2017年9月初的一个安静的下午，Equifax披露了一个非同寻常的安全漏洞，据估计，该漏洞已影响到全球近2亿人。鉴于该公司在7月份首次发现了这一漏洞，这本应为所有受影响的个人准备应对和解决方案提供充足的时间。相反，Equifax继续向世界提供一个完美的例子，说明如何不处理重大安全漏洞。

从数据泄露的巨大范围、令人困惑的法律术语以及可怕的不安全回复网站来看，Equifax拥有了一切。再加上有关内幕交易、沟通不善、股价下跌30%的指控，再加上进一步的数据泄露，这家公司似乎已经为自己的失宠做好了准备。好吧，作为一个信用报告机构，你从来没有明确同意把你的敏感数据交给可以拥有的优雅。

股权分置

Equifax的第一份声明说，多达1.44亿美国人的信用信息可能被泄露。其中包括姓名、地址、社会保险号码（SSN）、出生日期和财务记录。该公司还报告说，20.9万名美国消费者的信用卡号码也被列入了违规行为。此外，有189000人个人身份信息的争端记录也被泄露。

媒体的最初报道称受影响的个人是Equifax的客户。然而，您并不是Equifax、益百利、TransUnion或任何其他信用报告机构的真正客户。这些机构从许多不同的服务和金融产品提供商那里收集数据。然后数据被用来生成你的信用评分，使贷款人能够评估你构成的风险。申请贷款、信用卡或抵押贷款？这就是决定的方式。

影响评估和信任

为了补偿你丢失了近一半美国成年人的数据，Equifax建立了一个网站equifaxsecurity2017.com。在这里，您可以输入您的姓名和部分SSN，并找出您的详细信息是否在这些泄漏。此外，您还可以注册他们的服务TrustedID Premier。这是一个三局信用报告和SSN监测工具，补充美国消费者一年。

然而，在他们最初的披露中，以及之后的一个星期里，艾奎法克斯对细节却保持着明显的沉默。攻击类型、罪魁祸首以及为什么能够持续这么长时间而不被发现，仍然是一个秘密。

这让很多人怀疑艾奎法克斯一方是有罪的。六天后，在两党参议员的强烈**和干预下，Equifax终于承认，攻击使用了已知的Apache Strut漏洞（CVE-2017-5638）——该漏洞的补丁于2017年3月发布，比Equifax漏洞早了两个月。这证明了，就像今年早些时候的WannaCry一样，不更新软件会带来毁灭性的后果。

不仅仅是美国消费者

虽然从一开始就没有透露，Edimax被迫承认，英国和加拿大居民的“有限数量”的信息也被包括在违约中。多达4400万的英国消费者甚至不知道美国信用社有他们的数据。然而，英国电信（BT）、英国天然气公司（British Gas）和Capital One等公司都向他们提供了这一服务。信贷机构英国分行于9月15日星期五晚间宣布，400000名英国居民受到影响。这一企图掩盖消息的嫌疑暴露了一个持续了5年的“过程失败”。然而，没有提供英国或加拿大居民的指导。

equifax网站的困境

出于尚未解释的原因，Equifax推出了一个单独的网站来回应这一违规行为。鉴于该网站是为应对重大安全漏洞而建立的，您可以想象，会采取一切预防措施来确保该网站成为稳定的光辉灯塔。相反，大量的美国消费者希望查看他们的信息，这让他们不知所措。这使得许多人无法访问该网站，或加载其影响评估的结果。

即便如此，如果不是网站配置不好，访问该网站的人数可能会更多。在大多数人的书中，一个有可疑关键字的域外网站似乎是一个网络钓鱼骗局。OpenDNS似乎同意这一点，并阻止了许多用户访问该网站。为了增强讽刺意味，为了完成评估，你必须输入SSN的最后六位数字。这是同样的数据，Equifax已经证明他们不能保护！

无法验证的结果

在网站发布的几个小时内，有报道说你甚至不能相信他们的影响评估结果。多次输入相同的细节，对于你是否受到影响，会给出不同的答案。有些人甚至故意输入虚假信息。令人担忧的是，他们发现Equifax会告诉这个不存在的人他们的数据被泄露了。

如果您愿意接受您的数据事实上已经在违规中被泄露，Equifax会以一份关于违规的含糊声明向您致意，并鼓励您注册TrustedID Premier。考虑到Equifax是违规行为的源头，他们鼓励你注册一个****他们自己的欺诈保护服务似乎是不明智的。

那些注册了TrustedID Premier的人能够执行信贷冻结，并提供了一个确认PIN。但是，PIN似乎是执行冻结的时间戳。这将使PIN变得毫无用处——它很容易被猜到，允许任何人解锁你的信用冻结。尽管最初的否认，Equifax后来说，他们正在过渡到一种新的方法，将随机引脚生成。此外，他们将允许消费者要求一个新的PIN发送到他们的注册邮寄地址。

法律术语的崩溃

当Equifax首次推出equifaxsecurity2017网站时，TrustedID Premier的服务条款似乎暗示，如果您使用该服务，您将放弃参与未来针对公司的任何集体诉讼的权利。对于这种不公正的看法引起了轩然**，使得Equifax的问题在第二天得到了更新。他们现在说，仲裁条款不适用于违反担保的行为。

