2017年9月初的一個安靜的下午，Equifax披露了一個非同尋常的安全漏洞，據估計，該漏洞已影響到全球近2億人。鑑於該公司在7月份首次發現了這一漏洞，這本應為所有受影響的個人準備應對和解決方案提供充足的時間。相反，Equifax繼續向世界提供一個完美的例子，說明如何不處理重大安全漏洞。

從數據洩露的巨大範圍、令人困惑的法律術語以及可怕的不安全回覆網站來看，Equifax擁有了一切。再加上有關內幕交易、溝通不善、股價下跌30%的指控，再加上進一步的數據洩露，這家公司似乎已經為自己的失寵做好了準備。好吧，作為一個信用報告機構，你從來沒有明確同意把你的敏感數據交給可以擁有的優雅。

股權分置

Equifax的第一份聲明說，多達1.44億美國人的信用信息可能被洩露。其中包括姓名、地址、社會保險號碼（SSN）、出生日期和財務記錄。該公司還報告說，20.9萬名美國消費者的信用卡號碼也被列入了違規行為。此外，有189000人個人身份信息的爭端記錄也被洩露。

媒體的最初報道稱受影響的個人是Equifax的客戶。然而，您並不是Equifax、益百利、TransUnion或任何其他信用報告機構的真正客戶。這些機構從許多不同的服務和金融產品提供商那裡收集數據。然後數據被用來生成你的信用評分，使貸款人能夠評估你構成的風險。申請貸款、信用卡或抵押貸款？這就是決定的方式。

影響評估和信任

為了補償你丟失了近一半美國成年人的數據，Equifax建立了一個網站equifaxsecurity2017.com。在這裡，您可以輸入您的姓名和部分SSN，並找出您的詳細信息是否在這些洩漏。此外，您還可以註冊他們的服務TrustedID Premier。這是一個三局信用報告和SSN監測工具，補充美國消費者一年。

然而，在他們最初的披露中，以及之後的一個星期裡，艾奎法克斯對細節卻保持著明顯的沉默。攻擊類型、罪魁禍首以及為什麼能夠持續這麼長時間而不被發現，仍然是一個祕密。

這讓很多人懷疑艾奎法克斯一方是有罪的。六天後，在兩黨參議員的強烈**和干預下，Equifax終於承認，攻擊使用了已知的Apache Strut漏洞（CVE-2017-5638）——該漏洞的補丁於2017年3月發佈，比Equifax漏洞早了兩個月。這證明了，就像今年早些時候的WannaCry一樣，不更新軟件會帶來毀滅性的後果。

不僅僅是美國消費者

雖然從一開始就沒有透露，Edimax被迫承認，英國和加拿大居民的“有限數量”的信息也被包括在違約中。多達4400萬的英國消費者甚至不知道美國信用社有他們的數據。然而，英國電信（BT）、英國天然氣公司（British Gas）和Capital One等公司都向他們提供了這一服務。信貸機構英國分行於9月15日星期五晚間宣佈，400000名英國居民受到影響。這一企圖掩蓋消息的嫌疑暴露了一個持續了5年的“過程失敗”。然而，沒有提供英國或加拿大居民的指導。

equifax網站的困境

出於尚未解釋的原因，Equifax推出了一個單獨的網站來回應這一違規行為。鑑於該網站是為應對重大安全漏洞而建立的，您可以想象，會採取一切預防措施來確保該網站成為穩定的光輝燈塔。相反，大量的美國消費者希望查看他們的信息，這讓他們不知所措。這使得許多人無法訪問該網站，或加載其影響評估的結果。

即便如此，如果不是網站配置不好，訪問該網站的人數可能會更多。在大多數人的書中，一個有可疑關鍵字的域外網站似乎是一個網絡釣魚騙局。OpenDNS似乎同意這一點，並阻止了許多用戶訪問該網站。為了增強諷刺意味，為了完成評估，你必須輸入SSN的最後六位數字。這是同樣的數據，Equifax已經證明他們不能保護！

無法驗證的結果

在網站發佈的幾個小時內，有報道說你甚至不能相信他們的影響評估結果。多次輸入相同的細節，對於你是否受到影響，會給出不同的答案。有些人甚至故意輸入虛假信息。令人擔憂的是，他們發現Equifax會告訴這個不存在的人他們的數據被洩露了。

如果您願意接受您的數據事實上已經在違規中被洩露，Equifax會以一份關於違規的含糊聲明向您致意，並鼓勵您註冊TrustedID Premier。考慮到Equifax是違規行為的源頭，他們鼓勵你註冊一個****他們自己的欺詐保護服務似乎是不明智的。

那些註冊了TrustedID Premier的人能夠執行信貸凍結，並提供了一個確認PIN。但是，PIN似乎是執行凍結的時間戳。這將使PIN變得毫無用處——它很容易被猜到，允許任何人解鎖你的信用凍結。儘管最初的否認，Equifax後來說，他們正在過渡到一種新的方法，將隨機引腳生成。此外，他們將允許消費者要求一個新的PIN發送到他們的註冊郵寄地址。

法律術語的崩潰

當Equifax首次推出equifaxsecurity2017網站時，TrustedID Premier的服務條款似乎暗示，如果您使用該服務，您將放棄參與未來針對公司的任何集體訴訟的權利。對於這種不公正的看法引起了軒然**，使得Equifax的問題在第二天得到了更新。他們現在說，仲裁條款不適用於違反擔保的行為。

