专业精神/Equifax 数据泄露

Equifax 总部位于佐治亚州亚特兰大，成立于 1899 年，名为零售信贷公司。^[1] Equifax 是三大信用机构之一，另外两家是 Experian 和 TransUnion。具体来说，他们向消费者销售信用监控和防欺诈服务。Equifax 是美国几家大型信贷评级机构之一，它们收集消费者数据，对其进行分析以创建信用评分和详细报告，然后将报告出售给第三方。消费者不会自愿向信贷评级机构提供信息，也没有能力选择退出此信息收集流程。尽管信贷评级机构在促进金融交易的信息共享方面提供了一种服务，但它们通过积累大量敏感的个人数据来做到这一点，而个人数据是网络犯罪分子高度重视的目标。^[2] 因此，信贷评级机构有更高的责任通过提供一流的数据安全来保护消费者数据。

2005 年，Equifax 前首席执行官 (CEO) 理查德·史密斯开始实施积极的增长战略，导致收购了多家公司、信息技术 (IT) 系统和数据。虽然收购战略对 Equifax 的利润和股价取得了成功，但这种增长给 Equifax 的 IT 系统带来了越来越大的复杂性，并扩大了数据安全风险。2017 年 8 月，在 Equifax 公开宣布泄露事件三周前，史密斯吹嘘 Equifax 每天管理着“几乎是美国国会图书馆数据量的 1200 倍”。^[3] 然而，Equifax 并没有实施足够的安全程序来保护这些敏感数据。结果，Equifax 导致了美国历史上最大规模的数据泄露事件之一。这样的泄露事件完全可以避免。

Equifax 数据泄露事件最初影响了 1.43 亿美国人，他们的数据被盗。^[4] 此数字后来修正为 1.466 亿，占美国人口的 44%。^[5] 被盗信息范围从全名和出生日期到社会安全号码和驾驶执照信息。^[6] CreditCards.com 进行的一项调查发现，“20% 的受访者对 Equifax 泄露事件知之甚少或一无所知，其中包括 46% 的 18-37 岁人群”，以及 50% 的受访成年人在泄露事件后没有检查他们的信用评分和报告。^[5]

2015 年 10 月 28 日，Equifax 的网络安全部门报告了对其安全实践和基础设施进行的审计结果。Equifax 未能解决其内部系统中超过 7500 个已知的关键漏洞，这与他们在 48 小时内解决关键问题的政策相矛盾。^[7] 其次，Equifax 没有维护其 IT 资产的全面清单；他们不知道其基础设施中哪些软件在使用。最后，Equifax 在应用和验证漏洞修补方面不够积极。只有当团队意识到特定威胁时，才会将软件补丁应用到系统上。

2017 年 3 月 8 日，美国国土安全部通知 Equifax 此关键漏洞。^[8] 2017 年 3 月 9 日，在 Apache 发布有关其 Struts 漏洞及其补丁的信息几天后，Equifax 向其管理员发送内部电子邮件，要求在任何易受攻击的系统上应用此软件补丁。在包含 400 人的电子邮件分发列表中，员工被告知了此漏洞，但此电子邮件链不包括了解 Equifax 使用 Apache Struts 的开发人员。电子邮件链包含开发人员的经理，他未能提醒团队或开发人员。^[7] Equifax 首席执行官理查德·史密斯表示，这位未经确认的经理最终对数据泄露事件负责，因为他没有通知正确的开发人员修补漏洞。^[9]

3 月 15 日，Equifax 信息安全部门对整个系统进行了扫描，但没有发现任何最初使用 Apache Struts 或需要立即修补的漏洞。^[8] 然而，这次初始扫描错过了实现 Apache Struts 的自动客户访谈系统。Equifax 的全球威胁和漏洞管理部门在演示文稿中两次提到 Apache Strut 漏洞，并每月举行会议讨论网络威胁和漏洞，但高级经理并没有定期参加这些会议，后续工作有限。

从 2017 年 5 月 13 日开始，一直持续到 2017 年 7 月 30 日，黑客通过此漏洞获得了 48 个无关数据库的访问权限，查询了 9000 个结果以获取其他管理登录凭据。^[8][10] 当 Equifax 在看到“可疑流量”后关闭易受攻击的 Web 门户时，攻击在 7 月 30 日结束。7 月 31 日，首席信息官通知首席执行官网络事件。

