编者按
美国三大信用局之一的Equifax(艾克发)拥有超过一亿九千万美国人和一千五百万加拿大人的消费者个人资料档案,其客户群总数超过十万个企业。Equifax 公司的服务集中在信用服务和保险信息服务两个方面。最近由于其网站应用程序上存在漏洞导致该公司的大量数据外泄,波及美国1.43亿消费者。今天界小编将向您具体介绍一下该事件。
艾克发公司在上周四宣称:“网络犯罪分子未经授权就可以使用其公司的文件,这可能会影响到美国的1.43亿的消费者”。然而美国的消费者似乎是此次网络攻击事件中的靶子,该公司的调查还发现,在英国和加拿大的一些居民未经授权就可以使用“有限的个人信息”。
在公司发现该漏洞后,昨晚的披露让人们对三名艾克发公司的高级管理人员在3天内抛售股票的时机持谨慎态度。根据一篇彭博报道,首席财务总监约翰.博奇、美国的信息解决方案总裁约瑟夫.洛布兰和劳动力解决方案总裁罗多尔福.普洛德抛售了超过180万美元(140万欧元)的股份,其中没有一个似乎是归因于一个预先安排的交易计划。
社保号码、出生日期、地址和驾驶证号码是在事件所访问的信息,该事件发生在5月中旬到2017年7月之间。黑客还获取了大约209000名美国消费者的信用卡信息和纠纷文件,它包括大约182000名消费者的个人识别信息。艾克发公司在七月29号就得知了该数据泄露事件,据他所说是利用一个美国网站应用程序的结果,并且它还让一个外部安全公司来取证。
AsTech公司的首席安全分析师内森.温兹勒说:“也应该注意到的是,更普及的社交工程风格的攻击(比如一个网络钓鱼电子邮件破坏了一名员工的电脑系统或一名恶毒的内部人员泄露了数据)发生的时候这样的数据外泄事件不会发生。更确切地说这是由于在他们其中的一个网站的一个应用程序存在有漏洞”。这是我们在安全共同体内连续看到增加的事情,随着组织在保护服务器、工作站和笔记本电脑方面做的越来越好,网络犯罪分子只是转向下一个最容易的目标,最常见的就是组织的网络应用程序。
温兹勒认为不管哪个行业,仅仅保护内部系统已经是不够的了。他说:“越来越多的人认为,一个全面的安全战略绝对是必要的,它涵盖了教育、针对服务器和其他资产的技术安全控制,网络安全和较强的软件开发实践会在开发过程中创建安全的应用程序,而不是在发生问题后才去处理。黑客会找到最简单的方法来盗取数据,组织必须更加勤奋地为其技术基础设施和开发工作的各个方面提供安全保障”。
Vectra公司的安全分析主任克里斯.莫拉莱斯表示同意,并在一封电子邮件中评论说:企业必须意识到,他们无法通过仅仅把钱花在防入侵解决方案上来解决网络安全问题,相反地,他们需要将投资转移到当前高级攻击者所使用的侦测和回应解决方案上来。网络攻击者似乎通过利用一个网络应用程序上的漏洞,从而获得了立足点。从那,他们最有可能通过网络升级特权,滥用证书和管理协议,并横向移动,而企业很少利用必要的工具来检测。
对于Varonis的技术专员布赖恩.维奇来说,问题是关于知道有价值的信息在哪里和谁访问了它。他说:“艾克发称,黑客从5月份至7月份获取了某些文件。他们访问这些文件的时间是2个半月。他们的数据安全似乎集中在他们的数据库上,然而他们确不保护他们的网站和档案。太多有重要信息的公司,可以让黑客进入同样没有保护措施的文件。再一次,我们看到一个组织没有关注他们的数据是如何被访问的。这表明该公司并不太清楚他们最敏感的数据在哪并且它们很可能没有监控其用户在做什么。你抓不到你不能看到的东西,并且当你对谁访问了这样的数据视而不见时,发生外泄事件是不可避免的”。
CYBRIC公司的首席技术官迈克.凯尔说:“这次大规模的、不幸的数据泄露事件再一次放大了对于更好的应用程序安全测试并保证在一个连续的基础上进行检测。当这些类型的漏洞变得越来越少的时候,现状就不存在了”。
Skyhigh网络公司的欧洲首席发言人尼格尔.霍索恩认为事件响应现在是关键的。他评论说:“所有的企业都必须考虑在类似的情况下他们会采取的步骤,以调查一次数据泄露,追踪丢失的数据,并为客户制定一个沟通计划。没有预先准备的并经受过测验的事件应急计划会造成公开数据丢失的延迟,而当信息最终被公布的时候,这只会让公司进一步遭到批评并声誉受损。此外,公司必须确保他们知道所有可能与之共享数据的外包商、商业伙伴或云服务,因为任何一个类似的外泄事件都将会对这一链条当中的一些组织产生影响”。
艾克发公司已经承认,这一事件对于一家负责处理并保护信息的公司来说是一个令人感到失望情况。艾克发公司的董事长兼首席执行官理查德.F.史密斯说:“这显然对于我们公司来说是一个令人失望的事件,并且它是一个打击我们是谁和我们是做什么中心地带的一个事件。我向消费者和我们的商业客户表示歉意,并对造成的结果感到沮丧。我们为我们自己成为管理和保护数据的一个领导者而感到自豪,并且我们正在对我们的整体安全操作进行一次彻底的审查。我们还专注于保护消费者,并已发展了一个全面的服务组合,来支持所有的美国消费者,不管他们是否受到这一事件的影响”。
该信用信息公司已经建立了一个专门的网站来帮助消费者确定他们的信息是否在受影响的信息当中。消费者可以在网站上注册ID盗窃保护和信用监控服务。艾克发还向消费者发出了通知,他们的信用卡号码或含有PII的争议文件受到了本次泄露事件的影响。
信用卡.com网站的高级行业分析师马特.舒尔茨建议消费者要勤奋,不仅仅是在短时间内,他指出,坏人可以是很有耐心的,所以在这个故事不再是头条新闻之后,保持警惕是很重要的。舒尔茨说:“我们不认为需要每天查看Facebook或Instagram 10次,但是许多人认为,要求每周查看一次你的银行对账单,实在是太过分了。其实这并不过分,很容易做到的事情,这并不会花很长的时间并在它们失控之前,能够帮助你发现问题”。
美国新思科技公司的高级副总裁兼总经理安德烈亚斯.库尔曼认为,该泄露事件也应该从一开始就让人们把注意力转移到确保软件建立安全的更广泛的问题上来。他说:“我们早已习惯了数据泄露,然而像这样的事件和最近勒索软件的爆发使人们意识到网络攻击的范围和影响正在加剧。我们比以往任何时候都更依赖于软件,当软件或那些维护软件的人受到损害时,其后果正变得越来越具有破坏性。当务之急是组织在安全问题方面要采取一个更积极和主动的态度并且从构建更安全的软件开始”。
他的同事Synopsys公司的安全技术副总裁加里.麦格劳博士赞同这一观点,评论说:如果你想知道为什么软件安全是很重要的,这是另一个为什么的教训。当一个大型数据库通过各种应用程序与互联网相连,而这些应用程序不是被设计并被应用来确保安全的时候,像艾克发公司的数据泄露事件是会发生的。
