这几天,美国炸锅了…… 这周四,有家名叫 Equifax 的公司宣布,自己被黑了!泄露了 1.4 亿美国人的身份信息! 你可能没听说过这公司,Facebook 美国用户也才两亿左右,Equifax 怎么就有 1.4 亿? 是这样的:美国社会信用制度实行已久,但承担征信职能,给每个人评定、记录和增扣信用分的却不是政府,而是三家最大的征信公司,Equifax 就是其中之一,另外两个是 Experian 和 TransUnion。美国版的芝麻信用,能懂吧? 在美国,信用制度的核心是社会安全号码 (Social Security Number, SSN),公民在向政府以及征信机构提交各种文书时,通常会用到不同的证件,但 SSN 和驾照是最常用的。 而这次,Equifax 泄露基本上是用户的全套数据了…… Equifax 第一宗罪:泄露资料 Equifax 的这次数据安全事件影响了超过 1.43 亿美国人,他们的姓名、生日、SSN、手机号码和住址都有可能已经被黑客窃取。同样可能被窃取的还有一部分美国人的驾照号,21 万人的信用卡号码,以及大约 18 万人的法律文件,上面记录有详细的个人辨识信息。除了美国之外,英国和加拿大用户也受到不同程度影响…… 该公司董事长兼 CEO 里克·史密斯 (Rick Smith) 在声明中宣称,黑客“未经许可”获取了 Equifax 服务器的访问权限。 废话,问你要许可的还叫黑客么…… 1935 年,施行罗斯福新政的美国推出了社会安全系统,每个美国人都可以领到一张社会安全卡(其实就是一张纸),上面就是 SSN,一段 9 位的数字。SSN 的制度沿用至今,除了美国人,特定身份的外国人在美国有收入和报税需要也可以申请,基本上是美国人人都有的东西。 这个系统的问题是……它已经快一百年没有改变过了。它有很严重的安全隐患:SSN 一直是那个 9 位的数字,一直是那张纸,上面有你的名字,丢了就等于身份丢失。 社会安全卡 而且这个数字还会出现在几十上百种公开的法律文书和证件,比如医保卡、报税表上,极其容易被盗取。 然而,只要美国不立法取缔这个制度,只要政府不下达命令,SSN 就还得继续用下去…… 但现在的问题是,SSN 的确不安全,但 Equifax 作为一家征信机构,手握几亿美国人的全套信息,还没搞好服务器安全把信息拱手送给黑客,这口黑锅可就不是 SSN,而是 Equifax 的了…… 对了,Equifax 的信息安全负责人约翰·凯利 (John J。 Kelley III) 因在“建造和优化全球级的安全系统”上的突出表现,去年获得了 280 万美元薪水和红利。 Equifax 第二宗罪:隐瞒信息、内幕交易 Equifax 是周四宣布的自己被黑的消息。 可它其实在 7 月 29 日——足足一个月之前就发现了。 美国人口 3.26 亿左右,1.4 亿或意味着近一半人口的信息泄露了。 问题如此之严重,Equifax 照样瞒了一个月…… 它给的解释是“发现了之后聘请了外部安全公司来做调查,而调查仍在进行过程中。” 也真是够了……要不是因为已经上市,真不知道 Equifax 能把这事儿瞒多久。 同样,因为是上市公司,所有重要事项都要跟联邦证券交易委员会(SEC,美国的证监会)报备。眼尖的美国媒体立刻去翻 SEC 的文件,发现:Equifax 的首席财务官、美国信息解决方案总裁和 员工方案总裁共三名高管,在公司股价高位卖出了总价值接近 180 万美元的 Equifax 股票…… 而在 9 月 7 日丑闻曝光后,Equifax 的股价立刻暴跌。 Equifax 的发言人表示,这三人卖出了小比例的股份,他们在当时对本次侵入事件并不知情。 然而法律文书是骗不了人的:三人卖出股票的日期是 8 月 1 日和 2 日——公司发现被黑客侵入的足足三天后。 身为公司的 C-level 和总裁级高管,出事后三天都“不知情”,蒙谁呢? 毫无疑问,三人的行为涉嫌内幕交易 (Insider Trading),但毕竟作为经验丰富的高管,狡猾奸诈的老狐狸,这三人明知道有内幕交易风险,还是做了这单,很可能已经安排妥当了。 一位网友在 Twitter 上表示,“一想到这帮人可能吃个官司花点钱随便弄一弄就没事了,好不爽啊”。 但如果你以为 Equifax 已经够不要脸的了,你还是小看了它…… Equifax 第三宗罪:发国难财 前面提到,美国一半人口被本次黑客事件波及,这足以导致 SSN 制度,甚至整个美国信用系统遭遇颠覆性危机…… 而 Equifax 倒是聪明得很,让人感受到了美国大企业能油条到什么程度: 在宣布事件的同时,Equifax 很机智地上线了一个网站 equifaxsecurity2017.com。他们在这个网站上交代了事情的前因后果,但用的是他们自己的口径,而且交代的并非全部的、最详细的事实。 这个网站的一个功能是让美国人上去查询自己的资料。聪明的地方在这里:这个网站越多人搜索、越多人访问、越多人转发,Equifax 自己的口径就传播的越广…… 输入你的姓和 SSN 的后六位,网站会告诉你的资料是否泄漏。如果波及了你,这个网站会很聪明地告诉你: 感谢!根据您提供的信息,你的资料可能已经泄露。点击按钮来注册高级账户服务! 最不要脸的地方在这里:这个网站诱导你去注册的这个所谓的高级账户服务,名叫 TrustID Premier,看起来好像是进一步保护你的资料的……并不是! 它其实是一个三大机构联合监控你的信用分的服务,之前是付费的,这两天免费但不知道持续多久…… 而且它根本保护不了你的资料,因为它的提供方也是 Equifax……没错,就是上个月刚刚被黑客攻破拿走了 1.4 亿用户资料的 Equifax。 我从未见过如此厚颜无耻之人~ Equifax 第四宗罪:巧言簧舌躲避起诉 如果你的资料被波及了,被 Equifax 骗了,注册了这个 TrustID Premier 服务,它会让你再一次提交全名和 9 位 SSN,然后会让你同意用户服务条款。 条款有这样一条:你放弃向 Equifax 发起集体诉讼的权利。 同样,如果你之前已经是 Equifax 的用户,那你可能已经签署了同样的条款。 |