Apache Struts 是一个开源框架，专为使用 Java 进行 Web 应用程序开发而设计。它在许多银行平台中得到了普及使用，包括 Equifax。^[11] 然而，Apache Struts 存在一些基本漏洞，尤其是在使用对象图导航语言方面。^[12] 利用这种漏洞，黑客可以停止保护服务器的防火墙，并下载和执行他们想要安装在服务器上的任何恶意软件。这将使黑客完全控制 Web 服务器。^[12]

2017 年 3 月 6 日，Apache 已经识别并发布了其 Apache Struts 软件的补丁，旨在修复其网站创建软件中的漏洞，该漏洞允许用户禁用防火墙并在公司服务器上安装软件。在通知公司存在此漏洞后，公司有责任更新其当前系统以包含补丁软件。

Equifax 的自动消费者访谈系统 (ACIS) 是黑客的主要攻击点。它是一个使用 Apache Struts 在 20 世纪 70 年代开发的消费者争议门户，仍然存在此漏洞。^[8] 从这个切入点，攻击者能够运行系统级命令来查找和查询连接到该门户的 3 个包含敏感登录凭据的数据库。这些凭据反过来被用来扩展他们对另外 48 个与投诉门户无关的数据库的访问权限。

在整个攻击过程中，攻击者利用了系统的加密通信通道，将他们的查询伪装成正常的网络流量，以逃避检测。在数周的时间里，数百万美国人的个人数据以小批量的方式被提取出来，直到可疑活动最终被发现。^[13]

在漏洞被公布后，美国人预计身份盗窃事件将会激增，但这并没有真正发生。直到现在，被盗的数据仍然没有被找到或使用，尽管数据猎取专家对暗网进行了广泛的搜索。在许多漏洞中，被盗数据会在公司或消费者意识到被盗之前就被发布出来出售。这样，在受害者能够采取保护措施之前，暴露的数据就可以被利用，但这可能不是Equifax黑客的目标。^[14]

虽然漏洞的具体攻击者和动机尚未得到证实，但人们普遍认为，该漏洞可能是中国政府支持的间谍行为。这一理论之所以流行，是因为攻击中存在大量证据。首先，最初的入侵和随后的盗窃是由不同的参与者执行的。最初的访问可能是由一名业余黑客完成的，后来更有经验的黑客返回系统，扩展了他们的访问范围，并建立了多个后门入口。这表明信息被传递给了更大的机构，可能是政府。此外，还发现漏洞中使用的许多工具都源自中国。然而，没有足够的证据来确定这是真实原因，或者说是中国而不是另一个国家负责。^[15]

在数据泄露事件发生一年后进行的一项调查中，大约 46% 的受访者认为 Equifax 不应该再担任信用局。^[16] 这项调查的结果表明，负面情绪可能是持久性的。为了解决这个问题，Equifax 提供了免费的信用监控或现金支付，基于保护身份所花费的时间和金钱的报销，以及免费的身份恢复服务。尽管 Equifax 提供了这些福利，但许多消费者对 Equifax 保护用户数据失去了信心，一些消费者声称他们“从最初的泄露事件中患上了 PTSD，绝不信任 Equifax 正确处理此事”，另一些人则表示黑客“可以访问暗网上的我的信息”。还有人表达了他们的沮丧，并表示“这还不够。这太可耻了。他们泄露了我最私人的数据，而他们几乎不会为此付出任何代价。他们有责任保护这些敏感数据，但他们并没有认真对待此事。如果对没有保护好此类敏感数据没有真正的后果，那么公司就没有动力将安全级别提升到适当的水平。”^[17] 为了雪上加霜，Equifax 和其他信用机构试图利用数据泄露事件带来的流量来销售数据保护服务，这激怒了消费者，一位用户表示，“我认为这正是 Equifax 泄露事件让大家感到愤慨的原因之一……是同一家公司在出售保护我们自己的服务，现在又泄露了我们的数据”。^[18] 这次数据泄露也让许多消费者质疑，当他们将个人信息委托给公司时，这些信息是否安全。许多美国人甚至不知道他们的个人信息是否包含在 Equifax 的系统中，直到数据泄露事件发生，因为他们没有选择是否将数据包含在 Equifax 的系统中。

