美国信用巨头 Equifax 上个月披露 1.43 亿美国公民的个人敏感信息泄露,本周一该公司将这一数字再增加 250 万至 1.45 亿人。Equifax CEO Richard Smith 已因此事辞职(或委婉说法被退休),这位前 CEO 周二出席了众议院能源和商务委员会下属小组委员会举行的听证会,透露了这家公司在网络安全方面所采取的 “恐怖” 故事。
攻击者是在今年 5 月利用已修复的 Apache Struts 软件漏洞入侵系统,而 Equifax 是在 7 月 29 日发现黑客的活动,Smith 承认他直到 7 月 31 日才首次听到可疑活动的报告,8 月 2 日雇佣了律所 King & Spalding 的网络安全专家调查此事,8 月 17 日收到简报,22 日通知董事长,24 日和 25 日董事会全都收到了简报。
Smith 将入侵原因归咎于“人为错误”,某位知道系统需要打补丁的雇员未能通知相应的 IT 团队。Smith 声称他的公司采取了多种保护数据的技术,但用户的敏感个人信息就是明文保存的,没有加密。在披露黑客入侵之后,Equifax 设立了一个专门的域名让用户检查自己的信息有没有被窃取,多名议员询问为什么 Equifax 不在自己的主网站设立一个入口让用户检查,Smith 的解释是核查网站流量太大会拖垮整个网站,显然他对网站相关的技术不太了解。