在2017年9月上旬一个安静的下午,Equifax披露了一项重大安全漏洞,据估计该漏洞已影响全球近2亿人。鉴于该公司于7月首次发现该违规行为,因此本应有足够的时间为所有受影响的个人准备应对措施和解决方案。取而代之的是,Equifax继续向全世界提供一个完美的示例,说明如何不处理重大的安全漏洞。
从数据泄漏的巨大范围来看,令人困惑的法律术语和令人毛骨悚然的不安全的响应网站,Equifax拥有了一切。加上内幕交易,沟通不畅,股票价值下跌30%以及进一步的数据泄漏的指控,该公司似乎已经做好了从宽限期大跌的准备。好吧,您从未像信贷报告机构那样宽容,您从未明确同意将您的敏感数据交给它。
EquiBreach
Equifax关于该违规行为的第一份声明说,多达1.44亿美国人的信用信息可能受到了损害。其中包括姓名,地址,社会安全号码(SSN),出生日期和财务记录。该公司还报告说,该违规行为包括209,000名美国消费者的信用卡号。此外,具有189,000个人的个人识别信息的争议记录也已泄露。
媒体上的初步报告称受影响的个人为Equifax的客户。但是,您实际上并不是Equifax,Experian,TransUnion或任何其他信用报告机构的客户。这些机构从许多不同的服务和金融产品提供商那里收集数据。然后,数据将用于生成您的信用评分,从而使贷方可以评估您构成的风险。申请贷款,信用卡或抵押?做出决定的方式就是这样。
为补偿您丢失近一半的美国成年人口数据,Equifax设立了一个网站equifaxsecurity2017.com。在这里,您可以输入您的姓名和部分SSN,并查看您的详细信息是否属于其中。此外,您可以注册他们的服务TrustedID Premier。这是一个三局信用报告和SSN监视工具,可补充美国消费者一年的时间。
然而,在他们最初的披露中,而在一周之后,Equifax对细节非常沉默。攻击类型,罪魁祸首以及为何能够持续这么长时间而没有被发现,仍然是个秘密。
这使许多人怀疑Equifax方面存在罪魁祸首。六天后,经过两党参议员团体的强烈抗议和干预,Equifax最终承认该攻击使用了已知的Apache Strut漏洞(CVE-2017-5638)-该补丁于2017年3月发布,两个月在Equifax违反之前。这证明,与今年早些时候的WannaCry一样,不更新软件可能会造成灾难性的后果。
尽管从一开始就没有披露,但Equifax被迫承认信息“数量有限"英国和加拿大居民中的一部分也被列入违规行为。多达4400万英国消费者甚至可能没有意识到美国信贷机构的数据。但是,它是由BT,British Gas和Capital One等公司提供给他们的。信用社的英国分部于9月15日星期五傍晚宣布,有40万英国居民受到影响。这种掩盖新闻的可疑尝试表明,持续了五年的“过程失败"。
Equifax的网站有问题
由于尚未解释的原因,Equifax推出了一个单独的网站以回应违规行为。鉴于该站点是为应对重大安全漏洞而设置的,您将想象会采取一切预防措施来确保该站点是稳定的光辉灯塔。相反,大量希望查看其信息的美国消费者不知所措。这使许多人无法访问该网站,也无法加载其影响评估的结果。
-Nick Frichette(@Frichette_n),2017年9月8日
即使如此,访问人数如果不是因为不良的网站配置,该网站可能更大。在大多数人的书中,带有可疑关键字的域外网站似乎是网络钓鱼诈骗。 OpenDNS似乎同意这一观点,并阻止了许多用户访问该网站。为了增强讽刺意味,要完成评估,您必须输入SSN的最后六位数字。这是Equifax证明无法保护的数据!