当首席执行官得知网络事件后，Mandiant（描述）被聘请于 2017 年 8 月调查网络入侵和攻击的程度。此外，Mandiant 还帮助撰写了于 2017 年 9 月 7 日发布的公开声明。这份新闻稿是在数据泄露事件发生四个月后发布的，告知公众 50% 的美国人受到影响。对此的延迟反应再次引发了公众的愤怒，国会和立法机构开始推动出台另一项国家数据泄露通知法。

在 Mandiant 调查期间，Equifax 有一支小型团队致力于解决这些问题。一项名为 Project Sierra 的行动被分配给“对攻击的总体响应”。^[19] 另一个名为 Project Sparta 的项目，Equifax 的员工被告知“他们正在为一个经历过重大数据泄露的匿名客户工作”。^[19] 他们没有被告知攻击的受害者或有关受害者的信息。事实上，这两个项目都是针对整个 Equifax 的。此外，这还导致了一些员工失职问题。

Jun Ying 是 Equifax 美国信息解决方案部门的前首席信息官 (CIO)。据说他是全球 CIO 的继任者。美国证券交易委员会指控 Ying“违反了联邦证券法的反欺诈条款，并寻求追回不当得利以及利息、罚款和禁令救济”。^[20] Ying 通过投资他的股票期权和出售股票进行内幕交易，获得了近 100 万美元，并避免了 117,000 美元的损失。^[21] 2019 年 3 月 7 日，Ying 对其指控认罪，被判处联邦监狱 4 个月监禁，并接受 1 年的监督释放。^[22]

Sudhakar Reddy Bonthu 是前软件产品开发经理。在一个员工不应该了解太多其他信息的项目中，Bonthu 发现了项目之外的信息。他也被指控内幕交易，在 Equifax 漏洞事件公之于众之前，通过他妻子的经纪账户购买和出售 Equifax 股票期权。^[23] 在漏洞事件公布后，他获得了 75,000 美元的收益。^[23] Bonthu 被判处 8 个月的居家软禁，罚款 50,000 美元，并被命令没收其股票收益。^[24]

为了解决弱边界保护问题（导致可以访问各种数据库），Equifax 在其外部边界实施了额外的控制措施，以监控通信，并进一步限制内部服务器之间的流量。^[25] Equifax 还实施了更广泛的程序性措施。其中一项措施是更改新的首席信息安全官 (CISO) 的报告结构，现在 CISO 直接向首席执行官汇报，以便高层管理人员能够更清晰地了解网络安全风险。

通过公司的分析，Equifax 认为它已经满足了通知消费者和监管机构的适用要求。^[6] 美国证券交易委员会发现，在 2017 年 10 月至 12 月期间，Equifax 通过邮件通知了将信息上传到争议门户网站的消费者。此外，Equifax 还向这些消费者提供了个性化的通知，其中列出了他们上传到 Equifax 争议门户网站的具体文件以及上传日期。^[6]

2019 年 7 月 22 日，美国联邦贸易委员会 (FTC) 和 Equifax 达成和解，要求 Equifax 支付 5.75 亿美元用于救济支持。该公司还必须提供免费的信用监控和身份盗窃服务，并提高其数据服务安全性。^[26]

众议院监督和政府改革委员会以及科学、太空和技术委员会民主党工作人员编制的一份报告提出了四项关键立法改革措施，可以防止此类攻击在未来发生：^[25]

1. 要求联邦金融监管机构对其消费者保护监督责任负责
2. 要求联邦承包商遵守国家标准与技术研究院 (NIST) 制定的网络安全标准和指南
3. 制定关于如何通知数据泄露受害者的高标准
4. 加强联邦贸易委员会 (FTC) 对私营部门违反消费者数据安全要求行为处以民事处罚的能力

众议院监督委员会共和党工作人员发现，如果 Equifax 在此次网络攻击之前采取措施解决其安全问题，则可以防止数据泄露。共和党工作人员随后提出了政府应采纳的七项建议：^[8]

1. 通过透明度赋予消费者权力
2. 审查 FTC 监督和执法权力的充分性
3. 审查向泄露受害者提供的身份监控和保护服务的有效性
4. 提高私营部门网络风险的透明度
5. 对联邦承包商在网络安全方面负有明确要求的责任
6. 减少使用社会安全号码作为个人识别码
7. 实施现代化的 IT 解决方案

2018 年 1 月 10 日，参议员 伊丽莎白·沃伦 提出了 S.2289：2018 年数据泄露预防和赔偿法案。该法案规定了违规行为的民事处罚，并指示 FTC 执行合规。它在 FTC 内设立了网络安全办公室，该办公室被授权：^[27]

