Equifax因Struts漏洞未及時打補丁 面臨4500億美元集體訴訟賠償

徵信公司Equifax值不值得信任？個人數據放那裡保不保險？這些問題的答案似乎越來越明朗了。該公司不僅遭受了史上最大數據泄露——1.43億人的姓名、社會安全號、家庭住址等信息被黑，其各種安全漏洞還在不斷被專家們指證。如一款檢查用戶是否被黑的工具並沒有功效；一個信用監測網站似乎可以被黑。

Equifax是手機消費者金融數據的三家主流信用機構之一，上周剛剛公開了這起聳人聽聞的大型數據泄露，據稱除1.43億美國消費者個人數據外，尚有不明數量的加拿大和英國客戶的個人數據也受到了影響。

9月12日，因自身存儲在Equifax資料庫中的信息，於2017年5月1日至8月1日期間遭到非授權訪問，加拿大受害者對Equifax提起了集體訴訟，稱Equifax違反了服務協議，對他們的信息處理不周，侵犯了他們的隱私權，要求4500億美元的賠償金。有報道稱，Equifax數據在暗網市場有售，但分析師認為現在還很難確認該事件背後主謀及其動機。

「

Equifax在主流獨立網路安全公司輔助下，一直在緊鑼密鼓地調查該入侵事件的範圍，確認被讀取的信息與受影響的人員。經調查，Equifax大規模數據泄露的原因，出在早該在攻擊發生數周前就應修復的一個網站應用漏洞身上。Equifax已經與執法機構共享了IOC（入侵相關的威脅情報數據）。

該數據泄露完全可以避免的事實，而這還不是Equifax痛苦的終點。如「進展更新」中指出的，「由於信用記錄安全凍結的請求量太大，我們經歷了暫時性的技術難題，在2017年9月13日美國東部時間下午5點，我們的系統短時下線1小時以解決該問題。」

除了這起大規模數據泄露，Equifax最近還遭遇了阿根廷網站漏洞門事件。據報道，Equifax在阿根廷某僱員Web門戶中使用了「admin」作為登錄用戶名及口令，向該網站提交信用爭議的客戶及該公司僱員信息不保。

網路安全博主布萊恩·克雷布斯稱，該阿根廷網站安全防護極差，理論上任何人都可以從該站點讀取用戶名和口令，冒充該公司僱員，甚或直接在資料庫中添加一個新「僱員」。更糟的是，攻擊者還可以讀取普通阿根廷公民提交的1.4萬份信用爭議投訴。這些投訴信息都以明文存儲。在克雷布斯聯繫了該公司後，網站門戶被關閉。

Equifax並未提供安全驗證的具體細節，但發布了如下聲明：

「

我們知悉了阿根廷某內部門戶的一個潛在漏洞，該漏洞與上周發生在美國的網路安全事件沒有任何聯繫。我們立即作出響應，該情況僅影響到有限的公共信息，僅與聯繫了我們客戶服務中心的消費者及管理這些互動的員工相關。們目前沒有證據表明有任何消費者、客戶，或我們商業及信用資料庫中的信息，受到了負面影響，我們將繼續測試及改善該地區的所有安全措施。

9月11日，兩名美國參議員要求Equifax回答如下具體問題：

Equifax到底是怎麼被黑的？

該公司注意到此事有多久了？

Equifax還被要求曝光在黑客事件被發現到被公開期間拋售公司股票的3名Equifax高管。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！