Equifax 上周曝出 1.43 亿美国用户的敏感信息在线泄露，当时他们声称黑客利用 Web 应用漏洞入侵数据库，但并未披露任何细节。本周，Equifax 证实，宣称黑客利用了开源项目 Apache Struts 漏洞 CVE-2017-5638 。 漏洞利用特制的 HTTP Headers（HTTP 首部/ HTTP 报文）允许黑客者在受害者的电脑上执行任意命令。该漏洞被标记为“大规模”，影响了无数网站，其中攻击的两个工作版本也在网上公布。目前，许多大型机构，如银行、政府机构和一些世界顶级公司，都在应用程序中使用 Apache Struts。 Apache Struts 是在今年 3 月 6 日发布修复漏洞补丁，而黑客对 Equifax 的入侵发生在 5 月中旬，也就是 Equifax 没有及时打上补丁，让黑客能利用已修复的漏洞入侵系统。研究人员表示，像这样的漏洞会不时发生，非常难以避免。因此强烈建议Equifax 尽快安装补丁。不过，修复该漏洞较为繁琐，涉及到手动更新、测试并重新部署到公司使用的所有 Apache Struts Web 应用程序中。 稿源：据 cnBeta、solidot奇客 综合整理，封面源自网络；

震惊全美的数据泄密事件过后，信用报告机构 Equifax 遭到美国联邦贸易委员会（FTC）和众议院的调查，未来更可能受到 SEC 等监管机构的调查。Equifax 于本周四证实，当前正接受 FTC 现场调查。 FTC 公共事务代理负责人 Peter Kaplan 表示，FTC 通常不会针对正在进行的调查作出评论，但因为这件事关乎公众利益，其潜在影响也较为重要。因此现在证实FTC 正在就 Equifax 数据泄露一事进行调查。Equifax 上周公开承认，公司在 7 月底发现数据库遭黑客入侵，数据泄露涉及 1.43亿 美国消费者，其黑客访问信息主要包括姓名、社保号码、出生日期、地址，有时还包括驾照信息。另外，泄露信息还包括 20.9 万美国用户信用卡号，以及 18.2 万美国用户部分争议性文件。 这是去年雅虎宣布两起网络漏洞以来，最备受瞩目的网络安全漏洞。不仅如此，公司三位高管在 8 月初共计出售近 200 万美元的股票，这难免引发有关内幕交易的猜测。此外，Equifax 开通一个名为的 Trust ID Premie 网站，令消费者得以确定个人信息是否遭到损害，并提供免费的信贷档案监控和识别盗窃保护。然而，公司的用户服务条款隐含了一个陷阱——如果资料被泄露，并注册了这个网站，用户将同意放弃向 Equifax 发起集体诉讼的权利。这无疑再度引燃民众不满。 近四十名参议员在本周二要求司法部、SEC 和 FTC 联手调查这家公司高管在泄密发生后抛售股票的操作。据悉，Equifax CEO 将会就公司客户大规模信息泄漏事件于 10 月 3 日参加众议院的一个委员会听证。英国《金融时报》报道称，这家公司也可能面临美国 SEC 以及多个州检察长的调查。 除了 Equifax 之外，美国还有 TransUnion 和 Experian 两大征信巨头。Equifax 泄密事件过后，整个行业受到的监管可能升级。本周四，这家公司股票开盘后暴跌超 9%，随后跌幅收窄，当日收跌 2.44%，盘后下跌 1.21%。上周五信息泄露事件曝光以来，Equifax 股价累计跌幅达 30% 以上，市值蒸发近 50 亿美元。 稿源：cnBeta、华尔街见闻，封面源自网络；

据外媒报道，又一个 Equifax 门户网站被指存在安全协议问题。最先发现这个的 Hold Security LLC 指出，一个负责管理信用报告纠纷（内含个人信息）的新 Equifax 门户网站使用的用户名和密码都为 admin。该门户网站叫 Veraz，来自阿根廷，目前已下线，然而它是在 Equifax 获得潜在安全漏洞报告后才采取的行动。 除了管理员用户名和密码都极其简单外，研究人员还从安全公司提供的页面看到，该网站职工的登录也非常简单，他们所有人的用户名和密码都以纯文本的格式储存在网页中。而这么做并非因为他们的用户名或密码有多么难，相反，很简单–用户名和密码都是员工的姓氏。 或许用户名和密码很好破解可以让人理解，但是，这个网站的设置也异常脆弱。实际上，它使用的还是上世纪 90 年代初所用的安全级别。登入网站后可以找到 Equifax 用户大量信息，包括姓名、DNI（阿根廷社保号）、投诉和/或决议。据了解，该门户网站总共有 14000 页内容，其中 750 页为消费者投诉信息。 稿源：cnBeta，封面源自网络；