1. 调查机构在任何数据泄露事件中是否遵守规定，以及
2. 禁止机构违反特定规定。

在一个个人数据复杂性以指数级速度增长的世界里，Equifax 成为最新一家公布其数据安全失败的企业。他们将数百万美国人的数据暴露给攻击者，几乎没有抵抗。随着越来越多的用户数据被全球各地的企业捕获和存储，有时甚至没有征得用户的同意，强调这些企业在保护和告知其客户方面所负有的责任变得至关重要。

Equifax 的内部管理导致了美国历史上最大的数据泄露事件。他们无法在其工作场所保持问责制，这是一个错误，其他人可以从中吸取教训并应用于其公司。管理层不能假设公司中的问题已得到解决，而没有进行适当的跟踪和评估。

员工有责任了解履行其职责所需的最佳实践。Equifax 的员工，特别是使用 Apache Struts 的软件开发人员，应该注意在基础设施中整合不同软件所带来的漏洞。在存储公司某些最敏感数据方面，可以看出与最佳实践的最大偏差之一。尽管行业标准是在数据库内加密登录信息，但用户名和密码都以明文形式存储。如果开发人员选择加密此信息，黑客将无法在没有解密算法的情况下使用这些登录凭据，但此错误使攻击者在初始访问后进一步破坏系统变得更加容易。 ^[13]

公司高管对公司的决策有很大的影响力，这主要是因为他们拥有这些见解。客户期望这些见解用于发展公司及其用户群，而不是以客户为代价，为高管的腰包服务，就像 Equifax 高管所做的那样。美国证券交易委员会 (SEC) 亚特兰大地区办事处主任理查德·R·贝斯特说：“了解内幕信息，包括有关重大网络入侵信息的公司内部人士，不能为了他们自己的经济利益而背叛股东。”^[20]

