1.4億用戶信息泄露，引發全美恐慌的Equifax資料庫被黑事件暴露了一直以來忽視的問題……

【獵雲網（微信號：ilieyun）】9月12日報道 （編譯：Timo）

發生於本周的Equifax被黑事件，涉及近1.43億客戶，可能是美國徵信業歷史上最大的違規事件。此次被黑事件使得用戶社保號碼，出生日期甚至信用卡號被曝光。早在五月份，黑客就侵入了系統，因此這些數據已經被散布了數月之久。這些年來專家一直提醒大家，要做好自己的社保號碼等信息被不法分子盜用的心理準備。而如今美國成年人中有一半的人口都受到牽連，這種擔心自然不無道理。

除了給用戶造成的損害之外，此次事件也揭露了Equifax商業模型中隱藏頗深的荒謬之處。該公司是個人信息的中央儲存庫之一，是客戶核對信息以確保不會受騙的地方。而如今騙子有了和其他人一樣的信息。如果他們不能妥善保管信息，又為何密集地將這些信息存在一個地方呢？

如果你注意到這些數據的性質，也會有同樣的疑問。社保號和出生日期的信息被盜取就意味著不法分子會利用這些信息以你的名義申請貸款等。而既然如此當初又為何給予這些個人信息如此高的重要性？社保號沒有什麼特別之處，每個美國人都有，因此用於徵信，本應該是保密的卻發生了這樣的事件。在此之前，Experian，Anthem以及OPM都有過泄漏信息事件。對於上億受害的民眾來說，通過社保號驗證身份無法奏效了。而當下最需解釋的問題是：為何美國仍在使用以並不安全的數據為支撐的一套信用系統呢？

信息被黑源自於本不合理的身份驗證制度

如今美國的徵信系統崩潰了，然而這並不是一天兩天的事，而是持續了很長一段時間。而此次客戶信息被盜事件正是源於舊的身份驗證系統已經不再適用。Equifax方面顯然責任重大，他們在之後的補救也無濟於事。但這也不完全是某個公司的問題。在這樣一個充斥著各種信息數據的時代，人們卻只能依賴於一串數字以防自己受騙，一旦信息泄露，就等於將自己推到了懸崖邊獨自承擔風險。這些數據的泄露已經如此頻繁，人們卻仍將其視為私人信息。對於美國來說，是時候要對這套系統動刀子了。

從字面上看，徵信局的職責是提供信譽服務。你能通過姓名查到此人近年來所有借貸記錄和信用情況。對於放貸者來說，這些信息相當重要，因此很多企業或客戶都願意付費購買這種服務。而對放貸者來說最大的風險莫過於騙子利用他人的身份信息騙取借款然後不辭而別。因此，徵信局也逐漸變成了身份認證的服務機構。客戶名字和社保號碼是否對應是關鍵。

這種身份驗證方式漏洞太大。乍一看社保號碼就相當於某種密碼。然而密碼是可以修改的，不同的服務賬戶也不應該都用同一個密碼。你也可以用更專業的方法，用散列函數生成密碼。就像幾乎所有網路服務註冊都需要Gmail賬號一樣，許多機構也留有你的社保號碼信息。這些信息很容易泄漏。

全美三大徵信局Equifax, TransUnion和Experian都把大公司看做自己的客戶，而與這些信息最相關的民眾他們卻沒有放在眼裡。結果就是，某些錯誤的基本信息很長時間都沒有更正（比如，向徵信局證明自己還沒死其實比你想像的要麻煩很多）。儘管已經出台了一些像公平信用報告法之類的規定旨在修補漏洞，但仍舊改變不了整個系統的死板，而且大眾本身對個人信息的隱私重視程度也不高。

從舊主顧到為你看過病的牙醫，上百家組織機構都知道你的社保號碼

雖然形勢嚴峻，卻也不無良方彌補。比如，可以從讓凍結賬戶更為方便入手。信用密碼也是目前最為合理的解決方法，可以為信息形成雙重保障。除此之外，網路上現在也充斥著各種更可靠的登錄系統，比如硬體令牌和生物識別。而由於徵信所目前的種種束縛，這些方法還未能應用在信用卡開戶上。這等於說是為詐騙敞開大門，也是網路犯罪上升的驅動之一。

Facebook，谷歌，PayPal肯定都很樂意接手徵信局的工作，但這些公司也不能讓人省心。也有人建議應該將這些信息都放到一個數據塊鏈上，將系統去中心化，為信息加密。新的方法也有新的風險，但此次事件都為大家敲響了警鐘，信息被盜不僅僅是因為安全防範措施沒有做好，本質原因是整個身份驗證系統已經不再適用，是時候作出一番整改了。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！