Equifax信息泄漏事件揭秘:美国信用体系存在致命缺陷_最新动态_新闻资讯_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
您所在的位置: 程序员俱乐部 > 新闻资讯 > 最新动态 > Equifax信息泄漏事件揭秘:美国信用体系存在致命缺陷

Equifax信息泄漏事件揭秘:美国信用体系存在致命缺陷

 2017/9/9 16:08:47    程序员俱乐部  我要评论(0)
  • 摘要:纪振宇9月9日硅谷报道美国三大个人信用评估机构之一的Equifax本周四发表声明称,由于遭遇黑客攻击,约有1.43亿美国用户的个人重要信息面临泄漏。不法分子将可以利用这些获取到的重要个人信息,从事任何形式的金融欺诈行为,例如随意冒名进行银行开户、信用卡提现等,这将导致暴露在此次泄漏事件中的个人将面临巨大的潜在金融风险。Equifax早在今年7月底便发现这一问题,但直到近2个月后才将消息公之于众,中间甚至发生管理层大幅减持公司股票行为,一时间遭到各方的强烈质疑和谴责
  • 标签:事件 美国

  纪振宇 9 月 9 日硅谷报道

  美国三大个人信用评估机构之一的 Equifax 本周四发表声明称,由于遭遇黑客攻击,约有 1.43 亿美国用户的个人重要信息面临泄漏。

  不法分子将可以利用这些获取到的重要个人信息,从事任何形式的金融欺诈行为,例如随意冒名进行银行开户、信用卡提现等,这将导致暴露在此次泄漏事件中的个人将面临巨大的潜在金融风险。

  Equifax 早在今年 7 月底便发现这一问题,但直到近 2 个月后才将消息公之于众,中间甚至发生管理层大幅减持公司股票行为,一时间遭到各方的强烈质疑和谴责,其股价也在消息公布后的一个交易日内大幅下挫超过 13%。

  在这起闹得沸沸扬扬的堪称史上最大规模、涉及到近一半美国人口的信息泄露事件中,除了反映出公司网络安全、诚信等问题的同时,暴露出的更为深层次的问题,则是美国沿用多年的个人信用体系一直存在着严重缺陷,由三大信用评估机构掌握的几乎覆盖全美国居民的个人重要敏感数据,实际上随时都面临着大规模泄漏的风险,这样的风险一旦发生,带来的不是局部性影响,而是全局和系统性的。整个美国的信用、金融以及社会体系都将遭遇到严重挑战。

  美国信用评估机构遭史上最大规模用户信息泄漏

  美国三大信用评估机构之一的 EquIfax 上周四发表声明称,公司在今年 5 月中旬至 7 月,遭遇到黑客攻击,导致其系统中大量用户的姓名、社会安保号、生日和地址等私人信息泄露,数据泄漏规模可能涉及到 1.43 亿美国人,根据美国统计局的数据显示,美国目前的总人口约为 3.23 亿人,换句话说,也就是将近一半的美国人会暴露在个人重要私密信息泄漏的风险中。

  这起事件另一个令人难以接受的方面是,Equifax 直到 9 月份,也就是信息泄漏事件发生近 2 个月后,才将此公之于众,尽管 Equifax 方面解释称,在发现事件后立即做了相应措施,但这样的说辞显然不能令公众满意,该事件曝光后,Equifax 股价在接下来的一个交易日中大幅下挫超过 13%。

  目前,Equifax 已经设立了一个特别查询网站,用户可以通过输入自己的姓名和社安号,来查询自己的个人信息是否在此次事件中受到影响,然而这一特别网站本身也存在缺陷,据美国科技网站 CNET 调查显示,该网站进行查询后,并不能给用户确切的结果,只会告知用户,你可能受到潜在影响或者你可能没有受到潜在影响,CNET 还尝试输入编造的并不存在的姓名和社安号,居然也能得到“你可能没有受到泄露事件影响”的结果,从这样的查询结果可以得知,Equifax 的这套临时查询系统,或许根本没有将用户的输入信息与此现有的数据库中的信息进行比对,以至于出现输入根本不存在的用户信息,也能反馈出结果而不是显示输入信息有误。

  泄漏事件暴露美国信用体系存在致命缺陷

  除了此次信息大规模泄漏事件本身存在很多疑点和让人难以接受的方面以外,实际上也充分暴露出美国现存的个人信用体系存在着严重的缺陷,此次事件的爆发便是这种缺陷的极端表现形式。

  众所周知,美国以消费社会著称,个人信用体系是整个社会生活的一大支柱。个人信用体系是最简单直观的表现形式是通过一套信用分数系统来实现。

  每一位美国居民拥有其独特的个人社会安全号码,该号码将终生陪伴用户生活的各个方面,例如就业、收入、福利、买房、租房、租车、水电费、贷款、投资,一系列社会活动均和社会安全号挂钩,包括此次遭遇信息泄露事件的 Equifax 在内的美国三大个人信用评估机构通过将每个个人的信息汇总,形成一个信用分数,以此来评估个人的信用状况,信用分数是每个人信用状况的一个量化指标,信用分数越高,说明信用越好,还款的几率更高、违约的风险更小,信用分数给予第三方机构可以标准化量化的指标。

  信用分数主要由信用记录历史、信用卡还款历史、当前债务额度、信用查询记录等一系列因素构成,分配以高低不同的权重最终形成一个特定的数字作为信用分数,该信用分数将影响到个人的很多金融和社会行为,例如贷款的额度、利率、就业等等。

  但这套沿用多年的体系目前存在的显著缺陷在于,三大信用评估机构掌握了大量的用户个人重要信息,而这些信息一旦泄漏,将直接导致个人的金融风险完全暴露。以此次泄漏事件为例,黑客掌握了大量用户的姓名、社会安全号、地址、生日信息,而拥有这些信息,就足以通过金融机构的身份审核,轻易在银行进行开户、开信用卡等行为。

  实际上,这样的事件屡屡发生,早在此次大规模泄漏之前,另一大信用评级机构 Experian 也在 2015 年遭遇到涉及 1500 名用户的信息泄漏、美国健康保险公司 Anthem 也在同一年发生 1880 万用户信息泄漏事件。

  这类事件反映出的最明显的缺陷是,大量信息过度中心化将导致一旦发生信息泄漏,将会显著影响到大规模的人群,带来系统性风险。

  实际上,即便是不通过信用评估机构这样的渠道,个人重要信息也时刻面临着泄漏的风险,美国居民的日常活动,随时都会将这些重要敏感信息暴露在外,例如填写各种表格,如申请宽带、开通手机、去医院看病等,都需要填写这些重要信息。

  而由这类事件引申出的另一类缺陷是,在美国,对于个人身份识别的潜在漏洞。目前美国的主要和个人打交道的机构,如银行、医院等,验证身份的主要方式是姓名、社安号、住址和生日进行比对,也就是说,只要这四个信息一致,那么任何人都可以随时被冒名顶替,然后不法者就可以为所欲为。

  美国科技媒体 The Verge 评论称,这次事件再次给人们敲响了警钟,美国的这套个人信用体系已经到了一个突破口,应该被彻底推翻重建。

发表评论
用户名: 匿名