主题 : 这家美国公司搞丢1.4亿用户信息,还祝大家周五快乐……
千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主

UID: 998
精华: 0
发帖: 604963
威望: 528524 点
无痕币: 3089 WHB
贡献值: 0 点
在线时间: 61676(时)
注册时间: 2008-12-25
最后登录: 2024-03-29

0 这家美国公司搞丢1.4亿用户信息,还祝大家周五快乐……

这几天,美国炸锅了……
这周四,有家名叫Equifax萀汶司宣布,自己被黑了!泄露了1.4亿美国人的身份信息!

你可能没听说过这公司,Facebook美国用户也才两亿左右,Equifax怎么就有1.4亿?
是这样的:美国社会信用制度实行已久,但承担征信职能,给每个人评定、记录和增扣信用分的却不是政府,而是三家最大的征信公司,Equifax就是其中之一,另外两个是Experian和TransUnion。美国版的芝麻信用,能懂吧?
在美国,信用制度的核心是社会安全号码(Social Security Number, SSN),公民在向政府以及征信机构提交各种文书时,通常会用到不同的证件,但SSN和驾照是最常用的。
而这次,Equifax泄露基本上是用户的全套数据了……
Equifax第一宗罪:泄露资料
Equifax的这次数据安全事件影响了超过1.43亿美国人,他们的姓名、生日、SSN、手机号码和住址都有可能已经被黑客窃取。同样可能被窃取的还有一部分美国人的驾照号,21万人的信用卡号码,以及大约18万人的法律文件,上面记录有详细的个人辨识信息。除了美国之外,英国和加拿大用户也受到不同程度影响……
该公司董事长兼CEO里克·史密斯(Rick Smith)在声明中宣称,黑客“未经许可”获取了Equifax服务器的访问权限。

废话,问你要许可的还叫黑客么……
1935年,施行罗斯福新政的美国推出了社会安全系统,每个美国人都可以领到一张社会安全卡(其实就是一张纸),上面就是SSN,一段9位的数字。SSN的制度沿用至今,除了美国人,特定身份的外国人在美国有收入和报税需要也可以申请,基本上是美国人人都有的东西。
这个系统的问题是……它已经快一百年没有改变过了。它有很严重的安全隐患:SSN一直是那个9位的数字,一直是那张纸,上面有你的名字,丢了就等于身份丢失。

社会安全卡
而且这个数字还会出现在几十上百种公开的法律文书和证件,比如医保卡、报税表上,极其容易被盗取。
然而,只要美国不立法取缔这个制度,只要政府不下达命令,SSN就还得继续用下去……
但现在的问题是,SSN的确不安全,但Equifax作为一家征信机构,手握几亿美国人的全套信息,还没搞好服务器安全把信息拱手送给黑客,这口黑锅可就不是SSN,而是Equifax的了……
对了,Equifax的信息安全负责人约翰·凯利(John J. Kelley III)因在“建造和优化全球级的安全系统”上的突出表现,去年获得了280万美元薪水和红利。
Equifax第二宗罪:隐瞒信息、内幕交易
Equifax是周四宣布的自己被黑的消息。
可它其实在7月29日——足足一个月之前就发现了。
美国人口3.26亿左右,1.4亿或意味着近一半人口的信息泄露了。
问题如此之严重,Equifax照样瞒了一个月……
它给的解释是“发现了之后聘请了外部安全公司来做调查,而调查仍在进行过程中。”
也真是够了……要不是因为已经上市,真不知道Equifax能把这事儿瞒多久。
同样,因为是上市公司,所有重要事项都要跟联邦证券交易委员会(SEC,美国的证监会)报备。眼尖的美国媒体立刻去翻SEC的文件,发现:Equifax的首席财务官、美国信息解决方案总裁和堀工方案总裁共三名高管,在公司股价高位卖出了总价值接近180万美元的Equifax股票……