这并没有让那些不相信的人放心，他们可以理解，这导致了近一周后的另一份声明，声明他们“已经从TrustedID Premier使用条款中删除了该语言，它将不适用于针对网络安全事件提供的免费产品或与网络安全相关的索赔事件本身。仲裁语言将不适用于在语言被删除之前注册的任何消费者。”

执行任务

在Equifax声称完全是巧合的举动中，就在他们第一次发现漏洞的两天后，三名高管**了总计180万美元的股票。这一重大交易是在发现违规行为几天后，但在他们公开披露之前一个多月。如果这些人确实知道证券违规，那么他们就违反了内幕交易法。不管是有意还是无意，他们的及时**是幸运的。在撰写本文时，Equifax的股票自披露违约事件以来已经下跌了30%。

鉴于违规行为的高度敏感性质，许多受影响的个人对Equifax明显松懈的安全措施持批评态度，这是可以理解的。例如，《今日美国》报道说，在披露后的几天里，14个州对信用报告机构提起了23起诉讼。据彭博社报道，在俄勒冈州提起的集体诉讼要求赔偿高达70亿美元的损失。即使**判给这么一大笔钱，也相当于每人不到500美元。这是否足以弥补身份盗窃的终生风险？

DoNotPay bot的创建者Joshua Browder扩展了它的功能，简化了向小额索赔**申请与Equifax违约有关的损害赔偿的过程。这是令人钦佩的，并大大有助于使往往复杂的法律文件更容易消化。然而，一些报道称，DoNotPay机器人最初是为帮助你对抗停车罚款而开发的，它可以实现整个过程的自动化。正如TechCrunch所指出的，机器人真正做的只是帮助你完成最初的文书工作——你还得在法庭上打官司。

世界各地持续的头痛

如果对艾奎法克斯糟糕的安全措施还有任何疑问的话，那么艾奎法克斯阿根廷分部的一个例子很可能将其完全消除。KrebsOnSecurity首先报告称，一家名为Veraz（西班牙语中“真实”的意思）的员工用来解决信用纠纷的在线门户网站被发现易受攻击。您可能认为该漏洞是技术性的，但实际上，它是最基本的安全失败之一：错误的密码。admin/admin的用户名和密码组合非常简单，在很多情况下是默认的，它允许站点中的任何人登录到员工门户。

令人震惊的是，这允许您查看、编辑和删除100多名阿根廷Equifax员工的用户名和密码。在每种情况下，明文密码都与雇员的用户名相同。如果这还不够严重的话，网站的某个区域有715页关于Equifax记录的每个投诉或争议的详细报告。这些信息包括超过14000人的DNI（阿根廷的SSN等价物）——同样，全部是明文的。在接到KrebsOnSecurity的联系后，Equifax迅速将该网站离线，目前正在调查他们最新的安全失误。

你能做什么？

第一步是使用Equifax的网站来检查您的数据是否受到漏洞的影响。然而，由于结果可能不一致，最好假设你受到了影响。由于该公司现在已经澄清了它周围的语言，注册他们的TrustedPremier服务。这将允许您执行信贷冻结，并阻止任何人以您的名义开立信贷。考虑到泄漏中丢失的数据的敏感性，骗子有可能兜售他们的商品，因此要对社会工程和网络钓鱼欺诈保持警惕。

在许多数据泄露事件发生后，我们通常会建议您更改密码，开始使用密码管理器，注册HaveIBeenPwned，尽可能启用双因素身份验证，并改善您的网络卫生。虽然这些都不会直接保护您免受Equifax泄漏，但加强您的安全不会对您造成伤害。也许在这样的情况下，更值得一试身手，做一次全面的安全检查。

相等的

Equifax漏洞很可能是一年来最突出的安全事件，数据泄露和勒索软件攻击猖獗。与其他备受关注的安全事件一样，比如WannaCry和无休止的数据泄漏，Equifax漏洞的惊人性质也带来了一线希望。通过让公众关注数据安全、信用报告和企业不当行为，有机会讨论和缓解这些问题。许多美国参议员的强烈反应将有望确保这一违规行为不会消失在幕后。埃奎法克斯至少承认，需要进行一些人事变动——首席信息官和首席安全官因此“退休”。

尽管其知名度高、范围广，但仍然没有关于袭击者是谁的信息。就他们而言，Equifax在这件事上完全保持沉默——与他们管理不善的其他回应保持一致。就在泄密事件被公开几天后，一个组织出现，声称拥有这些数据，并要求支付600比特币的赎金。研究人员发现.onion网站的托管服务后，该网站立即被关闭。

另外，一个自称Equihax的组织也声称拥有这些数据，但没有提供可核实的证据。考虑到这些数据有多大的潜在利润空间，你可以肯定，黑客很快就会试图从中获利。

你受到Equifax安全漏洞的影响了吗？你认为艾奎法克斯是罪魁祸首吗？他们能做更多的事来保护你吗？请在评论中告诉我们！

图片来源：stevanovicigor/照片