征信公司Equifax值不值得信任?个人数据放那里保不保险?这些问题的答案似乎越来越明朗了。该公司不仅遭受了史上最大数据泄露——1.43亿人的姓名、社会安全号、家庭住址等信息被黑,其各种安全漏洞还在不断被专家们指证。如一款检查用户是否被黑的工具并没有功效;一个信用监测网站似乎可以被黑。
Equifax是手机消费者金融数据的三家主流信用机构之一,上周刚刚公开了这起耸人听闻的大型数据泄露,据称除1.43亿美国消费者个人数据外,尚有不明数量的加拿大和英国客户的个人数据也受到了影响。
9月12日,因自身存储在Equifax数据库中的信息,于2017年5月1日至8月1日期间遭到非授权访问,加拿大受害者对Equifax提起了集体诉讼,称Equifax违反了服务协议,对他们的信息处理不周,侵犯了他们的隐私权,要求4500亿美元的赔偿金。有报道称,Equifax数据在暗网市场有售,但分析师认为现在还很难确认该事件背后主谋及其动机。
Equifax为美国消费者专门设立了一个有关该数据泄露信息发布的网站(www.equifaxsecurity2017.com/),在新发布的“进展更新”帖中写道:
Equifax在主流独立网络安全公司辅助下,一直在紧锣密鼓地调查该入侵事件的范围,确认被读取的信息与受影响的人员。经调查,Equifax大规模数据泄露的原因,出在早该在攻击发生数周前就应修复的一个网站应用漏洞身上。Equifax已经与执法机构共享了IOC(入侵相关的威胁情报数据)。
本周早些时候Apache基金会便指出,其早在2017年3月就报告了CVE-2017-5638漏洞。Equifax是在2017年“5月中旬”被入侵,在7月发现入侵,9月初公布被黑事实。如果取15号当做“5月中旬”,那么,Equifax有9个星期时间来打上补丁。
该数据泄露完全可以避免的事实,而这还不是Equifax痛苦的终点。如“进展更新”中指出的,“由于信用记录安全冻结的请求量太大,我们经历了暂时性的技术难题,在2017年9月13日美国东部时间下午5点,我们的系统短时下线1小时以解决该问题。”
除了这起大规模数据泄露,Equifax最近还遭遇了阿根廷网站漏洞门事件。据报道,Equifax在阿根廷某雇员Web门户中使用了“admin”作为登录用户名及口令,向该网站提交信用争议的客户及该公司雇员信息不保。
网络安全博主布莱恩·克雷布斯称,该阿根廷网站安全防护极差,理论上任何人都可以从该站点读取用户名和口令,冒充该公司雇员,甚或直接在数据库中添加一个新“雇员”。更糟的是,攻击者还可以读取普通阿根廷公民提交的1.4万份信用争议投诉。这些投诉信息都以明文存储。在克雷布斯联系了该公司后,网站门户被关闭。
Equifax并未提供安全验证的具体细节,但发布了如下声明:
我们知悉了阿根廷某内部门户的一个潜在漏洞,该漏洞与上周发生在美国的网络安全事件没有任何联系。我们立即作出响应,该情况仅影响到有限的公共信息,仅与联系了我们客户服务中心的消费者及管理这些互动的员工相关。们目前没有证据表明有任何消费者、客户,或我们商业及信用数据库中的信息,受到了负面影响,我们将继续测试及改善该地区的所有安全措施。
9月11日,两名美国参议员要求Equifax回答如下具体问题:
Equifax到底是怎么被黑的?
该公司注意到此事有多久了?
Equifax还被要求曝光在黑客事件被发现到被公开期间抛售公司股票的3名Equifax高管。
本文转自d1net(转载)