搞丢1.4亿居民信息，还祝大家周五快乐！

　　这几天，美国炸锅了……

　　这周四，有家名叫 Equifax 的公司宣布，自己被黑了！泄露了 1.4 亿美国人的身份信息！

　　你可能没听说过这公司，Facebook 美国用户也才两亿左右，Equifax 怎么就有 1.4 亿？

　　是这样的：美国社会信用制度实行已久，但承担征信职能，给每个人评定、记录和增扣信用分的却不是政府，而是三家最大的征信公司，Equifax 就是其中之一，另外两个是 Experian 和 TransUnion。美国版的芝麻信用，能懂吧？

　　在美国，信用制度的核心是社会安全号码 （Social Security Number， SSN），公民在向政府以及征信机构提交各种文书时，通常会用到不同的证件，但 SSN 和驾照是最常用的。

　　而这次，Equifax 泄露基本上是用户的全套数据了……

　　Equifax 第一宗罪：泄露资料

　　Equifax 的这次数据安全事件影响了超过 1.43 亿美国人，他们的姓名、生日、SSN、手机号码和住址都有可能已经被黑客窃取。同样可能被窃取的还有一部分美国人的驾照号，21 万人的信用卡号码，以及大约 18 万人的法律文件，上面记录有详细的个人辨识信息。除了美国之外，英国和加拿大用户也受到不同程度影响……

　　该公司董事长兼 CEO 里克·史密斯 （Rick Smith） 在声明中宣称，黑客“未经许可”获取了 Equifax 服务器的访问权限。

　　废话，问你要许可的还叫黑客么……

　　1935 年，施行罗斯福新政的美国推出了社会安全系统，每个美国人都可以领到一张社会安全卡（其实就是一张纸），上面就是 SSN，一段 9 位的数字。SSN 的制度沿用至今，除了美国人，特定身份的外国人在美国有收入和报税需要也可以申请，基本上是美国人人都有的东西。

　　这个系统的问题是……它已经快一百年没有改变过了。它有很严重的安全隐患：SSN 一直是那个 9 位的数字，一直是那张纸，上面有你的名字，丢了就等于身份丢失。

社会安全卡

　　而且这个数字还会出现在几十上百种公开的法律文书和证件，比如医保卡、报税表上，极其容易被盗取。

　　然而，只要美国不立法取缔这个制度，只要政府不下达命令，SSN 就还得继续用下去……

　　但现在的问题是，SSN 的确不安全，但 Equifax 作为一家征信机构，手握几亿美国人的全套信息，还没搞好服务器安全把信息拱手送给黑客，这口黑锅可就不是 SSN，而是 Equifax 的了……

　　对了，Equifax 的信息安全负责人约翰·凯利 （John J。 Kelley III） 因在“建造和优化全球级的安全系统”上的突出表现，去年获得了 280 万美元薪水和红利。

　　Equifax 第二宗罪：隐瞒信息、内幕交易

　　Equifax 是周四宣布的自己被黑的消息。

　　可它其实在 7 月 29 日——足足一个月之前就发现了。

　　美国人口 3.26 亿左右，1.4 亿或意味着近一半人口的信息泄露了。

　　问题如此之严重，Equifax 照样瞒了一个月……

　　它给的解释是“发现了之后聘请了外部安全公司来做调查，而调查仍在进行过程中。”

　　也真是够了……要不是因为已经上市，真不知道 Equifax 能把这事儿瞒多久。

　　同样，因为是上市公司，所有重要事项都要跟联邦证券交易委员会（SEC，美国的证监会）报备。眼尖的美国媒体立刻去翻 SEC 的文件，发现：Equifax 的首席财务官、美国信息解决方案总裁和 员工方案总裁共三名高管，在公司股价高位卖出了总价值接近 180 万美元的 Equifax 股票……

　　而在 9 月 7 日丑闻曝光后，Equifax 的股价立刻暴跌。

　　Equifax 的发言人表示，这三人卖出了小比例的股份，他们在当时对本次侵入事件并不知情。

　　然而法律文书是骗不了人的：三人卖出股票的日期是 8 月 1 日和 2 日——公司发现被黑客侵入的足足三天后。

　　身为公司的 C-level 和总裁级高管，出事后三天都“不知情”，蒙谁呢？

　　毫无疑问，三人的行为涉嫌内幕交易 （Insider Trading），但毕竟作为经验丰富的高管，狡猾奸诈的老狐狸，这三人明知道有内幕交易风险，还是做了这单，很可能已经安排妥当了。

　　一位网友在 Twitter 上表示，“一想到这帮人可能吃个官司花点钱随便弄一弄就没事了，好不爽啊”。

　　但如果你以为 Equifax 已经够不要脸的了，你还是小看了它……

　　Equifax 第三宗罪：发国难财

　　前面提到，美国一半人口被本次黑客事件波及，这足以导致 SSN 制度，甚至整个美国信用系统遭遇颠覆性危机……

　　而 Equifax 倒是聪明得很，让人感受到了美国大企业能油条到什么程度：

　　在宣布事件的同时，Equifax 很机智地上线了一个网站 equifaxsecurity2017.com。他们在这个网站上交代了事情的前因后果，但用的是他们自己的口径，而且交代的并非全部的、最详细的事实。

　　这个网站的一个功能是让美国人上去查询自己的资料。聪明的地方在这里：这个网站越多人搜索、越多人访问、越多人转发，Equifax 自己的口径就传播的越广……

　　输入你的姓和 SSN 的后六位，网站会告诉你的资料是否泄漏。如果波及了你，这个网站会很聪明地告诉你：

　　感谢！根据您提供的信息，你的资料可能已经泄露。点击按钮来注册高级账户服务！

　　最不要脸的地方在这里：这个网站诱导你去注册的这个所谓的高级账户服务，名叫 TrustID Premier，看起来好像是进一步保护你的资料的……并不是！

　　它其实是一个三大机构联合监控你的信用分的服务，之前是付费的，这两天免费但不知道持续多久……

　　而且它根本保护不了你的资料，因为它的提供方也是 Equifax……没错，就是上个月刚刚被黑客攻破拿走了 1.4 亿用户资料的 Equifax。

　　我从未见过如此厚颜无耻之人~

　　Equifax 第四宗罪：巧言簧舌躲避起诉

　　如果你的资料被波及了，被 Equifax 骗了，注册了这个 TrustID Premier 服务，它会让你再一次提交全名和 9 位 SSN，然后会让你同意用户服务条款。

　　条款有这样一条：你放弃向 Equifax 发起集体诉讼的权利。

　　同样，如果你之前已经是 Equifax 的用户，那你可能已经签署了同样的条款。