在网站启动后的几个小时内,有报告称您甚至无法相信其影响评估的结果。多次输入相同的详细信息将对您是否受到影响给出不同的答案。有些人甚至试图输入故意的虚假信息。令人担忧的是,他们发现Equifax会告诉不存在的人其数据已泄漏。
—G。 (@oh_sovivacious)2017年9月8日
如果您愿意接受您的数据实际上已因违规而受到损害,Equifax会就此违规发表含糊的声明,并鼓励您加入TrustedID总理。鉴于Equifax是造成漏洞的根源,他们似乎会鼓励您签署免费的免费欺诈保护服务试用版。
-Tony Webster(@webster)9月2017年9月9日
那些注册了TrustedID Premier的人可以执行信用冻结,并提供确认PIN。但是,PIN似乎是冻结时间的时间戳。这会使PIN失效-很容易猜到,任何人都可以解锁您的信用冻结。尽管最初否认了,但Equifax后来表示,他们正在过渡到一种将PIN生成随机化的新方法。此外,他们还允许消费者要求将新的PIN发送到其注册的邮寄地址。
法律纠纷
当Equifax首次启动equifaxsecurity2017网站时,《服务条款》适用于TrustedID Premier似乎暗示着使用该服务,意味着您放弃了将来参与对该公司提起的任何集体诉讼的权利。这种不公正感引起的轩然大波使Equifax在第二天发布了更新。他们现在指出,仲裁条款不适用于安全漏洞。
-Rhana Natour(@RNatourious)2017年9月8日
这并不能确保可以理解的人不令人信服的结果导致将近一个星期后再次发表声明,称他们“已将该语言从TrustedID Premier使用条款中删除,并且不适用于针对网络安全事件提供的免费产品或与网络安全事件本身相关的索赔。仲裁语言将不适用于在删除该语言之前注册的任何消费者。"
承担任务
Equifax声称这完全是巧合,仅两天在他们首次发现违规行为之后,三名高管出售了总计180万美元的股票。这项重大交易距离发现违规行为仅几天,但在一个月后才公开披露。如果个人确实了解安全漏洞,那么他们将违反内幕交易法。不管是有意还是无意,他们的及时销售都是幸运的。在撰写本文时,自披露违规行为以来,Equifax的股价已下跌了30%。
-Kyle Griffin(@ kylegriffin1)2017年9月13日
鉴于违规行为的高度敏感性,许多受影响的个人都对Equifax的表面松懈的安全性提出批评。例如,《今日美国》报道说,在披露后的几天内,在14个州针对信用报告机构提起了23项诉讼。据彭博社报道,在俄勒冈州提起的集体诉讼正在寻求高达70亿美元的赔偿。即使法院判给这么大的一笔钱,也等于每人不到500美元。
DoNotPay bot的创建者Joshua Browder扩大了其功能,以简化向小额钱债法庭申请与损害赔偿相关的赔偿的程序,这似乎足以弥补身份盗用的终生风险吗?违反Equifax。这是令人钦佩的,并且在使通常很复杂的法律文档更易于理解方面大有帮助。但是,一些报道声称DoNotPay机器人最初是为了帮助您解决停车罚款而开发的,可以使整个过程自动化。正如TechCrunch所指出的那样,该机器人真正所做的只是为最初的文书工作提供了帮助-您仍然需要在法庭上解决此案。
世界各地的持续头痛
如果有的话对于Equifax的不良安全做法仍存有疑问,那么Equifax阿根廷分支机构的一个例子很可能将其完全删除。员工用来解决信用纠纷的在线门户网站KrebsOnSecurity首次报道了该网站,名为Veraz(西班牙语中为真),该门户网站很容易受到攻击。您可能希望该漏洞是技术性的,但是,它是安全性最基本的失败之一:错误的密码。 admin / admin 的简单到许多情况下(默认情况下)的用户名和密码组合,使在站点上发生的任何人都可以登录到员工门户。
令人震惊的是,允许您查看,编辑和删除100多名阿根廷Equifax员工的用户名和密码。在每种情况下,均发现明文密码与员工的用户名相同。如果还不够严重,网站上会有一个区域,其中有715页的详细报告涉及Equifax记录的每个投诉或纠纷。这些信息包括DNI(相当于阿根廷的SSN),可容纳14,000多人,而且都是纯文本格式。在与KrebsOnSecurity联系后,Equifax迅速将网站下线,目前正在调查其最新的安全漏洞。
您能做什么?
第一步是使用Equifax的网站来
在许多数据泄露之后,我们通常会建议您更改密码,开始使用密码管理器。
Equihaxxed < /
Equifax漏洞很可能是一年中因数据漏洞和勒索软件攻击而猖stand的突出安全事件。与WannaCry等其他备受关注的安全事件以及无休止的数据泄漏流一样,Equifax漏洞的惊人性质也有一线希望。通过引起公众对数据安全性,信用报告和公司舞弊行为的关注,可以对这些问题进行讨论和缓解。希望许多美国参议员的强烈回应将确保这一违反行为不会消失在后台。 Equifax至少承认需要进行一些人员变更,结果首席信息官和首席安全官已“退休"。
尽管其知名度和范围广泛,但仍然没有有关谁的信息。攻击者是。就他们而言,Equifax对此事始终保持沉默-与他们管理不善的其他回应保持一致。违规行为公开几天后,一个组织就声称拥有这些数据,并要求赎金600比特币。研究人员发现.onion网站的托管服务后,立即将其关闭。
另外,一个自称Equihax的组织也声称拥有该数据,但没有提供可验证的证据。考虑到数据的潜在收益,您可以确定不久之后黑客就会尝试兑现。
您是否受到Equifax安全漏洞的影响?您认为Equifax应该受到指责吗,他们可以做更多的工作来保护您吗?在评论中让我们知道!
图片来源:stevanovicigor / Depositphotos
