TechRoomage

搞丟1.4億居民信息,還祝大家周五快樂!

0 1

  這幾天,美國炸鍋了……

  這周四,有家名叫 Equifax 的公司宣布,自己被黑了!泄露了 1.4 億美國人的身份資訊!

搞丟1.4億居民資訊,還祝大家周五快樂!

  你可能沒聽說過這公司,Facebook 美國使用者也才兩億左右,Equifax 怎麼就有 1.4 億?

  是這樣的:美國社會信用制度實行已久,但承擔徵信職能,給每個人評定、記錄和增扣信用分的卻不是政府,而是三家最大的徵信公司,Equifax 就是其中之一,另外兩個是 Experian 和 TransUnion。美國版的芝麻信用,能懂吧?

  在美國,信用制度的核心是社會安全號碼 (Social Security Number, SSN),公民在向政府以及徵信機構提交各種文書時,通常會用到不同的證件,但 SSN 和駕照是最常用的。

  而這次,Equifax 泄露基本上是使用者的全套數據了……

  Equifax 第一宗罪:泄露資料

  Equifax 的這次數據安全事件影響了超過 1.43 億美國人,他們的姓名、生日、SSN、手機號碼和住址都有可能已經被黑客竊取。同樣可能被竊取的還有一部分美國人的駕照號,21 萬人的信用卡號碼,以及大約 18 萬人的法律文件,上面記錄有詳細的個人辨識資訊。除了美國之外,英國和加拿大使用者也受到不同程度影響……

  該公司董事長兼 CEO 里克·史密斯 (Rick Smith) 在聲明中宣稱,黑客「未經許可」獲取了 Equifax 伺服器的訪問許可權。

搞丟1.4億居民資訊,還祝大家周五快樂!

  廢話,問你要許可的還叫黑客么……

  1935 年,施行羅斯福新政的美國推出了社會安全系統,每個美國人都可以領到一張社會安全卡(其實就是一張紙),上面就是 SSN,一段 9 位的數字。SSN 的制度沿用至今,除了美國人,特定身份的外國人在美國有收入和報稅需要也可以申請,基本上是美國人人都有的東西。

  這個系統的問題是……它已經快一百年沒有改變過了。它有很嚴重的安全隱患:SSN 一直是那個 9 位的數字,一直是那張紙,上面有你的名字,丟了就等於身份丟失。

搞丟1.4億居民資訊,還祝大家周五快樂!

社會安全卡

  而且這個數字還會出現在幾十上百種公開的法律文書和證件,比如醫保卡、報稅表上,極其容易被盜取。

  然而,只要美國不立法取締這個制度,只要政府不下達命令,SSN 就還得繼續用下去……

  但現在的問題是,SSN 的確不安全,但 Equifax 作為一家徵信機構,手握幾億美國人的全套資訊,還沒搞好伺服器安全把資訊拱手送給黑客,這口黑鍋可就不是 SSN,而是 Equifax 的了……

  對了,Equifax 的資訊安全負責人約翰·凱利 (John J。 Kelley III) 因在「建造和優化全球級的安全系統」上的突出表現,去年獲得了 280 萬美元薪水和紅利。

  Equifax 第二宗罪:隱瞞資訊、內幕交易

  Equifax 是周四宣布的自己被黑的消息。

  可它其實在 7 月 29 日——足足一個月之前就發現了。

  美國人口 3.26 億左右,1.4 億或意味著近一半人口的資訊泄露了。

  問題如此之嚴重,Equifax 照樣瞞了一個月……

  它給的解釋是「發現了之後聘請了外部安全公司來做調查,而調查仍在進行過程中。」

  也真是夠了……要不是因為已經上市,真不知道 Equifax 能把這事兒瞞多久。

  同樣,因為是上市公司,所有重要事項都要跟聯邦證券交易委員會(SEC,美國的證監會)報備。眼尖的美國媒體立刻去翻 SEC 的文件,發現:Equifax 的首席財務官、美國資訊解決方案總裁和 員工方案總裁共三名高管,在公司股價高位賣出了總價值接近 180 萬美元的 Equifax 股票……

搞丟1.4億居民資訊,還祝大家周五快樂!

  而在 9 月 7 日醜聞曝光後,Equifax 的股價立刻暴跌。

  Equifax 的發言人表示,這三人賣出了小比例的股份,他們在當時對本次侵入事件並不知情。

  然而法律文書是騙不了人的:三人賣出股票的日期是 8 月 1 日和 2 日——公司發現被黑客侵入的足足三天後。

  身為公司的 C-level 和總裁級高管,出事後三天都「不知情」,蒙誰呢?