据外媒报道，美国征信企业巨头 Equifax 的移动应用已从苹果 App Store 和 Google Play 应用商店下架。根据 AppAnnie 的数据显示，应用是在 Equifax 证实安全漏洞的同一天（ 9 月 7 日）下架。现在 Equifax 客户不能访问 Equifax Mobile。 该公司上周表示， 几个月来黑客利用网站漏洞获取了某些文件，这可能使恶意的第三方获得上亿美国人的个人资料，包括社会保障号码，地址和信用卡信息等。为了帮助公众了解他们是否受到黑客攻击，Equifax 推出一个独立网站，但是这要求用户输入六位数的社会保障号码。 更重要的是，这个网站是否能给用户提供准确信息目前尚不清楚。 多名用户已经报告称在他们多次将信息输入该网站后，收到关于是否受到安全漏洞的影响的不同答案。其他人甚至还尝试输入错误的社会保障号码，如 “ 123456 ”，也会被告知他们的数据可能会受到影响。 现在 Equifax 应用程序已经从 App Store下架。例如，当 iOS 用户尝试访问应用程序时，他们会收到弹窗，要求他们更新应用。弹窗将用户引导到 App Store，通知他们 Equifax 应用程序不再可用。 另外 Fast Company 已经确认苹果公司没有参与将 Equifax 从 App Store 中下架的决定。 稿源：cnBeta，封面源自网络；

美国征信企业 Equifax 上周承认多达 1.43 亿用户的敏感信息外泄，Apache Struts Web 框架也在同一时间曝出了一个有九年历史的漏洞，该漏洞编号为 CVE-2017-9805。Equifax 声称黑客利用 Web 应用的漏洞访问某些文件，而 Apache Struts 项目被人怀疑与此有关。 Apache Struts 项目今年曝出两个漏洞，一个是在 3 月，另一个就是在上周。目前并不清楚黑客究竟利用了什么漏洞，Apache Struts 项目为此发表声明澄清有关传言。它解释称，在九年之后发现漏洞和已经知道漏洞几年是有重大区别的。如果是后者，开发团队将需要非常困难的给出足够好的解释为什么没有更早修复漏洞。但这里的情况并非如此，在接到漏洞报告之后，他们尽可能快的修复漏洞。而该漏洞是一个常见的软件工程问题，开发者写代码去实现某个想要的功能，但并未意识到某些不想要的副作用。 稿源：solidot奇客，封面源自网络；

美国信用巨头 Equifax 上周证实逾 1.43 亿用户的敏感信息外泄。不过，公司随后上线了一个服务网站，允许用户查询自己的账号信息是否遭到泄漏。但为了同意查询，用户需要放弃自己起诉获得赔偿的合法权利。除此之外，Equifax 还在游说杀死保护数据泄漏受害者的法规。 Equifax 游说的消费数据产业联盟表示：“允许用户起诉公司并不是为大众利益或公益事业服务，企业在当前的法律下将面临严厉的民事责任条款 ”。 不过，研究人员对其网站进行验证时发现，当输入一些看似随机的姓氏与社保号码时，并不能确保返回信息是否准确。例如：任意输入 “ Test ” 作为姓氏、“ 123456 ”作为社保号码时，系统验证输出该公民 “ 可能已受到影响 ”。另外，有趣的是，两名不同用户验证同一账号时，却得到两种不同结果。目前，Equifax 并未作出任何置评。 本文根据 zdnet 与 solidot奇客 联合翻译整理，编辑：青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国征信企业 Equifax 近期披露称，公司网站遭黑客攻击，逾 1.43 亿美国公民记录在线泄露，其中包括姓名、住址、出生日期、社会保障号，有时还会包含驾照信息。Equifax 表示，泄露从 5 月中旬开始，直至 7 月 29 日公司才察觉。知情人士透露，Equifax 掌握用户所有的个人信息与信用记录，一旦数据泄露，攻击者极有可能盗刷信用卡、贷款买房买车，最后留下不良记录。目前，Equifax 已推出用户身份盗窃保护与信用档案监控服务。如果用户信息已在线泄露，那么用户可采取以下措施： Ο 第一时间通知美国三大信用提供商（Equifax、 Exparian 与 Transunion），冻结账户活动。此外，最好保存通话记录，以便后期作为有力证据; Ο 通知一切使用你 SSN 信息的金融机构，如：银行、贷款公司、股票公司、信用卡公司等; Ο 及时报警; Ο 如果还担心 SSN 通过其他途径被泄露，可向三大信用公司索取信用报告。 如果说有什么事件比泄露 1.43 亿用户信息更加具有杀伤力，那就数 Equifax 高管涉嫌内幕交易丑闻。据彭博社报道，在 Equifax 发现安全漏洞后的数天内，三名公司高管紧急抛售了价值近 180 万美元的股票。但 Equifax 表示，公司三名高管在减持前，对公司客户个人信息的泄漏并不知情。 美国证券交易委员会（SEC）监管文件显示：Equifax 首席财务官约翰·甘布尔于 8 月 1 日出售了价值 946374 美元的股票；然而同天，信息解决方案总裁约瑟夫·劳伦行使了价值 584099 美元的股票期权；劳动力解决方案总裁兰多夫·普罗德则于 8 月 2 日出售了价值 250458 美元的股票。据 Market Watch 报道，一般而言这样规模的高管减持按惯例应提前报备 SEC，但这三位高管的减持属于临时起意行为。 9 月 7 日，Equifax 股价以 142.72 美元收盘，甘布尔所持 Equifax 公司股份价值近 600 万美元。也就是说，甘布尔此次减持的股票超过了他之前持股总额的 15%。不过，SEC 目前并未对 Equifax 三名高管在事发后的减持行为得出明确调查结论。 稿源：据、央视财经 内容综合整理，稿件以及封面源自网络；

