▌作者:Catalin Cimpanu
▌翻译:360代码卫士团队
艾可飞 (Equifax) 是美国最大的消费者信用卡报告和其它金融服务提供商之一。它在9月7日(当地时间)宣布称黑客席卷超过1.43亿用户的数据。
被盗数据的数量之大让人吃惊,而受影响用户更需要担心的是黑客盗取的信息内容。艾可飞公司发布的一份新闻指出,攻击者盗取了用户的姓名、社保号码、出生日期、住址,甚至一些人的驾驶证也被盗。另外,黑客还可访问约20.9万美国用户的信用卡号码,以及访问约18.2万用户的带有个人可识别信息的信用纠纷文档。
此外,艾可飞表示黑客还对英国和加拿大居民的个人详情拥有有限的访问权限,但并未披露受影响的用户数量。
黑客攫取高敏感信息
在多数数据泄露实践中,黑客只能访问有限的信息,如姓名、住址或信用卡号。然而,如此规模和深度的敏感数据泄露事件是一个罕见事件,也是危险事件。
任何拥有从艾可飞公司盗取的信息的黑客都能很轻松地构建出目标的详细资料并实施欺诈性交易、实施非法的纳税申报、劫持在线账户等等。
艾可飞犯的另外一个重大错误是未马上通知用户。该公司表示在7月29日发现遭黑客入侵,但足足等了一个多月才发布公开警告信息以便用户冻结资产或采取预防措施。
High-Tech Bridge公司的CEO兼创始人Ilia Kolochenko指出,这可能是今年破坏力最大的灾难性数据泄露事件,它能摧毁对在线金融空间本已摇摇欲坠的信任。公布到来得如此迟让人充满疑问。可能披露得晚是为了照顾调查的利益,但它会给受害者带来危险。
艾可飞提供受影响查询服务
艾可飞公司的首席执行官RickSmitch在一个YouTube视频中对安全事件表示抱歉并为所有并非只有受影响的美国公民提供为期一年的信用卡免费监控服务。
但实际上该服务并不慷慨。1.43亿用户相当于约45%的美国总人口,但如果排除儿童、老年人和其它不活跃年龄段的人,那么就是能使用信用卡的几乎所有人口数量,也就是说多数美国消费者遭受影响。
艾可飞被指利用安全事件推销服务器
艾可飞已建立一个网页,受影响用户可通过该网站验证自己是否受影响。另外,用户还可在网站上注册免费的信用卡监控服务。
受影响用户享受优先权,可立即注册和接受信用卡免费监控服务。其它为受影响用户会享受为期一年的信用卡免费监控服务,但起始时间推后。同时,艾可飞鼓励这些用户注册信用卡监控商业计划,以防万一。换句话说,艾可飞利用自己遭受入侵这起事件在销售信用卡监控服务。
由营销错误产生的问题接踵而至
这个营销错误带来其它多种技术问题。例如,艾可飞公司的泄露验证网站使用了并非保证站点安全的最佳技术。由于该技术能让用户通过查看自己的姓名和社保号最后六位数字的方式验证是否受影响,因此该站点很快被OpenDNS标为钓鱼站点。当该站点推出时,还存在SSL问题,也因此被OpenDNS标记为威胁。
艾可飞站点的主站也同样易受去年报告过的一个XSS漏洞影响。艾可飞的其中一个登录页面展示出能用于了解其内部网络如何运作的调试bug。
在其官方声明中,艾可飞表示入侵是在“犯罪分子利用了一个美国网站申请漏洞获取某些文件”后发生的。
技术如此逊色,怪不得艾可飞的首席信息安全官想要保持低调(其LinkedIn页面突然消失)。
好在艾可飞正在招聘新员工来提振其安全部门,但或许太晚了。
内部交易所致?
除了美国联邦贸易委员会找上门和要求提起集体诉讼的律师紧追不舍外,艾可飞可能也会被证券交易委员会找上门来。
就在数据泄露事件新闻发布后不久,彭博社就报道称三名艾可飞高管出售价值近180万美元的公司股票。
交易日期恰好就是在公司发现数据泄露事件后不久。在公布的声明中,艾可飞公司表示出售股票的高管并不知道数据泄露事件,而这个解释难以服众。
上周五,艾可飞公司的股价在美国股票市场应声大跌。
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