  毫無疑問,三人的行為涉嫌內幕交易 (Insider Trading),但畢竟作為經驗豐富的高管,狡猾奸詐的老狐狸,這三人明知道有內幕交易風險,還是做了這單,很可能已經安排妥當了。

  一位網友在 Twitter 上表示,「一想到這幫人可能吃個官司花點錢隨便弄一弄就沒事了,好不爽啊」。

  但如果你以為 Equifax 已經夠不要臉的了,你還是小看了它……

  Equifax 第三宗罪:發國難財

  前面提到,美國一半人口被本次黑客事件波及,這足以導致 SSN 制度,甚至整個美國信用系統遭遇顛覆性危機……

  而 Equifax 倒是聰明得很,讓人感受到了美國大企業能油條到什麼程度:

  在宣布事件的同時,Equifax 很機智地上線了一個網站 equifaxsecurity2017.com。他們在這個網站上交代了事情的前因後果,但用的是他們自己的口徑,而且交代的並非全部的、最詳細的事實。

  這個網站的一個功能是讓美國人上去查詢自己的資料。聰明的地方在這裡:這個網站越多人搜索、越多人訪問、越多人轉發,Equifax 自己的口徑就傳播的越廣……

  輸入你的姓和 SSN 的後六位,網站會告訴你的資料是否泄漏。如果波及了你,這個網站會很聰明地告訴你:

  感謝!根據您提供的資訊,你的資料可能已經泄露。點擊按鈕來註冊高級賬戶服務!

搞丟1.4億居民資訊,還祝大家周五快樂!

  最不要臉的地方在這裡:這個網站誘導你去註冊的這個所謂的高級賬戶服務,名叫 TrustID Premier,看起來好像是進一步保護你的資料的……並不是!

  它其實是一個三大機構聯合監控你的信用分的服務,之前是付費的,這兩天免費但不知道持續多久……

搞丟1.4億居民資訊,還祝大家周五快樂!

  而且它根本保護不了你的資料,因為它的提供方也是 Equifax……沒錯,就是上個月剛剛被黑客攻破拿走了 1.4 億使用者資料的 Equifax。

  我從未見過如此厚顏無恥之人~

  Equifax 第四宗罪:巧言簧舌躲避起訴

  如果你的資料被波及了,被 Equifax 騙了,註冊了這個 TrustID Premier 服務,它會讓你再一次提交全名和 9 位 SSN,然後會讓你同意使用者服務條款。

  條款有這樣一條:你放棄向 Equifax 發起集體訴訟的權利。

搞丟1.4億居民資訊,還祝大家周五快樂!

  同樣,如果你之前已經是 Equifax 的使用者,那你可能已經簽署了同樣的條款。

  集體訴訟 (class-action lawsuit) 是美國法律允許的一種起訴方式。如果一家公司坑了你 100 塊錢,你起訴他要求賠償 100 塊,能不能贏不好說,通常會被大公司利用法律程式導致你付出大量的訴訟費用,很不經濟。但如果成千上百人發起集體訴訟,案值高,你的律師和其他法律服務提供者更容易賺到錢,原告方更容易獲得法律支持,勝算也更高。

  而在本案中,1.4 億人就不說了,哪怕幾千人一起集體訴訟 Equifax,它都輸定了……這也是為什麼 Equifax,以及很多向公眾提供有償服務的公司都會在使用者條款中放置同樣或類似的條文,你一不小心沒看見,簽了名,今後就只能吃悶虧了。

  只能說,大公司太會玩……

  Equifax 的鬧劇離結束還早得很。

  已經有一些受害者聯合起來發起了集體訴訟,他們的宿命尚未可知。另外,紐約市總檢察長已經表示對這家公司啟動調查。

搞丟1.4億居民資訊,還祝大家周五快樂!

  與此同時,這家公司似乎已經被突如其來的危機衝垮,它在奇葩的道路上一去不復返了……

  我們的矽谷同事昨天查,發現自己沒中獎;今天又上去查,發現中獎了……我告訴她別註冊那個 TrustID Premier,她又去查了一下發現又顯示 「not impacted」 了……

  可能 Equifax 的程式員不知道該干點啥,今天我就刪庫玩吧!

  同樣不知道今天上班該干點啥的還有 Equifax 的客服部門同事 Stevie。該公司的客服 Twitter 賬號 @AskEquifax 早上起來發了一條推:

搞丟1.4億居民資訊,還祝大家周五快樂!

  周五快樂!今天 Stevie 也要熱情滿滿滴為您提供客戶服務哦!

  我看你這個周五是甭想過好了,說不定工作都沒了……

如果你發現文中有任何錯誤內容,請不吝發送通知讓我們知道並修改。『選取錯誤的文字片段後使按下Ctrl+Enter即可發送。』

Leave A Reply

Your email address will not be published.

Spelling error report

The following text will be sent to our editors: