本周出现了信用报告史上最大的公开漏洞，Equifax报告了一次影响多达1.43亿客户的黑客攻击。黑客暴露了社会安全号码，生日，在某些情况下，甚至信用卡。攻击者早在5月份就获得了访问权限，因此这些数据已经流传了数月。多年来，专家们一直表示，你应该假设你的社保号码和生日已经可以在犯罪市场上查到了——而且由于超过一半的美国成年人口受到牵连，这种逻辑现在很难避免。

除了直接的损失，这个漏洞还揭示了Equifax商业模式中的一些深层次的荒谬之处。这家公司是个人资料的中心仓库之一，是你检查以确保没有给冒名顶替者写抵押贷款的地方。但现在冒名顶替者的数据和其他人一样。如果你不能保证它的安全，为什么要首先储存数据？

当你看数据本身时，同样的问题也会出现。你的社保号码和生日被盗是不好的，因为罪犯可以利用这些信息以你的名义申请信用。为什么一开始就让这些数据如此有用？社会保险号码没什么神奇的。我们只在信用报告中使用它们，因为每个美国公民都有一个，而且它们都被认为是秘密的。但这些数字已经很久没有真正的秘密了。在Equifax违约之前，有益百利违约、Anthem违约和OPM违约。对于数以百万计的人来说，通过社会保险号码进行认证已经不起作用了。那么，为什么我们仍在使用一个依赖可泄露数据的信用体系呢？

征信系统已经坏了，而且已经坏了很长时间了。整个漏洞概念——黑客窃取公司持有的数据进行身份盗窃——是一个失败的身份模型的结果，而这个模型早已过时。很容易将Equifax视为问题所在，它对违规行为（以及可能的内幕交易）的处理不力肯定无济于事。但问题比任何一家公司都严重。在一个信息泛滥的世界里，我们仍然依赖于一小部分敏感数据来保护我们不受欺诈，当这些数据泄露出去时，就会把负担推到普通消费者身上。当数据已经被一次又一次地泄露时，我们将其视为私有数据。这个体系已经到了崩溃的地步。是时候把一切都烧了重新开始了。

从最基本的意义上讲，信用社是一种信誉服务。你提交某人的名字，然后拿回一份报告，说明他们这些年来借的所有钱，以及这些钱是如何偿还的。如果你决定是否借钱给某人，那么这是很有价值的信息，因此企业（或他们的客户）通常愿意为此付出代价。在这种情况下，放贷人面临的最大风险是一个冒名顶替者，他把别人的账记下来，然后逃之夭夭。因此，在这一过程中，信贷局也成为了一种身份识别服务。连同潜在客户的名字，他们要求一个社会保险号码，如果这些东西不匹配，他们知道他们在处理欺诈。

这是一种糟糕的身份管理方式。从远处看，社保号码有点像密码。但是您可以更改密码，并且不应该在每个服务中使用相同的密码。为了更专业一点，您可以散列密码，这样服务就可以验证您的身份，而无需保留您的确切密码。现在，我一方面可以计算我的Gmail密码存在于任何地方的数量，而我从12岁起就把我的社会保险号码写在表格上。到现在，有上百家机构都有，从老工作到老牙医。这个数字永远不会被骗子所控制。这个系统从一开始就注定要失败。

更糟糕的是，所有这些信息通常都是在未经您同意的情况下共享的。Equifax、TransUnion和益百利这三家大型信贷机构将其客户视为检查客户的企业，而不是他们自己。他们担心让银行和汽车经销商高兴，但目标本身就是事后诸葛亮。因此，即使是基本的误差也可能持续多年，在三大统计局之间来回波动(例如，说服信贷局相信你没有死，比你想象的要困难得多。）有一些法规旨在解决这个问题——最著名的是《公平信用报告法》——但它仍然是一个极其笨拙的体系，普通消费者对自己的形象几乎没有意识或控制。

这些问题都不容易解决，但有很多更好的方法。例如，让你的信用更容易冻结将是一个良好的开端。特定于信用卡的PIN码是业内最接近双因素认证的东西，但它们仍然很少见，即使是在像这样的重大漏洞之后。除此之外，无论是通过硬件令牌还是生物识别技术，互联网上都充满了更强大的登录系统。由于信用报告机构的垄断，我们还没有将这些方法应用到信用卡的注册过程中。它仍然是诈骗最容易的途径之一，也是低级别网络犯罪背后的驱动力之一。

我不知道答案是什么。我相信Facebook、Google和PayPal都会很乐意接手这些信用机构的业务，对此我们确实有理由保持警惕。有些人会告诉你，我们应该把它都放在一个区块链上，分散系统，根据需要查询离散的信息片段。新的解决方案带来了新的问题，而且没有完美的答案。但周四的违约事件应该让我们清醒地认识到，这一体系已从根本上被打破，我们有多么迫切需要更换它。违规不仅仅是安全故障；他们是身份系统崩溃的必然结果。是时候把它撕碎重新开始了。