标签: Equifax

Equifax 因数据泄露推出安全服务域名疑似虚假钓鱼网站

据外媒报道,Equifax 对近期发生的客户数据泄露的反应完全是一个糟糕的行为。大约两周前,也就是数据泄露事件曝光那会儿,这家公司在其官推上发出了一个帮助客户注册身份盗窃保护服务并获取公司对 “ 网络安全事件 ” 最新处理消息的网站。然而,这个叫做 equifaxsecurity2017.com 的网站却让公民看着像是一个虚假钓鱼网站。 为了证明这点,开发者 Nick Sweeting 就创建了一个跟 Equifax 相类似的安全服务网站 securityequifax2017.com。可以看到,Sweeting 只是将 equifax 和 security 的顺序调换了一下。 虽然 Sweeting 这么做并没有什么恶意,但 Equifax 官方自己也被这个网站给愚弄了,可以看到,该公司在官推上甚至发出了让客户访问 securityequifax2017.com 的消息,并且不止一次。 Sweeting 告诉媒体,由于 Equifax 创建的这个网站非常容易被模仿,所以这对于该家公司来说是一件非常危险的事情。据了解,Sweeting 仅用了 20 分钟就克隆了该网站,他认为,网上肯定已经有了真正模仿该网站的钓鱼网站。 稿源:cnBeta,封面源自网络;

美国数据泄露事件恶化:Equifax 今年 3 月或已遭黑客入侵

9 月 19 日早间消息,美国知名征信机构 Equifax 被数据泄露事件困扰,现在形势进一步恶化。本周一,彭博引述多位知情人士的话称,早在 3 月时 Equifax 就遭到黑客攻击且规模很大;这次攻击比 7 月的攻击早了几个月。9 月 7 日,Equifax 披露消息称 7 月遭到攻击,黑客窃取大量个人信息,超过 1.4 亿美国人受到影响。 Equifax 发现自己遭到黑客攻击后,公司高管乘机抛售股票,有报道说美国司法部正在对股票抛售展开调查。受害者将会对 Equifax 发起集体诉讼,FTC 也将目光转向 Equifax,现在彭博社曝光更多内情,犯罪调查可能会进一步升级。 知情人士告诉媒体,因为出现泄露事故,Equifax 今年 3 月聘请网络安全公司 Mandiant 对安全漏洞进行调查。与此同时,Equifax 还向企业客户发出警告,让他们注意该事件。知情人士称,3 月初,Equifax 向少数外部人士和银行客户发出通知,说公司泄露了数据,它正在让安全公司协助调查。 3 月的泄露事故到底有多严重?现在还不知道。如果报道属实,其严重性足以迫使 Equifax 通知外部客户,但没有达到告知消费者的程度。根据美国各州的法律规定,企业如果发生重大数据泄露事故,必须在合理时限内发出通知。正如上文所述,Equifax 于 9 月 7 日披露了 7 月的泄露事故。此外,媒体还在报道中指出,两次入侵事故可能是两家黑客组织发起的,它们彼此独立,没有联系。 知情人士称,如果 3 月泄露事故刺激黑客变本加厉,进一步窃取消费者数据,那么 Equifax 将会承受更大压力,尤其是那些抛售股票的高管。目前,其它高管似乎很安全,不会引火烧身。从法律角度看,如果企业高管不小心或者鲁莽行事导致消费数据泄露将会面临刑事处罚。 稿源:cnBeta、新浪科技,封面源自网络;

Equifax 全美最大数据泄露案跟进:逾 40 万英国客户信息或已被黑客窃取

美国征信企业 Equifax 上周证实,公司网站遭黑客攻击,逾 1.43 亿美国公民记录在线泄露,其中包括姓名、住址、出生日期、社会保障号,有时甚至还会包含公民驾照信息。另外,泄露信息还包括 20.9 万美国用户信用卡号,以及 18.2 万美国用户部分争议性文件。研究人员经调查表示,数据的泄露从 5 月中旬开始,直至 7 月 29 日才被察觉。 近期,Equifax 英国分支机构表示,虽然内部系统并未受到严重影响,但黑客在此次泄露事件中可能已经访问超过 40 万(2011 – 2016 年在美国存储的)英国客户信息,其中包括用户名、出生日期、邮件地址及电话号码等。不过,Equifax 证实受影响数据并不包括用户住宅地址、密码与财务数据等敏感信息。此外,调查人员表示从黑客所访问信息的性质来看,英国客户在此事件中受影响程度较有限 。 目前,Equifax 公司已联系受影响客户并免费向他们提供个人身份信息综合保护服务,旨在保障用户信息安全、提醒用户警惕潜在的欺诈活动。 原作者:India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Equifax 发生大规模数据泄露后,两名负责信息与安全的高管宣布离职

