Equifax数据泄露事件总结

事件概述

Equifax，一家提供消费者信用报告的公司，宣布其网站存在漏洞，导致约1.43亿美国人的数据遭到泄露。美国总人口约为3.24亿，这意味着约44%的美国人口受到了影响。

泄露的数据内容

泄露的数据包括：

• 姓名
• 社会安全号码
• 出生日期
• 地址
• 部分情况下，驾驶执照号码

此外，黑客还访问了20.9万美国消费者的信用卡号码，以及18.2万美国消费者的争议文件，这些文件中包含个人身份信息。部分加拿大和英国居民的个人信息也遭到了泄露。

事件时间线

• 漏洞利用时间：5月中旬至7月
• 发现时间：7月29日

漏洞原因

Equifax表示，犯罪分子利用其美国网站应用程序的漏洞访问了某些文件。尽管Equifax没有具体说明漏洞类型，但常见的网站漏洞包括注入漏洞、认证机制缺陷和跨站脚本漏洞。

历史背景

这并非Equifax首次涉及敏感消费者数据泄露事件。2013年，Equifax确认包括美国副总统乔·拜登、FBI局长罗伯特·穆勒、司法部长埃里克·霍尔德和说唱歌手Jay Z等名人的个人信息在annualcreditreport.com网站上被泄露。当时，该网站的安全措施松懈，允许人们通过提供已知的地址、抵押贷款、未偿还贷款等详细信息未经授权访问他人的信用报告。

受影响用户的应对措施

• 查询是否受影响：用户可以在Equifax提供的页面上输入姓氏和社会安全号码的最后六位数字进行查询。然而，查询结果的透明度较低。
• 信用监控服务：Equifax为受影响的用户提供免费信用监控服务。

技术问题

• 第三方域名托管：查询页面托管在第三方域名上，该域名的TLS证书在撰写本文时未正确检查撤销状态，存在安全隐患。

相关案例

此次事件并非首次因常见网站漏洞导致大规模敏感数据泄露。例如，已被判刑的黑客Albert Gonzalez的关联人员曾利用SQL注入漏洞获取了1.3亿张信用卡的数据。此外，Apache Struts 2软件框架中一个存在九年的代码执行漏洞的利用代码也在近期公开，但尚无证据表明Equifax网站使用了该框架。

结论

Equifax的数据泄露事件再次凸显了网络安全的重要性，尤其是在处理敏感个人信息时。企业和组织必须加强安全措施，以防止类似事件的发生。同时，受影响的用户应密切关注其信用报告，并采取必要的防护措施。