Equifax公司（EFX）于2017年9月7日宣布，其1.43亿客户受到5月中旬至7月期间发生的黑客攻击的影响。在接下来的几周里，这一数字猛增至1.455亿人，然后在2018年3月1日，这家公司表示，已经确认了240万其他受害者。

当天收盘后，公司公布了第四季度和全年财报。该公司第四季度收入同比增长5%，达到8.385亿美元。本季度净收入同比增长40%，达到1.723亿美元。与2016年相比，全年收入和利润也有所增长：收入增长7%至34亿美元，净收入增长20%至5.873亿美元。该公司表示，扣除保险赔付，黑客攻击在第四季度和全年分别造成2650万美元和1.14亿美元的损失。该股收盘时下跌1.3%，与标准普尔500指数持平，截至发稿时，盘后交易上涨0.6%。

根据Equifax的数据，多达20.9万名客户的信用卡号码被曝光，涉及18.2万名美国消费者的争议文件（包括个人信息）被泄露。英国消费者也受到了违约的影响；有可能是一些加拿大人妥协了。据《华尔街日报》援引一位未透露姓名的消息人士的话报道，1090万美国人的驾照数据在此次泄密中被盗。

该公司从7月29日就知道了这起袭击事件，但等了一个多月才向公众发出警报。9月20日，据报道，由Equifax签约的FireEye公司（FEYE）子公司Mandiant估计，违约事件至少可以追溯到3月10日。

美国联邦调查局（FBI）正在调查这起袭击的源头，但据彭博社（Bloomberg）报道，与早些时候针对人事管理办公室（Office of Personnel Management）和安歌公司（Anthem Inc.）的袭击相似之处表明，袭击者可能是国家资助的，也许是中国人。Equifax客户的信息没有出现在黑市上，这也表明黑客不仅仅是罪犯。彭博社还报道说，袭击者的目标是特定的个人，可能是因为他们的财富或情报价值。

考虑到美国的成年人口约为2.5亿，你很有可能会受到这个漏洞的影响。也有可能你已经是欺诈的受害者，因为攻击开始近六个月前。

总部位于亚特兰大的Equifax是三大消费信贷报告机构之一，另外两家是益百利（Experian PLC）（伦敦：EXPN）和TransUnion（TRU），它收集的数据包括社会保险号码、信用卡号码、驾照号码、租金和公用事业费支付信息以及人口统计数据。因为Equifax的模式主要是企业对企业的模式，所以它的许多客户都不知道他们的数据是由公司存储的。除了完全避免金融和信贷系统之外，没有直接的方法可以选择不让Equifax存储个人数据。

如何检查你是否受到影响

Equifax已经建立了一个网站，你可以通过提供你的姓氏和社会保险号码的最后六位数字来检查你的信息是否被泄露。这个网站受到了强烈的批评，我们删除了这个链接，因为它的安全性有问题。它是使用现成的博客平台WordPress建立的。它位于Equifax主站点的一个单独的域中。该公司忽略了注册类似的网址，这些网址可能被用于网络钓鱼攻击；一个白帽黑客建立了这样一个网站来证明这一点，一个官方的Equifax账号在推特上发布了这个假冒网站的链接。不止一次。

Equifax为客户（无论是否受到影响）提供了以下服务，称之为TrustedID Premier：Equifax信用报告的副本、所有三大信用机构的信用监控和自动警报、阻止第三方访问Equifax信用报告的能力（例外）、社会保险号码监控，还有100万美元的身份盗窃保险。申请截止日期为2017年11月21日。

该公司表示，这些服务都是免费的，但对信用档案进行安全冻结一开始并不是免费的，至少不是对所有人都免费。9月8日，当我试图冻结Equifax的信用档案时，该公司的网站上说，这项服务将花费3美元，并要求提供信用卡信息来处理付款。

屏幕抓取www.freeze.equifax.com （美国东部时间2017年9月8日上午11:46）。

作为一名纽约居民，我可以免费冻结我的益百利档案。TransUnion的网站一开始无法处理这个请求——可能是流量增加的征兆——但后来允许我免费冻结。

Equifax的一位发言人在9月14日的一份电子邮件声明中告诉Investopedia，该公司将免除冻结信用档案的所有费用，并将在黑客攻击公开后自动退还为此付费的客户。一个新的担忧——以及明显的安全漏洞——现在已经出现在该公司发给冻结其信用报告的客户的PIN上。这些PIN允许客户解冻信用报告，遵循易于识别的模式。这位发言人说，有这些问题的客户必须拨打866-349-5191与现场代理通话。

如果你在报告黑客攻击后得到一个密码，你的密码可能是有问题的密码之一。把它修好并不容易。9月15日上午，12个电话接通后，有8个占线信号，4个完全静音。

TrustedID Premier services Equifax列表仅免费提供一年。Equifax的一位发言人告诉Investopedia，当客户注册该服务时，公司不会要求提供信用卡信息，公司不会自动续费或收取费用。Equifax的信用监控标准费率是每月17美元。

如果你受到影响怎么办

NerdWallet的个人理财作家Liz Weston对受Equifax违约影响的人有以下建议，她在电子邮件中与Investopedia分享了这一建议：“Equifax将联系受害者并向他们提供信用监控。受害者应确保同意监测不会妨碍他们在路上提起诉讼或其他行动。”