据外媒报道,在美国信贷机构 Equifax 发生大规模数据泄露致使 1.43 亿美国民众信息遭盗取后, 该公司两名负责信息和安全的高管宣布将离开。Equifax 本周五在新闻稿中宣布,Equifax 首席信息官 Susan Mauldin 和首席信息官 David Webb 将离职。 Equifax 在一份声明中表示:“Equifax 对这一事件的内部调查仍在进行当中,公司将继续与联邦调查局密切合作 ”。Equifax 在 9 月 7 日对外宣布数据遭泄露的消息,引起消费者利益维护者和立法者的愤慨,他们要求该公司对这一事件作出解释。此外,美国参议员 Elizabeth Warren 在同一天提出一项法案,防止信用评级机构向消费者收取信用冻结费。 Equifax 此前表示,该公司相信黑客通过 Apache Struts 软件漏洞入侵其系统。这个漏洞的补丁是在 3 月份提供的,而 Equifax 则表示其在五月份遭遇黑客攻击,引起批评者质疑 Equifax 是否及时修复软件漏洞。Equifax 目前还未澄清当数据被盗时是否修复这一漏洞。 稿源:cnBeta,封面源自网络;

Equifax 证实:未及时修复 Apache Struts 漏洞,致使美国公民数据遭窃

Equifax 上周曝出 1.43 亿美国用户的敏感信息在线泄露,当时他们声称黑客利用 Web 应用漏洞入侵数据库,但并未披露任何细节。本周,Equifax 证实,宣称黑客利用了开源项目 Apache Struts 漏洞 CVE-2017-5638 。 漏洞利用特制的 HTTP Headers(HTTP 首部/ HTTP 报文)允许黑客者在受害者的电脑上执行任意命令。该漏洞被标记为“大规模”,影响了无数网站,其中攻击的两个工作版本也在网上公布。目前,许多大型机构,如银行、政府机构和一些世界顶级公司,都在应用程序中使用 Apache Struts。 Apache Struts 是在今年 3 月 6 日发布修复漏洞补丁,而黑客对 Equifax 的入侵发生在 5 月中旬,也就是 Equifax 没有及时打上补丁,让黑客能利用已修复的漏洞入侵系统。研究人员表示,像这样的漏洞会不时发生,非常难以避免。因此强烈建议Equifax 尽快安装补丁。不过,修复该漏洞较为繁琐,涉及到手动更新、测试并重新部署到公司使用的所有 Apache Struts Web 应用程序中。 稿源:据 cnBeta、solidot奇客 综合整理,封面源自网络;

美国 FTC 开始着手调查 Equifax 机构信息泄露案件

震惊全美的数据泄密事件过后,信用报告机构 Equifax 遭到美国联邦贸易委员会(FTC)和众议院的调查,未来更可能受到 SEC 等监管机构的调查。Equifax 于本周四证实,当前正接受 FTC 现场调查。 FTC 公共事务代理负责人 Peter Kaplan 表示,FTC 通常不会针对正在进行的调查作出评论,但因为这件事关乎公众利益,其潜在影响也较为重要。因此现在证实FTC 正在就 Equifax 数据泄露一事进行调查。Equifax 上周公开承认,公司在 7 月底发现数据库遭黑客入侵,数据泄露涉及 1.43亿 美国消费者,其黑客访问信息主要包括姓名、社保号码、出生日期、地址,有时还包括驾照信息。另外,泄露信息还包括 20.9 万美国用户信用卡号,以及 18.2 万美国用户部分争议性文件。 这是去年雅虎宣布两起网络漏洞以来,最备受瞩目的网络安全漏洞。不仅如此,公司三位高管在 8 月初共计出售近 200 万美元的股票,这难免引发有关内幕交易的猜测。此外,Equifax 开通一个名为的 Trust ID Premie 网站,令消费者得以确定个人信息是否遭到损害,并提供免费的信贷档案监控和识别盗窃保护。然而,公司的用户服务条款隐含了一个陷阱——如果资料被泄露,并注册了这个网站,用户将同意放弃向 Equifax 发起集体诉讼的权利。这无疑再度引燃民众不满。 近四十名参议员在本周二要求司法部、SEC 和 FTC 联手调查这家公司高管在泄密发生后抛售股票的操作。据悉,Equifax CEO 将会就公司客户大规模信息泄漏事件于 10 月 3 日参加众议院的一个委员会听证。英国《金融时报》报道称,这家公司也可能面临美国 SEC 以及多个州检察长的调查。 除了 Equifax 之外,美国还有 TransUnion 和 Experian 两大征信巨头。Equifax 泄密事件过后,整个行业受到的监管可能升级。本周四,这家公司股票开盘后暴跌超 9%,随后跌幅收窄,当日收跌 2.44%,盘后下跌 1.21%。上周五信息泄露事件曝光以来,Equifax 股价累计跌幅达 30% 以上,市值蒸发近 50 亿美元。 稿源:cnBeta、华尔街见闻,封面源自网络;

