Equifax因Struts漏洞未及时打补丁 面临4500亿美元集体诉讼赔偿

征信公司Equifax值不值得信任?个人数据放那里保不保险?这些问题的答案似乎越来越明朗了。该公司不仅遭受了史上最大数据泄露——1.43亿人的姓名、社会安全号、家庭住址等信息被黑，其各种安全漏洞还在不断被专家们指证。如一款检查用户是否被黑的工具并没有功效;一个信用监测网站似乎可以被黑。

Equifax是手机消费者金融数据的三家主流信用机构之一，上周刚刚公开了这起耸人听闻的大型数据泄露，据称除1.43亿美国消费者个人数据外，尚有不明数量的加拿大和英国客户的个人数据也受到了影响。

9月12日，因自身存储在Equifax数据库中的信息，于2017年5月1日至8月1日期间遭到非授权访问，加拿大受害者对Equifax提起了集体诉讼，称Equifax违反了服务协议，对他们的信息处理不周，侵犯了他们的隐私权，要求4500亿美元的赔偿金。有报道称，Equifax数据在暗网市场有售，但分析师认为现在还很难确认该事件背后主谋及其动机。

Equifax为美国消费者专门设立了一个有关该数据泄露信息发布的网站(www.equifaxsecurity2017.com/)，在新发布的“进展更新”帖中写道：

Equifax在主流独立网络安全公司辅助下，一直在紧锣密鼓地调查该入侵事件的范围，确认被读取的信息与受影响的人员。经调查，Equifax大规模数据泄露的原因，出在早该在攻击发生数周前就应修复的一个网站应用漏洞身上。Equifax已经与执法机构共享了IOC(入侵相关的威胁情报数据)。

本周早些时候Apache基金会便指出，其早在2017年3月就报告了CVE-2017-5638漏洞。Equifax是在2017年“5月中旬”被入侵，在7月发现入侵，9月初公布被黑事实。如果取15号当做“5月中旬”，那么，Equifax有9个星期时间来打上补丁。

该数据泄露完全可以避免的事实，而这还不是Equifax痛苦的终点。如“进展更新”中指出的，“由于信用记录安全冻结的请求量太大，我们经历了暂时性的技术难题，在2017年9月13日美国东部时间下午5点，我们的系统短时下线1小时以解决该问题。”

除了这起大规模数据泄露，Equifax最近还遭遇了阿根廷网站漏洞门事件。据报道，Equifax在阿根廷某雇员Web门户中使用了“admin”作为登录用户名及口令，向该网站提交信用争议的客户及该公司雇员信息不保。

网络安全博主布莱恩·克雷布斯称，该阿根廷网站安全防护极差，理论上任何人都可以从该站点读取用户名和口令，冒充该公司雇员，甚或直接在数据库中添加一个新“雇员”。更糟的是，攻击者还可以读取普通阿根廷公民提交的1.4万份信用争议投诉。这些投诉信息都以明文存储。在克雷布斯联系了该公司后，网站门户被关闭。

Equifax并未提供安全验证的具体细节，但发布了如下声明：

我们知悉了阿根廷某内部门户的一个潜在漏洞，该漏洞与上周发生在美国的网络安全事件没有任何联系。我们立即作出响应，该情况仅影响到有限的公共信息，仅与联系了我们客户服务中心的消费者及管理这些互动的员工相关。们目前没有证据表明有任何消费者、客户，或我们商业及信用数据库中的信息，受到了负面影响，我们将继续测试及改善该地区的所有安全措施。

9月11日，两名美国参议员要求Equifax回答如下具体问题：

Equifax到底是怎么被黑的?

该公司注意到此事有多久了?

Equifax还被要求曝光在黑客事件被发现到被公开期间抛售公司股票的3名Equifax高管。

本文转自d1net（转载）