這並沒有讓那些不相信的人放心，他們可以理解，這導致了近一週後的另一份聲明，聲明他們“已經從TrustedID Premier使用條款中刪除了該語言，它將不適用於針對網絡安全事件提供的免費產品或與網絡安全相關的索賠事件本身。仲裁語言將不適用於在語言被刪除之前註冊的任何消費者。”

執行任務

在Equifax聲稱完全是巧合的舉動中，就在他們第一次發現漏洞的兩天後，三名高管**了總計180萬美元的股票。這一重大交易是在發現違規行為幾天後，但在他們公開披露之前一個多月。如果這些人確實知道證券違規，那麼他們就違反了內幕交易法。不管是有意還是無意，他們的及時**是幸運的。在撰寫本文時，Equifax的股票自披露違約事件以來已經下跌了30%。

鑑於違規行為的高度敏感性質，許多受影響的個人對Equifax明顯鬆懈的安全措施持批評態度，這是可以理解的。例如，《今日美國》報道說，在披露後的幾天裡，14個州對信用報告機構提起了23起訴訟。據彭博社報道，在俄勒岡州提起的集體訴訟要求賠償高達70億美元的損失。即使**判給這麼一大筆錢，也相當於每人不到500美元。這是否足以彌補身份盜竊的終生風險？

DoNotPay bot的創建者Joshua Browder擴展了它的功能，簡化了向小額索賠**申請與Equifax違約有關的損害賠償的過程。這是令人欽佩的，並大大有助於使往往復雜的法律文件更容易消化。然而，一些報道稱，DoNotPay機器人最初是為幫助你對抗停車罰款而開發的，它可以實現整個過程的自動化。正如TechCrunch所指出的，機器人真正做的只是幫助你完成最初的文書工作——你還得在法庭上打官司。

世界各地持續的頭痛

如果對艾奎法克斯糟糕的安全措施還有任何疑問的話，那麼艾奎法克斯阿根廷分部的一個例子很可能將其完全消除。KrebsOnSecurity首先報告稱，一家名為Veraz（西班牙語中“真實”的意思）的員工用來解決信用糾紛的在線門戶網站被發現易受攻擊。您可能認為該漏洞是技術性的，但實際上，它是最基本的安全失敗之一：錯誤的密碼。admin/admin的用戶名和密碼組合非常簡單，在很多情況下是默認的，它允許站點中的任何人登錄到員工門戶。

令人震驚的是，這允許您查看、編輯和刪除100多名阿根廷Equifax員工的用戶名和密碼。在每種情況下，明文密碼都與僱員的用戶名相同。如果這還不夠嚴重的話，網站的某個區域有715頁關於Equifax記錄的每個投訴或爭議的詳細報告。這些信息包括超過14000人的DNI（阿根廷的SSN等價物）——同樣，全部是明文的。在接到KrebsOnSecurity的聯繫後，Equifax迅速將該網站離線，目前正在調查他們最新的安全失誤。

你能做什麼？

第一步是使用Equifax的網站來檢查您的數據是否受到漏洞的影響。然而，由於結果可能不一致，最好假設你受到了影響。由於該公司現在已經澄清了它周圍的語言，註冊他們的TrustedPremier服務。這將允許您執行信貸凍結，並阻止任何人以您的名義開立信貸。考慮到洩漏中丟失的數據的敏感性，騙子有可能兜售他們的商品，因此要對社會工程和網絡釣魚欺詐保持警惕。

在許多數據洩露事件發生後，我們通常會建議您更改密碼，開始使用密碼管理器，註冊HaveIBeenPwned，儘可能啟用雙因素身份驗證，並改善您的網絡衛生。雖然這些都不會直接保護您免受Equifax洩漏，但加強您的安全不會對您造成傷害。也許在這樣的情況下，更值得一試身手，做一次全面的安全檢查。

相等的

Equifax漏洞很可能是一年來最突出的安全事件，數據洩露和勒索軟件攻擊猖獗。與其他備受關注的安全事件一樣，比如WannaCry和無休止的數據洩漏，Equifax漏洞的驚人性質也帶來了一線希望。通過讓公眾關注數據安全、信用報告和企業不當行為，有機會討論和緩解這些問題。許多美國參議員的強烈反應將有望確保這一違規行為不會消失在幕後。埃奎法克斯至少承認，需要進行一些人事變動——首席信息官和首席安全官因此“退休”。

儘管其知名度高、範圍廣，但仍然沒有關於襲擊者是誰的信息。就他們而言，Equifax在這件事上完全保持沉默——與他們管理不善的其他迴應保持一致。就在洩密事件被公開幾天後，一個組織出現，聲稱擁有這些數據，並要求支付600比特幣的贖金。研究人員發現.onion網站的託管服務後，該網站立即被關閉。

另外，一個自稱Equihax的組織也聲稱擁有這些數據，但沒有提供可核實的證據。考慮到這些數據有多大的潛在利潤空間，你可以肯定，黑客很快就會試圖從中獲利。

你受到Equifax安全漏洞的影響了嗎？你認為艾奎法克斯是罪魁禍首嗎？他們能做更多的事來保護你嗎？請在評論中告訴我們！

圖片來源：stevanovicigor/照片