最初，TrustedID Premier的服务条款页面（存档版本）确实要求用户放弃对Equifax提起集体诉讼的权利：“通过同意将您的索赔提交仲裁，您将丧失提起或参与任何集体诉讼（无论是作为指定原告还是集体成员）或分享任何集体诉讼裁决（包括尚未认证的集体索赔）的权利，即使索赔所依据的事实和情况已经发生或存在。”在遭到强烈反对后，该公司的常见问题页面被更新，称该条款适用于TrustedID Premier服务，而不是黑客攻击。截至9月12日上午，服务条款不再包括仲裁条款。

韦斯顿说，受影响的客户应该考虑冻结他们在所有三大银行的信用报告。如上所述，信贷局可以收取启动冻结的费用。当你需要信用检查（例如申请**服务）时，解冻账户也可能要收费。这些费用一般不到10美元，但可以加起来。韦斯顿指出，另一种选择是将欺诈警报放在你的信用报告在三个信贷局。

艾奎法克斯的回答

Equifax当时的董事长兼首席执行官Richard Smith在黑客攻击后表示，这“对我们公司来说显然是一个令人失望的事件，他于9月26日卸任，2017年将不再领取奖金。继首席安全官苏珊·莫尔丁和首席信息官大卫·韦伯于9月14日卸任之后，他又离职了。

在Equifax内部发现黑客攻击的几天之后，在向公众披露黑客攻击之前，Equifax的首席财务官John Gamble、劳动力解决方案总裁Rodolfo Ploder和美国信息解决方案总裁Joseph Loughran**了Equifax的股票。Equifax在一份声明中说，这些高管在**股票时并不知道违规行为。Gamble、Ploder和Loughran三家公司的销售额合计接近180万美元。

截至2月28日，Equifax的股价已从9月7日收盘（黑客攻击宣布前）下跌20.1%，至113.00美元。经过几次推迟后，Equifax表示，将在3月1日收盘后公布第四季度盈利。

让诉讼开始吧

路透社9月11日报道称，美国**已对Equifax提起30多起诉讼，其中许多是集体诉讼。几起指控违反证券法；其他人指责TrustedID向受数据泄露影响的客户推销昂贵的服务。5名犹他州居民向美国地方**起诉该公司未能保护客户的敏感数据。该诉讼要求赔偿50亿美元的金钱损失，并要求实施更严格的行业标准。

一些受影响的客户正在采取一种不太传统的途径寻求Equifax的追索权。据《边缘报》报道，DoNotPay chatbot在州小索赔**提供了协助，最高处罚范围为2500至25000美元。根据Verge的说法，bot只能为诉讼生成文书，而不是实际提交或出庭。

美国联邦调查局（FBI）和亚特兰大的美国检察官约翰·霍恩（JohnHorn）于9月18日宣布对这一违规行为展开刑事调查。消费者金融保护局（C***umer Financial Protection Bureau）和34个州的总检察长正在进行调查。

史密斯先生去华盛顿

10月3日，前首席执行官理查德·史密斯在众议院数字商务和消费者保护小组委员会作证。他多次为Equifax未能保护消费者数据道歉，并面临与违规和Equifax回应有关的一系列问题。证词公布后，该公司股价上涨，但仍远低于黑客事件披露前的交易水平。

在回答有关TrustedID Premier服务条款中最初包含的争议性仲裁条款的问题时，史密斯说，“样板”条款从未打算适用于违约行为，并称其包含为“错误”。他不会对其他Equifax服务的类似条款说同样的话，他称之为“标准”

时间可疑的高管股票销售也受到了关注：伊利诺伊州民主党众议员沙考斯基（Jan Schakowsky）表示，**股票“没有通过嗅觉测试”，但史密斯坚称，“据我所知，他们当时并不知道”违规行为。

Smith将此次漏洞描述为人为错误和技术故障的结果：负责确保修补Apache Struts软件（攻击者利用了一个众所周知的漏洞）的人员未能做到这一点，而一个本可以提醒公司该错误的扫描仪也失败了。

该公司对危机的反应也受到了批评：设立了一个网址可疑的WordPress网站，未能保护类似的域名（甚至将客户引导到其中一个域名），未能为呼叫中心配备足够的人手，并普遍给人留下这样的印象：该公司的存在是为了收集信息，保护和**敏感数据——对其数据库遭到网络攻击完全没有准备。俄克拉荷马州共和党众议员马克韦恩·穆林（Markwayn Mullin）对史密斯说，他的回答应该像是拉响了火警：“马上就要响了。”史密斯回答说，他的团队“遵守了协议”。几位代表提到，史密斯在一次演讲中把欺诈描述为“巨大的机会”和“巨大的风险”，8月份，在他知道违规后，他开始了“业务增长”。

史密斯拒绝回答有关袭击来源的问题，包括是否可能是国家行为体。他只是说联邦调查局正在进行调查。他在任职期间为Equifax在网络安全方面的投资辩护说，当他12年前上任时，几乎没有在数据保护方面的投资。史密斯说，公司花了25亿美元，聘请了一个225人的团队来保护公司的数据，并将公司IT预算的10-14%用于网络安全。

一些代表表示，这一违约行为引发了有关信贷监管行业的作用和消费者权利的根本问题。”如果我想选择我们的Equifax呢。史密斯回答说，“这需要围绕信用报告机构的角色展开更广泛的讨论。”纽约民主党众议员通科也表达了这种看法，他指出自己并非真正的“客户”，从未选择与Equifax做生意他问道：“为什么允许这家公司继续存在？”。在不同的场合，史密斯质疑社会保险号码作为证明身份的一种方式的价值，并含糊其辞地提到将“权力还给消费者”

当天最大的问题来自加州民主党人松井：“我拥有我的数据吗？”史密斯无法回答。