数据泄露事件的严重性

2017年，Equifax的数据泄露事件影响了1.43亿人，尽管这一数字被其他大规模黑客事件所掩盖，例如2013年和2014年雅虎的黑客事件，分别泄露了10亿和5亿用户的个人信息；2016年成人交友网站AdultFriendFinder泄露了4.12亿账户信息；以及2014年eBay泄露了1.45亿用户的敏感数据。然而，Equifax的泄露事件可能是最严重的，因为它泄露了高度敏感的个人信息，包括全名、社会安全号码、出生日期、地址，甚至在某些情况下还包括驾照号码。这些信息是银行、保险公司等机构用于验证用户身份的关键数据，泄露后可能被敌对政府或犯罪团伙利用，风险将长期存在。

与其他泄露事件的对比

尽管雅虎和其他网站的泄露事件涉及更多账户，但泄露的个人数据严重性较低，通常可以通过更改密码或更换信用卡号码来减少损失。而Equifax的泄露事件影响范围更广，1.43亿人约占美国人口的44%，排除儿童和没有信用记录的人后，这一比例更高。这意味着依赖银行贷款和信用卡的美国人将面临更高的欺诈风险，这种风险将持续多年。此外，泄露的数据可能被用于冒名贷款，或被敌对政府用于获取有安全许可人员的更多信息，尤其是考虑到2015年美国人事管理办公室的黑客事件，该事件泄露了320万联邦雇员的高度敏感数据。

Equifax的应对问题

Equifax在发现泄露事件后，花了五周时间才公开此事。更糟糕的是，三名高管在发现泄露事件后几天内出售了价值超过180万美元的股票，尽管公司声称这些高管在出售时并不知情，但这一行为引发了外界对公司应对措施的质疑。此外，Equifax为通知用户而创建的网站存在多种问题：它使用了WordPress系统，缺乏企业级安全性；TLS证书未进行适当的撤销检查；域名最初未注册在Equifax名下，且格式容易被误认为钓鱼网站。Cisco旗下的Open DNS甚至将其标记为可疑的钓鱼威胁。

技术层面的失误

Equifax网站在泄露事件披露后立即显示了调试代码，这在生产服务器上是不应发生的，尤其是处理敏感数据的服务器。此外，网站管理员的用户名被公开，虽然这不会直接导致未经授权的访问，但也是不应发生的低级错误。这些技术失误进一步削弱了外界对公司工程师能否有效防御未来攻击的信心。

总结

Equifax的数据泄露事件因其泄露数据的敏感性和数量，以及公司应对的混乱，成为历史上最严重的数据泄露事件之一。黑客利用Equifax网站的安全漏洞获取了大量敏感信息，而公司的不当处理进一步加剧了事件的严重性。