本週出現了信用報告史上最大的公開漏洞，Equifax報告了一次影響多達1.43億客戶的駭客攻擊。駭客暴露了社會安全號碼，生日，在某些情況下，甚至信用卡。攻擊者早在5月份就獲得了訪問許可權，因此這些資料已經流傳了數月。多年來，專家們一直表示，你應該假設你的社保號碼和生日已經可以在犯罪市場上查到了——而且由於超過一半的美國成年人口受到牽連，這種邏輯現在很難避免。

除了直接的損失，這個漏洞還揭示了Equifax商業模式中的一些深層次的荒謬之處。這家公司是個人資料的中心倉庫之一，是你檢查以確保沒有給冒名頂替者寫抵押貸款的地方。但現在冒名頂替者的資料和其他人一樣。如果你不能保證它的安全，為什麼要首先儲存資料？

當你看資料本身時，同樣的問題也會出現。你的社保號碼和生日被盜是不好的，因為罪犯可以利用這些資訊以你的名義申請信用。為什麼一開始就讓這些資料如此有用？社會保險號碼沒什麼神奇的。我們只在信用報告中使用它們，因為每個美國公民都有一個，而且它們都被認為是祕密的。但這些數字已經很久沒有真正的祕密了。在Equifax違約之前，有益百利違約、Anthem違約和OPM違約。對於數以百萬計的人來說，透過社會保險號碼進行認證已經不起作用了。那麼，為什麼我們仍在使用一個依賴可洩露資料的信用體系呢？

徵信系統已經壞了，而且已經壞了很長時間了。整個漏洞概念——駭客竊取公司持有的資料進行身份盜竊——是一個失敗的身份模型的結果，而這個模型早已過時。很容易將Equifax視為問題所在，它對違規行為（以及可能的內幕交易）的處理不力肯定無濟於事。但問題比任何一家公司都嚴重。在一個資訊泛濫的世界裡，我們仍然依賴於一小部分敏感資料來保護我們不受欺詐，當這些資料洩露出去時，就會把負擔推到普通消費者身上。當資料已經被一次又一次地洩露時，我們將其視為私有資料。這個體系已經到了崩潰的地步。是時候把一切都燒了重新開始了。

從最基本的意義上講，信用社是一種信譽服務。你提交某人的名字，然後拿回一份報告，說明他們這些年來借的所有錢，以及這些錢是如何償還的。如果你決定是否借錢給某人，那麼這是很有價值的資訊，因此企業（或他們的客戶）通常願意為此付出代價。在這種情況下，放貸人面臨的最大風險是一個冒名頂替者，他把別人的賬記下來，然後逃之夭夭。因此，在這一過程中，信貸局也成為了一種身份識別服務。連同潛在客戶的名字，他們要求一個社會保險號碼，如果這些東西不匹配，他們知道他們在處理欺詐。

這是一種糟糕的身份管理方式。從遠處看，社保號碼有點像密碼。但是您可以更改密碼，並且不應該在每個服務中使用相同的密碼。為了更專業一點，您可以雜湊密碼，這樣服務就可以驗證您的身份，而無需保留您的確切密碼。現在，我一方面可以計算我的Gmail密碼存在於任何地方的數量，而我從12歲起就把我的社會保險號碼寫在表格上。到現在，有上百家機構都有，從老工作到老牙醫。這個數字永遠不會被騙子所控制。這個系統從一開始就註定要失敗。

更糟糕的是，所有這些資訊通常都是在未經您同意的情況下共享的。Equifax、TransUnion和益百利這三家大型信貸機構將其客戶視為檢查客戶的企業，而不是他們自己。他們擔心讓銀行和汽車經銷商高興，但目標本身就是事後諸葛亮。因此，即使是基本的誤差也可能持續多年，在三大統計局之間來回波動(例如，說服信貸局相信你沒有死，比你想象的要困難得多。）有一些法規旨在解決這個問題——最著名的是《公平信用報告法》——但它仍然是一個極其笨拙的體系，普通消費者對自己的形象幾乎沒有意識或控制。

這些問題都不容易解決，但有很多更好的方法。例如，讓你的信用更容易凍結將是一個良好的開端。特定於信用卡的PIN碼是業內最接近雙因素認證的東西，但它們仍然很少見，即使是在像這樣的重大漏洞之後。除此之外，無論是透過硬體令牌還是生物識別技術，網際網路上都充滿了更強大的登入系統。由於信用報告機構的壟斷，我們還沒有將這些方法應用到信用卡的註冊過程中。它仍然是詐騙最容易的途徑之一，也是低階別網路犯罪背後的驅動力之一。

我不知道答案是什麼。我相信Facebook、Google和PayPal都會很樂意接手這些信用機構的業務，對此我們確實有理由保持警惕。有些人會告訴你，我們應該把它都放在一個區塊鏈上，分散系統，根據需要查詢離散的資訊片段。新的解決方案帶來了新的問題，而且沒有完美的答案。但週四的違約事件應該讓我們清醒地認識到，這一體系已從根本上被打破，我們有多麼迫切需要更換它。違規不僅僅是安全故障；他們是身份系統崩潰的必然結果。是時候把它撕碎重新開始了。