美国媒体之前爆出一则重磅消息，信用评级机构 Equifax 数据库被黑，国家近半数信息被盗。据说，这次的数据库被黑事件甚至会影响到不少 iPhone 买家。要知道作为美国三大信用评级机构之一的 Equifax 公司，他们的数据库里面有着多达 1.43 亿用户的资料，而他们的数据，包括姓名、生日、地址、SSN 社安号，信用卡号、驾驶证号码等等，全部外泄。 如今美国的总人口为 3.2 亿，这意味着，每两个人中就有一个人的信息被盗。美国联邦调查局和一家安保公司现在正调查这一情况。Equifax 公司表示这次黑客攻击发生在 5 月至 7 月之间，但他们直到 7 月 29 日才发现。虽然发现后立刻采取行动制止，但大量信息已经被窃取。 苹果在美国的 iPhone 升级分期付款计划的合作伙伴是 Citizens Bank 。据悉，该银行也会用 Equifax 公司数据库进行一些信用方面的检查，而如果这些信息泄露的话，那肯定也会影响了许多 iPhone 的买家。而且，AT&T 和 Verizon 等运营商也会对自己的用户进行了信用方面的检查。不过对于众多的 iPhone 买家来说，现在最重要的是要尽快检查他们是否受到了影响，因为这些被泄露的数据可能被用来获取银行账户和医疗记录等信息。 对于美国的消费者来说，他们都很乐意参与各种各样的 iPhone 升级分期付款计划，特别是对于那些每年换手机、或者每两年换手机的客户来说。考虑到今年的新的 iPhone 的售价很有可能会超过 1000 美元，所以今年许多美国 iPhone 用户都极有可能参与更实惠的 iPhone 升级分期付款计划。但这次的个人信息外泄事件，很有可能也会给那些考虑参与？iPhone 升级分期付款计划的用户们带来一些疑惑和困扰。 稿源：cnBeta、威锋网，封面源自网络；

据外媒 9 月 8 日报道，美国征信企业 Equifax 披露称，公司网站遭黑客攻击，1.43 亿美国公民记录在线泄露。 美国共有 3 家大型老牌征信企业，Equifax 正是其中之一，它掌管 8 亿公民的信用、保险记录，如果黑客想窃取数据，Equifax 往往会成为攻击目标。Equifax 表示，泄露从 5 月中旬开始，直至 7 月 29 日公司才察觉。 目前，犯罪分子已获取公民个人信息，其中包括姓名、住址、出生日期、社会保障号，有时还会包含驾照信息。据悉，黑客可以通过访问公民信息，为受害用户创建帐户或接管帐户。此外，在美国泄露的信息还包括 20.9 万人的信用卡卡号、18.2 万人的特定争议文件。 为了应对危机，Equifax 开通一个向所有美国公民提供 1 年免费保护的服务网站，可以对公民信贷进行监控，以防止身份被窃，只是暂时还不知道是否实用。由于受害者众多，泄露的信息也很多，这可能是近年来最大的泄露事故。之前雅虎虽然泄露了 10 亿帐户的信息，不过里面没有包含社会保障号和驾照号码。 稿源：cnBeta、，稿件以及封面源自网络；