本月早些时候，黑客闯入Equifax的服务器，窃取了1.43亿人的个人信息，包括他们的社会安全号码。为了应对攻击，Equifax建立了一个网站-www.equifaxsecurity2017.com -可能的受害者来确认他们是否受到影响。因为这个过程涉及到共享敏感信息，消费者必须相信他们在正确的位置输入了数据，这可能很棘手，因为漏洞恢复网站本身不是equifax.com的一部分。如果用户最终进入错误的网站，他们可能会泄露他们已经担心的数据被窃取。

今天，Equifax在Twitter上创造了这样的局面。在一条发给潜在受害者的推文中，信贷局链接到securityequifax2017.com，而不是equifaxsecurity2017.com。这是一个容易犯的错误，但是结果将用户发送到一个与Equifax本身没有连接的站点。Equifax在这篇文章发表后不久就删除了这条微博，但它保持了近24小时的直播。

进一步的研究显示，还有三条推特将潜在的受害者发送到了同一个虚假地址，最早可追溯到9月9日。此后，这些微博也被删除。

幸运的是，Equifax发送给受害者的备用URL不是恶意的。全栈开发人员尼克·斯威廷（Nick Sweeting）设置了拼写错误的钓鱼网站，以便暴露Equifax的响应页面中存在的漏洞。”“我创建这个网站是因为Equifax犯了一个巨大的错误，使用了一个没有任何信任的域名（而不是在Equifax.com上托管它），”Sweeting告诉Verge这使得骗子很容易进入并建立克隆——他们可以购买几十个域名，然后输入大量信息。”Sweeting说没有数据会离开他的页面，他“通过将数据重定向回用户自己的计算机，消除了通过网络请求泄露数据的风险，“所以希望在他的网站上输入的数据是相对安全的。尽管如此，Equifax的团队还是链接到了他的网页。这并不令人放心。

在Equifax客服分享冒名顶替网站之前，Sweeting说他给支持团队发了电子邮件，并在推特上告诉Equifax他发现了一个潜在的漏洞。

艾奎法克斯对这一违规行为的反应一塌糊涂。该公司的网站为那些担心该公司可能会放弃受害者起诉该公司的权利的律师们敲响了警钟，而回复电话的代表们实际上没有任何信息，只是将有关消费者引导回了该网站。

尽管拼写错误的链接可能不是Equifax的故意链接，但它表明攻击者欺骗消费者是多么容易——甚至连公司自己的支持团队都被愚弄了。这也表明缺乏一致的应对策略。我不一定要责怪支持团队，因为他们很可能是为这次违规而**的自由职业者，但Equifax需要制定应对策略。

Equifax的一位发言人说，所有从他们账户发送的带有错误网址的推文都已被删除。”所有使用错误链接的帖子都被删除了。要确认，正确的网站是https://www.equifaxsecurity2017.com. 我们对造成的混乱表示歉意。”

如果你正在注册Equifax的身份监控，申请信用冻结，或者在网上任何地方输入你的个人信息，请仔细检查你是否导航到了正确的网页。

更新下午1:46东部时间：更新，以反映Equifax已删除推特。

更新时间：美国东部时间下午2点02分：更新了其他三条微博。

美国东部时间下午4:32更新：更新以反映Equifax的声明和其他删除的推文。