而在9月7日丑闻曝光后,Equifax的股价立刻暴跌。
Equifax的发言人表示,这三人卖出了小比例的股份,他们在当时对本次侵入事件并不知情。
然而法律文书是骗不了人的:三人卖出股票的日期是8月1日和2日——公司发现被黑客侵入的足足三天后。
身为公司的C-level和总裁级高管,出事后三天都“不知情”,蒙谁呢?
毫无疑问,三人的行为涉嫌内幕交易(Insider Trading),但毕竟作为经验丰富的高管,狡猾奸诈的老狐狸,这三人明知道有内幕交易风险,还是做了这单,很可能已经安排妥当了。
一位网友在Twitter上表示,“一想到这帮人可能吃个官司花点钱随便弄一弄就没事了,好不爽啊”。
但如果你以为Equifax已经够不要脸的了,你还是小看了它……
Equifax第三宗罪:发国难财
前面提到,美国一半人口被本次黑客事件波及,这足以导致SSN制度,甚至整个美国信用系统遭遇颠覆性危机……
而Equifax倒是聪明得很,让人感受到了美国大企业能油条到什么程度:
在宣布事件的同时,Equifax很机智地上线了一个网站攀焀甀椀昀愀砀猀攀挀甀爀椀琀礀2017.com。他们在这个网站上交代了事情的前因后果,但用的是他们自己的口径,而且交代的并非全部的、最详细的事实。
这个网站的一个功能是让美国人上去查询自己的资料。聪明的地方在这里:这个网站越多人搜索、越多人访问、越多人转发,Equifax自己的口径就传播的越广……
输入你的姓和SSN的后六位,网站会告诉你的资料是否泄漏。如果波及了你,这个网站会很聪明地告诉你:
感谢!根据您提供的信息,你的资料可能已经泄露。点击按钮来注册高级账户服务!

最不要脸的地方在这里:这个网站诱导你去注册的这个所谓的高级账户服务,名叫吀爀甀猀琀ID Premier,看起来好像是进一步保护你的资料的……并不是!
它其实是一个三大机构联合监控你的信用分的服务,之前是付费的,这两天免费但不知道持续多久……

而且它根本保护不了你的资料,因为它的提供方也是Equifax……没错,就是上个月刚刚被黑客攻破拿走了1.4亿用户资料的Equifax。
也就是说,Equifax来到这个世上唯一的任务——保护好大家的信息——失败了,而且失败地如此彻底……然后它居然还想继续做下去?

千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主

UID: 998
精华: 0
发帖: 604963
威望: 528524 点
无痕币: 3089 WHB
贡献值: 0 点
在线时间: 61676(时)
注册时间: 2008-12-25
最后登录: 2024-03-29

Equifax第四宗罪:巧言簧舌躲避起诉
如果你的资料被波及了,被Equifax骗了,注册了这个TrustID Premier服务,它会让你再一次提交全名和9位SSN,然后会让你同意用户服务条款。
条款有这样一条:你放弃向Equifax发起集体诉讼的权利。

同样,如果你之前已经是Equifax的用户,那你可能已经签署了同样的条款。
集体诉讼(class-action lawsuit)是美国法律允许的一种起诉方式。如果一家公司坑了你100块钱,你起诉他要求赔偿100块,能不能赢不好说,通常会被大公司利用法律程序导致你付出大量的诉讼费用,很不经济。但如果成千上百人发起集体诉讼,案值高,你的律师和其他法律服务提供者更容易赚到钱,原告方更容易获得法律支持,胜算也更高。
而在本案中,1.4亿人就不说了,哪怕几千人一起集体诉讼Equifax,它都输定了……这也是为什么Equifax,以及很多向公众提供有偿服务的公司都会在用户条款中放置同样或类似的条文,你一不小心没看见,签了名,今后就只能吃闷亏了。
只能说,大公司太会玩……
Equifax的闹剧离结束还早得很。
已经有一些受害者联合起来发起了集体诉讼,他们的宿命尚未可知。另外,纽约市总检察长已经表示对这家公司启动调查。

与此同时,这家公司似乎已经被突如其来的危机冲垮,它在奇葩的道路上一去不复返了……
我们的硅谷同事昨天查,发现自己没中奖;今天又上去查,发现中奖了……我告诉她别注册那个TrustID Premier,她又去查了一下发现又显示“not impacted”了……
可能Equifax的程序员不知道该干点啥,今天我就删库玩吧!
同样不知道今天上班该干点啥的还有Equifax的客服部门同事Stevie。该公司的客服Twitter账号@AskEquifax 早上起来发了一条推:

周五快乐!今天Stevie也要热情满满滴为您提供客户服务哦!
我看你这个周五是甭想过好了,说不定工作都没了……
PingWest品玩的微信号二维码:
Total 0.039762(s) query 4, Time now is:03-29 03:26, Gzip enabled 粤ICP备07514325号-1
Powered by PHPWind v7.3.2 Certificate Code © 2003-13 秋无痕论坛