Equifax 再陷风波:一门户网站管理员密码竟是 admin/admin

据外媒报道,又一个 Equifax 门户网站被指存在安全协议问题。最先发现这个的 Hold Security LLC 指出,一个负责管理信用报告纠纷(内含个人信息)的新 Equifax 门户网站使用的用户名和密码都为 admin。该门户网站叫 Veraz,来自阿根廷,目前已下线,然而它是在 Equifax 获得潜在安全漏洞报告后才采取的行动。 除了管理员用户名和密码都极其简单外,研究人员还从安全公司提供的页面看到,该网站职工的登录也非常简单,他们所有人的用户名和密码都以纯文本的格式储存在网页中。而这么做并非因为他们的用户名或密码有多么难,相反,很简单–用户名和密码都是员工的姓氏。 或许用户名和密码很好破解可以让人理解,但是,这个网站的设置也异常脆弱。实际上,它使用的还是上世纪 90 年代初所用的安全级别。登入网站后可以找到 Equifax 用户大量信息,包括姓名、DNI(阿根廷社保号)、投诉和/或决议。据了解,该门户网站总共有 14000 页内容,其中 750 页为消费者投诉信息。 稿源:cnBeta,封面源自网络;

Equifax 应用已从 App Store 和 Google Play 中下架

据外媒报道,美国征信企业巨头 Equifax 的移动应用已从苹果 App Store 和 Google Play 应用商店下架。根据 AppAnnie 的数据显示,应用是在 Equifax 证实安全漏洞的同一天( 9 月 7 日)下架。现在 Equifax 客户不能访问 Equifax Mobile。 该公司上周表示, 几个月来黑客利用网站漏洞获取了某些文件,这可能使恶意的第三方获得上亿美国人的个人资料,包括社会保障号码,地址和信用卡信息等。为了帮助公众了解他们是否受到黑客攻击,Equifax 推出一个独立网站,但是这要求用户输入六位数的社会保障号码。 更重要的是,这个网站是否能给用户提供准确信息目前尚不清楚。 多名用户已经报告称在他们多次将信息输入该网站后,收到关于是否受到安全漏洞的影响的不同答案。其他人甚至还尝试输入错误的社会保障号码,如 “ 123456 ”,也会被告知他们的数据可能会受到影响。 现在 Equifax 应用程序已经从 App Store下架。例如,当 iOS 用户尝试访问应用程序时,他们会收到弹窗,要求他们更新应用。弹窗将用户引导到 App Store,通知他们 Equifax 应用程序不再可用。 另外 Fast Company 已经确认苹果公司没有参与将 Equifax 从 App Store 中下架的决定。 稿源:cnBeta,封面源自网络;

Apache Struts 项目团队发表声明:与美国征信企业 Equifax 泄露事件无关

美国征信企业 Equifax 上周承认多达 1.43 亿用户的敏感信息外泄,Apache Struts Web 框架也在同一时间曝出了一个有九年历史的漏洞,该漏洞编号为 CVE-2017-9805。Equifax 声称黑客利用 Web 应用的漏洞访问某些文件,而 Apache Struts 项目被人怀疑与此有关。 Apache Struts 项目今年曝出两个漏洞,一个是在 3 月,另一个就是在上周。目前并不清楚黑客究竟利用了什么漏洞,Apache Struts 项目为此发表声明澄清有关传言。它解释称,在九年之后发现漏洞和已经知道漏洞几年是有重大区别的。如果是后者,开发团队将需要非常困难的给出足够好的解释为什么没有更早修复漏洞。但这里的情况并非如此,在接到漏洞报告之后,他们尽可能快的修复漏洞。而该漏洞是一个常见的软件工程问题,开发者写代码去实现某个想要的功能,但并未意识到某些不想要的副作用。 稿源:solidot奇客,封面源自网络;

美国信用巨头 Equifax 数据泄露后发布查询服务网站遭用户质疑

美国信用巨头 Equifax 上周证实逾 1.43 亿用户的敏感信息外泄。不过,公司随后上线了一个服务网站,允许用户查询自己的账号信息是否遭到泄漏。但为了同意查询,用户需要放弃自己起诉获得赔偿的合法权利。除此之外,Equifax 还在游说杀死保护数据泄漏受害者的法规。 Equifax 游说的消费数据产业联盟表示:“允许用户起诉公司并不是为大众利益或公益事业服务,企业在当前的法律下将面临严厉的民事责任条款 ”。 不过,研究人员对其网站进行验证时发现,当输入一些看似随机的姓氏与社保号码时,并不能确保返回信息是否准确。例如:任意输入 “ Test ” 作为姓氏、“ 123456 ”作为社保号码时,系统验证输出该公民 “ 可能已受到影响 ”。另外,有趣的是,两名不同用户验证同一账号时,却得到两种不同结果。目前,Equifax 并未作出任何置评。 本文根据 zdnet 与 solidot奇客 联合翻译整理,编辑:青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。