Equifax公司（EFX）於2017年9月7日宣佈，其1.43億客戶受到5月中旬至7月期間發生的駭客攻擊的影響。在接下來的幾周裡，這一數字猛增至1.455億人，然後在2018年3月1日，這家公司表示，已經確認了240萬其他受害者。

當天收盤後，公司公佈了第四季度和全年財報。該公司第四季度收入同比增長5%，達到8.385億美元。本季度凈收入同比增長40%，達到1.723億美元。與2016年相比，全年收入和利潤也有所增長：收入增長7%至34億美元，凈收入增長20%至5.873億美元。該公司表示，扣除保險賠付，駭客攻擊在第四季度和全年分別造成2650萬美元和1.14億美元的損失。該股收盤時下跌1.3%，與標準普爾500指數持平，截至發稿時，盤後交易上漲0.6%。

根據Equifax的資料，多達20.9萬名客戶的信用卡號碼被曝光，涉及18.2萬名美國消費者的爭議檔案（包括個人資訊）被洩露。英國消費者也受到了違約的影響；有可能是一些加拿大人妥協了。據《華爾街日報》援引一位未透露姓名的訊息人士的話報道，1090萬美國人的駕照資料在此次洩密中被盜。

該公司從7月29日就知道了這起襲擊事件，但等了一個多月才向公眾發出警報。9月20日，據報道，由Equifax簽約的FireEye公司（FEYE）子公司Mandiant估計，違約事件至少可以追溯到3月10日。

美國聯邦調查局（FBI）正在調查這起襲擊的源頭，但據彭博社（Bloomberg）報道，與早些時候針對人事管理辦公室（Office of Personnel Management）和安歌公司（Anthem Inc.）的襲擊相似之處表明，襲擊者可能是國家資助的，也許是中國人。Equifax客戶的資訊沒有出現在黑市上，這也表明駭客不僅僅是罪犯。彭博社還報道說，襲擊者的目標是特定的個人，可能是因為他們的財富或情報價值。

考慮到美國的成年人口約為2.5億，你很有可能會受到這個漏洞的影響。也有可能你已經是欺詐的受害者，因為攻擊開始近六個月前。

總部位於亞特蘭大的Equifax是三大消費信貸報告機構之一，另外兩家是益百利（Experian PLC）（倫敦：EXPN）和TransUnion（TRU），它收集的資料包括社會保險號碼、信用卡號碼、駕照號碼、租金和公用事業費支付資訊以及人口統計資料。因為Equifax的模式主要是企業對企業的模式，所以它的許多客戶都不知道他們的資料是由公司儲存的。除了完全避免金融和信貸系統之外，沒有直接的方法可以選擇不讓Equifax儲存個人資料。

如何檢查你是否受到影響

Equifax已經建立了一個網站，你可以透過提供你的姓氏和社會保險號碼的最後六位數字來檢查你的資訊是否被洩露。這個網站受到了強烈的批評，我們刪除了這個連結，因為它的安全性有問題。它是使用現成的部落格平臺WordPress建立的。它位於Equifax主站點的一個單獨的域中。該公司忽略了註冊類似的網址，這些網址可能被用於網路釣魚攻擊；一個白帽駭客建立了這樣一個網站來證明這一點，一個官方的Equifax賬號在推特上釋出了這個假冒網站的連結。不止一次。

Equifax為客戶（無論是否受到影響）提供了以下服務，稱之為TrustedID Premier：Equifax信用報告的副本、所有三大信用機構的信用監控和自動警報、阻止第三方訪問Equifax信用報告的能力（例外）、社會保險號碼監控，還有100萬美元的身份盜竊保險。申請截止日期為2017年11月21日。

該公司表示，這些服務都是免費的，但對信用檔案進行安全凍結一開始並不是免費的，至少不是對所有人都免費。9月8日，當我試圖凍結Equifax的信用檔案時，該公司的網站上說，這項服務將花費3美元，並要求提供信用卡資訊來處理付款。

螢幕抓取www.freeze.equifax.com （美國東部時間2017年9月8日上午11:46）。

作為一名紐約居民，我可以免費凍結我的益百利檔案。TransUnion的網站一開始無法處理這個請求——可能是流量增加的徵兆——但後來允許我免費凍結。

Equifax的一位發言人在9月14日的一份電子郵件宣告中告訴Investopedia，該公司將免除凍結信用檔案的所有費用，並將在駭客攻擊公開後自動退還為此付費的客戶。一個新的擔憂——以及明顯的安全漏洞——現在已經出現在該公司發給凍結其信用報告的客戶的PIN上。這些PIN允許客戶解凍信用報告，遵循易於識別的模式。這位發言人說，有這些問題的客戶必須撥打866-349-5191與現場代理通話。

如果你在報告駭客攻擊後得到一個密碼，你的密碼可能是有問題的密碼之一。把它修好並不容易。9月15日上午，12個電話接通後，有8個佔線訊號，4個完全靜音。

TrustedID Premier services Equifax列表僅免費提供一年。Equifax的一位發言人告訴Investopedia，當客戶註冊該服務時，公司不會要求提供信用卡資訊，公司不會自動續費或收取費用。Equifax的信用監控標準費率是每月17美元。

如果你受到影響怎麼辦

NerdWallet的個人理財作家Liz Weston對受Equifax違約影響的人有以下建議，她在電子郵件中與Investopedia分享了這一建議：“Equifax將聯絡受害者並向他們提供信用監控。受害者應確保同意監測不會妨礙他們在路上提起訴訟或其他行動。”