1. ↑ 公司简介。 (n.d.)。 2019 年 5 月 5 日。 https://www.equifax.com/about-equifax/company-profile/
2. ↑ 泄露后：被盗数据的货币化和非法使用：恐怖主义与非法金融分委员会听证会。 美国众议院金融服务委员会，第 115 届国会 (2018 年) (兰德公司莉莲·艾布伦的证词)；
3. ↑ 佐治亚大学特里商学院。(2017 年 8 月 22 日)。Rick Smith，Equifax 首席执行官。2019 年 5 月 5 日。 https://www.youtube.com/watch?v=lZzqUnQg-Us
4. ↑ Equifax Inc. (2017 年 9 月 7 日)。Equifax 公布涉及消费者信息的网络安全事件。2019 年 5 月 5 日。 https://investor.equifax.com/news-and-events/news/2017/09-07-2017-213000628
5. ↑ ^{a b} 肯尼迪，梅里特。(2018 年 3 月 1 日)。Equifax 表示 2017 年重大泄露事件影响了另外 240 万人。NPR。2019 年 5 月 4 日。 https://www.npr.org/sections/thetwo-way/2018/03/01/589854759/equifax-says-2-4-million-more-people-were-impacted-by-huge-2017-breach
6. ↑ ^{a b c} Equifax 关于 2017 年 9 月 7 日宣布的网络安全事件范围的记录陈述。(n.d.)。2019 年 5 月 5 日。 https://www.sec.gov/Archives/edgar/data/33185/000119312518154706/d583804dex991.htm
7. ↑ ^{a b} 波特曼，R.，& 卡珀，T. (n.d.)。Equifax 如何忽视网络安全并遭受毁灭性数据泄露。2019 年 5 月 5 日。 https://www.carper.senate.gov/public/_cache/files/5/0/508a6447-853f-4f41-85e8-1927641557f3/D5CFA4A0FC19997FF41FB3A5CE9EB6F7.equifax-report-3.6.19.pdf
8. ↑ ^{a b c d e} 监督和政府改革委员会。(2018 年 12 月)。Equifax 数据泄露多数派工作人员报告。2019 年 5 月 5 日。 https://republicans-oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf
9. ↑ https://www.syxsense.com/equifax-blames-one-it-guy
10. ↑ Equifax Inc. (2017 年 9 月 15 日)。Equifax 发布有关网络安全事件的详细信息，宣布人事变动。2019 年 5 月 5 日。 https://investor.equifax.com/news-and-events/news/2017/09-15-2017-224018832
11. ↑ 施瓦茨，马修。(2018 年 8 月 23 日)。Apache 发布 Struts 紧急补丁以修复关键漏洞。信息安全媒体集团公司。2019 年 5 月 5 日。 https://www.bankinfosecurity.com/apache-struts-issues-emergency-patch-to-fix-critical-flaw-a-11412
12. ↑ ^{a b} Goodin, Dan. (2017 年 3 月 9 日). “大规模”攻击下的严重漏洞危及高影响力网站 [更新]. Condé Nast. 2019 年 5 月 5 日。 https://arstechnica.com/information-technology/2017/03/critical-vulnerability-under-massive-attack-imperils-high-impact-sites/
13. ↑ ^{a b} 美国政府问责办公室. (2018). 数据保护：Equifax 和联邦机构对 2017 年数据泄露事件采取的行动. https://www.warren.senate.gov/imo/media/doc/2018.09.06%20GAO%20Equifax%20report.pdf
14. ↑ Fazzini, K. (2019 年 2 月 14 日). Equifax 大谜团：17 个月后，被盗数据仍未找到，专家开始怀疑间谍阴谋。 https://www.cnbc.com/2019/02/13/equifax-mystery-where-is-the-data.html
15. ↑ Riley, M.，Robertson, J.，& Sharpe, A. (2017 年 9 月 29 日). Equifax 黑客攻击具有国家支持的专业人士的特征。 https://www.bloomberg.com/news/features/2017-09-29/the-equifax-hack-has-all-the-hallmarks-of-state-sponsored-pros
16. ↑ https://tdwi.org/articles/2018/10/29/biz-all-impact-of-equifax-data-breach.aspx
17. ↑ https://www.consumer.ftc.gov/blog/2019/07/equifax-data-breach-settlement-what-you-should-know
18. ↑ https://www.npr.org/2017/09/14/550949718/after-equifax-data-breach-consumers-are-largely-on-their-own
19. ↑ ^{a b} Brewster, Thomas. 2018 年 3 月 14 日. Equifax 如何将其重大漏洞事件隐瞒其自身员工. Forbes. 2019 年 5 月 5 日。 https://www.forbes.com/sites/thomasbrewster/2018/03/14/how-equifax-kept-its-mega-breach-secret-from-its-own-staff/#3bf5bad3ef16
20. ↑ ^{a b} 前 Equifax 高管被指控内幕交易. (2018 年 3 月 14 日). 2019 年 5 月 5 日. https://www.sec.gov/news/press-release/2018-40
21. ↑ Brumback, Kate. (2019 年 3 月 7 日). 前 Equifax 高管承认与 2017 年大规模数据泄露有关的内幕交易罪。USA Today. 2019 年 5 月 5 日。 https://www.usatoday.com/story/money/2019/03/07/equifax-data-breach-former-executive-pleads-guilty-insider-trading/3095802002/
22. ↑ https://www.justice.gov/usao-ndga/pr/former-equifax-employee-sentenced-insider-trading#:~:text=On%20September%207%2C%202017%2C%20Equifax,of%20%24117%2C117.61%2C%20and%20fined%20%2455%2C000.
23. ↑ ^{a b} Brumback, Kate. (2018 年 6 月 28 日). 前 Equifax 软件开发人员被指控内幕交易。Bloomberg. 2019 年 5 月 5 日。 https://www.bloomberg.com/news/articles/2018-06-28/ex-equifax-software-developer-charged-with-insider-trading
24. ↑ https://www.justice.gov/usao-ndga/pr/former-equifax-manager-sentenced-insider-trading#:~:text=Sudhakar%20Reddy%20Bonthu%2C%2044%2C%20of,the%20Federal%20Bureau%20of%20Investigation.
25. ↑ ^{a b} 美国众议院. (2018 年 12 月 10 日). 下一届国会应采取哪些措施来防止 Equifax 数据泄露事件再次发生。 华盛顿特区：作者。 https://oversight.house.gov/sites/democrats.oversight.house.gov/files/Equifax%20Minority%20Report%20-%20FINAL%2012-10-2018.pdf
26. ↑ https://www.consumer.ftc.gov/blog/2019/07/equifax-data-breach-settlement-what-you-should-know
27. ↑ 2018 年数据泄露预防和赔偿法案，S. 2289，第 115 届国会. (2017). https://www.congress.gov/bill/115th-congress/senate-bill/2289?s=7&r=1