Equifax宣称，该网站可供用户查看是否受到泄漏事件的影响，但实际上可能并不起作用。当我输入我的社会保障号码后6位和姓名时，网站呈现我一个“系统不可用”的页面，要求我稍后再试。

当我稍后再次尝试时，我收到了一份通知，说我注册TrustedID Premier的日期是2017年9月13日（显然还没到），还要求我重新返回在该日期当日或之后重新注册。该消息暗示但并没有说我受到了影响。

也许该公司压根没有一次性解决每个要求信用保护的美国公民的能力，这件事只是该公司耍的一个伎俩，一切的前提是，他们假设这条泄漏信息从头版头条上消失之后，人们也会慢慢淡忘，不再重新返回该网站进行检测和寻求为期一年的免费信用监控服务。

其实，对于这种“在数据泄漏之后为用户提供信用监控”的公司的做法，我并不感到陌生，尤其是泄漏仅涉及信用卡账户的时候，这种做法更为普遍。因为信用监控服务通常只会寻找新的账户欺诈行为，对于防止现有的消费者信用账户的欺诈行为根本起不了作用。

而且，通常情况下，这种信用监控服务在一段时间是免费的，消费者需要在免费期止的时候购买额外的保护。一般来说，消费者会获得为期一年的免费服务。

不过，事实上，信用监控服务对于防止身份窃贼盗取你的身份基本起不了什么作用。你可以从这些服务中获得最多的希望是：一旦有人窃取你的身份，你可以收到通知。此外，这些服务还可以帮助受害者从身份盗用中恢复。

我的建议是：如果可以，注册信用监控，然后冻结你在主要信用局的信用档案（冻结后通常无法注册信用监控服务）。

目前，Equifax仍在针对此次事件进行调查，该公司表示，截至目前，没有证据表明公司核心消费者或商业信用报告数据库发生过“未经授权的”访问行为。

不过，入侵者能够通过公司网络中的漏洞访问如此规模的用户敏感数据，表明Equifax在对面向Internet的Web应用程序进行安全更新时发生了滞后，为攻击者入侵留了“切入口”。虽然，攻击者可能已经利用了某个应用程序中的一个未知漏洞，但是如果这是真的，我希望Equifax能够强调这个事实，否则会有更多的受害者受此漏洞波及。

信用机构数据泄漏问题频发

其实，这并不是Equifax或其他大型信用局第一次遭遇如此大规模的泄漏事件。今年5月份，据外媒报道称，攻击者利用了Equifax公司TALX薪资部门的安全漏洞，实施了攻击活动。据悉，该部门主要提供在线薪资、人力资源以及税务等方面的服务。

2015年，Experian发生数据泄漏事件，至少1500万用户的个人信息受到影响。之后，Experian还在几个月内允许一名冒充美国私人调查员的越南人访问其数据库。实际上，这名越南人是在运行身份盗窃服务，帮助网络窃贼查找超过2亿美国公民的个人和财务数据。

对于此事，我的看法是：信用局通过为消费者编写许多令人难以置信的详细档案，并将这些信息出售给市场营销人员，所以需要监管机构和立法者给予更多的监督，使其合法行使／履行自己的权利／义务。

对于此事，美国参议员网络安全核心小组负责人Mark Warner也表达了自己深深的担忧。他表示，

虽然很多人已经习惯每隔几周就会听到一次新的数据泄漏事件，但是此次涉及美国近一半人口的社会保障号码、出生日期、地址以及信用卡账号的泄漏事件还是引发了一个重要的问题，即国会是否应该制定一个统一的数据泄漏通知标准，还要确定国会是否需要重新考虑修改数据保护政策，来制约像Equifax这样的大型企业收集公民高度敏感数据（如SSN和信用卡信息）的情况。可以毫不夸张地说，这次如此大规模的数据泄漏事件，将美国近一半人口的高度敏感数据暴露在外，对美国人的经济安全将构成重大威胁。

目前，尚不清楚为什么Web应用程序会和如此敏感的消费者数据绑定在一起，但是Equifax缺乏安全领导可能是一个促成因素。直至现在，该公司还在物色首席信息安全官的人选。