最初，TrustedID Premier的服務條款頁面（存檔版本）確實要求使用者放棄對Equifax提起集體訴訟的權利：“透過同意將您的索賠提交仲裁，您將喪失提起或參與任何集體訴訟（無論是作為指定原告還是集體成員）或分享任何集體訴訟裁決（包括尚未認證的集體索賠）的權利，即使索賠所依據的事實和情況已經發生或存在。”在遭到強烈反對後，該公司的常見問題頁面被更新，稱該條款適用於TrustedID Premier服務，而不是駭客攻擊。截至9月12日上午，服務條款不再包括仲裁條款。

韋斯頓說，受影響的客戶應該考慮凍結他們在所有三大銀行的信用報告。如上所述，信貸局可以收取啟動凍結的費用。當你需要信用檢查（例如申請**服務）時，解凍賬戶也可能要收費。這些費用一般不到10美元，但可以加起來。韋斯頓指出，另一種選擇是將欺詐警報放在你的信用報告在三個信貸局。

艾奎法克斯的回答

Equifax當時的董事長兼執行長Richard Smith在駭客攻擊後表示，這“對我們公司來說顯然是一個令人失望的事件，他於9月26日卸任，2017年將不再領取獎金。繼首席安全官蘇珊·莫爾丁和資訊長大衛·韋伯於9月14日卸任之後，他又離職了。

在Equifax內部發現駭客攻擊的幾天之後，在向公眾披露駭客攻擊之前，Equifax的首席財務官John Gamble、勞動力解決方案總裁Rodolfo Ploder和美國資訊解決方案總裁Joseph Loughran**了Equifax的股票。Equifax在一份宣告中說，這些高管在**股票時並不知道違規行為。Gamble、Ploder和Loughran三家公司的銷售額合計接近180萬美元。

截至2月28日，Equifax的股價已從9月7日收盤（駭客攻擊宣佈前）下跌20.1%，至113.00美元。經過幾次推遲後，Equifax表示，將在3月1日收盤後公佈第四季度盈利。

讓訴訟開始吧

路透社9月11日報道稱，美國**已對Equifax提起30多起訴訟，其中許多是集體訴訟。幾起指控違反證券法；其他人指責TrustedID向受資料洩露影響的客戶推銷昂貴的服務。5名猶他州居民向美國地方**起訴該公司未能保護客戶的敏感資料。該訴訟要求賠償50億美元的金錢損失，並要求實施更嚴格的行業標準。

一些受影響的客戶正在採取一種不太傳統的途徑尋求Equifax的追索權。據《邊緣報》報道，DoNotPay chatbot在州小索賠**提供了協助，最高處罰範圍為2500至25000美元。根據Verge的說法，bot只能為訴訟生成文書，而不是實際提交或出庭。

美國聯邦調查局（FBI）和亞特蘭大的美國檢察官約翰·霍恩（JohnHorn）於9月18日宣佈對這一違規行為展開刑事調查。消費者金融保護局（C***umer Financial Protection Bureau）和34個州的總檢察長正在進行調查。

史密斯先生去華盛頓

10月3日，前執行長理查德·史密斯在眾議院數字商務和消費者保護小組委員會作證。他多次為Equifax未能保護消費者資料道歉，並面臨與違規和Equifax回應有關的一系列問題。證詞公佈後，該公司股價上漲，但仍遠低於駭客事件披露前的交易水平。

在回答有關TrustedID Premier服務條款中最初包含的爭議性仲裁條款的問題時，史密斯說，“樣板”條款從未打算適用於違約行為，並稱其包含為“錯誤”。他不會對其他Equifax服務的類似條款說同樣的話，他稱之為“標準”

時間可疑的高管股票銷售也受到了關註：伊利諾伊州民主黨眾議員沙考斯基（Jan Schakowsky）表示，**股票“沒有透過嗅覺測試”，但史密斯堅稱，“據我所知，他們當時並不知道”違規行為。

Smith將此次漏洞描述為人為錯誤和技術故障的結果：負責確保修補Apache Struts軟體（攻擊者利用了一個眾所周知的漏洞）的人員未能做到這一點，而一個本可以提醒公司該錯誤的掃描器也失敗了。

該公司對危機的反應也受到了批評：設立了一個網址可疑的WordPress網站，未能保護類似的域名（甚至將客戶引導到其中一個域名），未能為呼叫中心配備足夠的人手，並普遍給人留下這樣的印象：該公司的存在是為了收集資訊，保護和**敏感資料——對其資料庫遭到網路攻擊完全沒有準備。俄克拉荷馬州共和黨眾議員馬克韋恩·穆林（Markwayn Mullin）對史密斯說，他的回答應該像是拉響了火警：“馬上就要響了。”史密斯回答說，他的團隊“遵守了協議”。幾位代表提到，史密斯在一次演講中把欺詐描述為“巨大的機會”和“巨大的風險”，8月份，在他知道違規後，他開始了“業務增長”。

史密斯拒絕回答有關襲擊來源的問題，包括是否可能是國家行為體。他只是說聯邦調查局正在進行調查。他在任職期間為Equifax在網路安全方面的投資辯護說，當他12年前上任時，幾乎沒有在資料保護方面的投資。史密斯說，公司花了25億美元，聘請了一個225人的團隊來保護公司的資料，並將公司IT預算的10-14%用於網路安全。

一些代表表示，這一違約行為引發了有關信貸監管行業的作用和消費者權利的根本問題。”如果我想選擇我們的Equifax呢。史密斯回答說，“這需要圍繞信用報告機構的角色展開更廣泛的討論。”紐約民主黨眾議員通科也表達了這種看法，他指出自己並非真正的“客戶”，從未選擇與Equifax做生意他問道：“為什麼允許這家公司繼續存在？”。在不同的場合，史密斯質疑社會保險號碼作為證明身份的一種方式的價值，並含糊其辭地提到將“權力還給消費者”

當天最大的問題來自加州民主黨人松井：“我擁有我的資料嗎？”史密斯無法回答。