徵信巨頭Equifax公司數據遭泄：波及美國1.43億消費者

編者按

美國三大信用局之一的Equifax（艾克發）擁有超過一億九千萬美國人和一千五百萬加拿大人的消費者個人資料檔案，其客戶群總數超過十萬個企業。Equifax 公司的服務集中在信用服務和保險信息服務兩個方面。最近由於其網站應用程序上存在漏洞導致該公司的大量數據外泄，波及美國1.43億消費者。今天界小編將向您具體介紹一下該事件。

「

艾克發公司在上周四宣稱：「網路犯罪分子未經授權就可以使用其公司的文件，這可能會影響到美國的1.43億的消費者」。然而美國的消費者似乎是此次網路攻擊事件中的靶子，該公司的調查還發現，在英國和加拿大的一些居民未經授權就可以使用「有限的個人信息」。

」

在公司發現該漏洞後，昨晚的披露讓人們對三名艾克發公司的高級管理人員在3天內拋售股票的時機持謹慎態度。根據一篇彭博報道，首席財務總監約翰.博奇、美國的信息解決方案總裁約瑟夫.洛布蘭和勞動力解決方案總裁羅多爾福.普洛德拋售了超過180萬美元（140萬歐元）的股份，其中沒有一個似乎是歸因於一個預先安排的交易計劃。

社保號碼、出生日期、地址和駕駛證號碼是在事件所訪問的信息，該事件發生在5月中旬到2017年7月之間。黑客還獲取了大約209000名美國消費者的信用卡信息和糾紛文件，它包括大約182000名消費者的個人識別信息。艾克發公司在七月29號就得知了該數據泄露事件，據他所說是利用一個美國網站應用程序的結果，並且它還讓一個外部安全公司來取證。

AsTech公司的首席安全分析師內森.溫茲勒說：「也應該注意到的是，更普及的社交工程風格的攻擊（比如一個網路釣魚電子郵件破壞了一名員工的電腦系統或一名惡毒的內部人員泄露了數據）發生的時候這樣的數據外泄事件不會發生。更確切地說這是由於在他們其中的一個網站的一個應用程序存在有漏洞」。這是我們在安全共同體內連續看到增加的事情，隨著組織在保護伺服器、工作站和筆記本電腦方面做的越來越好，網路犯罪分子只是轉向下一個最容易的目標，最常見的就是組織的網路應用程序。

溫茲勒認為不管哪個行業，僅僅保護內部系統已經是不夠的了。他說：「越來越多的人認為，一個全面的安全戰略絕對是必要的，它涵蓋了教育、針對伺服器和其他資產的技術安全控制，網路安全和較強的軟體開發實踐會在開發過程中創建安全的應用程序，而不是在發生問題後才去處理。黑客會找到最簡單的方法來盜取數據，組織必須更加勤奮地為其技術基礎設施和開發工作的各個方面提供安全保障」。

Vectra公司的安全分析主任克里斯.莫拉萊斯表示同意，並在一封電子郵件中評論說：企業必須意識到，他們無法通過僅僅把錢花在防入侵解決方案上來解決網路安全問題，相反地，他們需要將投資轉移到當前高級攻擊者所使用的偵測和回應解決方案上來。網路攻擊者似乎通過利用一個網路應用程序上的漏洞，從而獲得了立足點。從那，他們最有可能通過網路升級特權，濫用證書和管理協議，並橫向移動，而企業很少利用必要的工具來檢測。

對於Varonis的技術專員布賴恩.維奇來說，問題是關於知道有價值的信息在哪裡和誰訪問了它。他說：「艾克發稱，黑客從5月份至7月份獲取了某些文件。他們訪問這些文件的時間是2個半月。他們的數據安全似乎集中在他們的資料庫上，然而他們確不保護他們的網站和檔案。太多有重要信息的公司，可以讓黑客進入同樣沒有保護措施的文件。再一次，我們看到一個組織沒有關注他們的數據是如何被訪問的。這表明該公司並不太清楚他們最敏感的數據在哪並且它們很可能沒有監控其用戶在做什麼。你抓不到你不能看到的東西，並且當你對誰訪問了這樣的數據視而不見時，發生外泄事件是不可避免的」。

「

CYBRIC公司的首席技術官邁克.凱爾說：「這次大規模的、不幸的數據泄露事件再一次放大了對於更好的應用程序安全測試並保證在一個連續的基礎上進行檢測。當這些類型的漏洞變得越來越少的時候，現狀就不存在了」。

」

Skyhigh網路公司的歐洲首席發言人尼格爾.霍索恩認為事件響應現在是關鍵的。他評論說：「所有的企業都必須考慮在類似的情況下他們會採取的步驟，以調查一次數據泄露，追蹤丟失的數據，並為客戶制定一個溝通計劃。沒有預先準備的並經受過測驗的事件應急計劃會造成公開數據丟失的延遲，而當信息最終被公布的時候，這隻會讓公司進一步遭到批評並聲譽受損。此外，公司必須確保他們知道所有可能與之共享數據的外包商、商業夥伴或雲服務，因為任何一個類似的外泄事件都將會對這一鏈條當中的一些組織產生影響」。

艾克發公司已經承認，這一事件對於一家負責處理並保護信息的公司來說是一個令人感到失望情況。艾克發公司的董事長兼首席執行官理查德.F.史密斯說：「這顯然對於我們公司來說是一個令人失望的事件，並且它是一個打擊我們是誰和我們是做什麼中心地帶的一個事件。我向消費者和我們的商業客戶表示歉意，並對造成的結果感到沮喪。我們為我們自己成為管理和保護數據的一個領導者而感到自豪，並且我們正在對我們的整體安全操作進行一次徹底的審查。我們還專註於保護消費者，並已發展了一個全面的服務組合，來支持所有的美國消費者，不管他們是否受到這一事件的影響」。

該信用信息公司已經建立了一個專門的網站來幫助消費者確定他們的信息是否在受影響的信息當中。消費者可以在網站上註冊ID盜竊保護和信用監控服務。艾克發還向消費者發出了通知，他們的信用卡號碼或含有PII的爭議文件受到了本次泄露事件的影響。

信用卡.com網站的高級行業分析師馬特.舒爾茨建議消費者要勤奮，不僅僅是在短時間內，他指出，壞人可以是很有耐心的，所以在這個故事不再是頭條新聞之後，保持警惕是很重要的。舒爾茨說：「我們不認為需要每天查看Facebook或Instagram 10次，但是許多人認為，要求每周查看一次你的銀行對賬單，實在是太過分了。其實這並不過分，很容易做到的事情，這並不會花很長的時間並在它們失控之前，能夠幫助你發現問題」。

美國新思科技公司的高級副總裁兼總經理安德烈亞斯.庫爾曼認為，該泄露事件也應該從一開始就讓人們把注意力轉移到確保軟體建立安全的更廣泛的問題上來。他說：「我們早已習慣了數據泄露，然而像這樣的事件和最近勒索軟體的爆發使人們意識到網路攻擊的範圍和影響正在加劇。我們比以往任何時候都更依賴於軟體，當軟體或那些維護軟體的人受到損害時，其後果正變得越來越具有破壞性。當務之急是組織在安全問題方面要採取一個更積極和主動的態度並且從構建更安全的軟體開始」。

他的同事Synopsys公司的安全技術副總裁加里.麥格勞博士贊同這一觀點，評論說：如果你想知道為什麼軟體安全是很重要的，這是另一個為什麼的教訓。當一個大型資料庫通過各種應用程序與互聯網相連，而這些應用程序不是被設計並被應用來確保安全的時候，像艾克發公司的數據泄露事件是會發生的。

-END-

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！