照片学分:安妮特Shaff(有修改)

如何不处理违约

Equifax为你指路

Equifax暴露了几乎每一个拥有信用卡的美国成年人的个人数据,大约有1.45亿人。整个社会安全号码系统都被破坏了必须重新考虑围绕艾奎法克斯(Equifax)等数据经纪公司的监管也是如此。

这个案例不同于许多违约案例;在这里,被偷的数据不是客户数据。Equifax的客户是公司。相反,这次入侵的受害者实际上是Equifax的产品。

安全失误

我就不说我们是怎么走到这一步的了。这不是故事有趣的部分。但让我们快速回顾一下哪里出了问题:

1.补丁的问题

泄露的直接原因是Equifax没有给他们的Apache Struts软件打补丁已知和固定的漏洞

2.无法正常加密

软件缺陷发生。网络得到妥协。这些系统的复杂性几乎是不可避免的。聪明的公司会把他们的敏感数据加密,这样即使服务器被破坏,敏感数据也不会被小偷读取。不幸的是,Equifax已经承认了这一点所有被盗的数据都是以未加密的明文存储

3.草率的做法

自从被入侵以来,Equifax已经受到了一些审查。研究人员发现Equifax的阿根廷员工门户网站允许登录凭据“admin/admin”。该网站有超过100名员工的纯文本密码,以及大约17000起信用纠纷的详细信息,每起纠纷中都有阿根廷版的社会安全号码的纯文本。

史诗Post-Breach错误

得知妥协后,Equifax的反应甚至比实际违约本身更有意义。我们已经看到许多严重的数据泄露的组织,他们认真地承担起自己的责任,努力地、真诚地解决这个问题。艾奎法克斯不是其中之一。

该公司似乎打算写一本关于在数据泄露情况下不该做什么的书。

1.不要等着透露

违反时间轴:

  • 2017年3月:发布Apache Struts安全更新
  • 2017年5月: Equifax被攻破
  • 2017年7月:发现违约
  • 2017年8月:高管们卖出了价值数百万美元的Equifax股票
  • 2017年9月:违约被披露

美国各州都有一些违反信息披露的法律,它们根据受影响人群的居住地而适用。所以如果佛罗里达州有人受到了影响,他们确实受到了影响,那么佛罗里达州的违约披露法就会生效。佛罗里达州要求在发现漏洞后30天内通知。艾奎法克斯等了40天。

在那几个星期里,他们忙着将被盗的数据转化为他们的欺诈检测业务的商机。一些高管把时间用在了看起来很像内幕交易的事情上。

2.不要把客户指向一个新网站

作为回应的一部分,Equifax注册了一个新网站equifaxsecurity2017.com,他们派人去那里查看他们的信息是否被盗。

针对贝宝(Paypal)和Equifax等大品牌的网络钓鱼攻击进行监控的安全服务机构将新域名标记为恶意域名,并对客户进行屏蔽。这是因为通常当有人注册像paypalsupport.com这样的网站时,是因为他们试图让粗心的接收者点击一个链接,访问一个恶意网站。

此外,这个新网站的名称令人困惑,很容易忘记,这意味着恶意的人可以做出一个令人信服的变体。事实上,一位安全研究人员证明了这一点,他注册了securityyequifax2017.com,并让它看起来像官方网站。其实是艾奎法克斯的支持团队让几十个客户上了那个假网站在事故。很幸运,他们所指的网站是由一个有观点的人经营的。自从泄密事件曝光以来,骗子已经注册了194个类似的网站。

3.不假

在那个网站上,Equifax声称你可以查看自己的数据是否被盗。但它表明,即使输入了假姓名和社会安全号码,数据也被窃取了。在某些情况下给了不同的答案这取决于一个人是通过桌面电脑还是移动浏览器进行检查。

由于网站信息混乱和不准确,Equifax的呼叫中心被淹没,很少人能够接通。

4.不要试图从中获利

Equifax试图从他们的无能中获利,这是他们最令人厌恶的举动之一。不幸的是,他们很可能会成功。今年8月,在得知泄密事件后(但在披露之前),Equifax的首席执行官就该公司欺诈监测部门面临的商业机会发表了演讲。10bet娱乐71966 澳门永利以下是目前为止我们看到的情况:

a.公司向受影响(和未受影响)的人免费提供一年的自己的信用监测服务,之后他们会每月自动收取17美元。这可以使他们受益超过200美元/年如果只有一小部分人报名就好了。

他们向人们收取10美元冻结他们的信用报告,以防止身份盗窃。在被公开羞辱后,他们暂时关闭了这个功能,但仍然收费解冻。

c. LifeLock这样的合作公司在阻止或检测欺诈行为方面几乎没有做什么,但却给了Equifax一笔回扣。自从Equifax泄密后,注册人数激增。

d. Equifax被联邦政府认为是唯一适合提供反欺诈服务的供应商,这意味着他们正在获得数百万美元的无标合同国税局之类的机构

5.别想逃避责任

最初,Equifax在其新网站上添加了法律术语,以便任何查看是否受到影响的人自动同意他们的服务条款,其中包括放弃在法庭上起诉的权利或者参与集体诉讼。上面写着"如果你同意将你的索赔提交仲裁,你将丧失参与任何集体诉讼的权利"这一举动太恶心了,他们不得不改变措辞。

6.不要推卸责任

首席信息官和首席安全官双双迅速“下台”——这是意料之中的。安全官员的部分工作职责是在发生不好的事情时承担责任。在这种情况下,这位首席执行官最终也辞职了(注意:他被解雇并不是有原因的)。但这并没有阻止他在国会作证单这人因为没有通知“适当的IT团队”而搞砸了。他还指出了他们的补丁扫描软件。

最糟糕的是归属游戏。各位,“民族国家”是否应该为黑客行为负责并不是重点。暗示它可能是无关紧要的。即使是一个民族国家要对此负责,即使是糟糕的安全措施打开了一扇门,谁进来也无关紧要。门应该是锁着的,里面的贵重物品应该存放在保险箱里。

结论

最终,安全并不是Equifax的首要任务。他们甚至没有加密数据。Equifax拥有数百万人的详细信息,但这些人不是他们的客户。他们无法控制Equifax收集和存储关于他们的哪些数据。企业就是客户。因此,在保护消费者数据安全方面,Equifax几乎没有经济或监管方面的动力。

尽管这位前首席执行官声称“我们为自己是管理和保护数据的领导者而自豪”,但事实并非如此。这已经不是他们今年第一次入侵了。三月份他们又发生了一次入侵在他们的TALX工资单部门10bet娱乐71966 澳门永利

对Equifax来说,更多的欺诈意味着更多的业务。至于首席执行官,辞职得到一笔意外之财高达9000万美元。在隐私和安全得到保障之前,我们不太可能在短时间内看到此类新闻的减少。但希望我们不会再看到如此大规模的泄密事件。这很可以预防的。

咸的散列

关于构建安全的提示、技巧、指针和透视图…

多亏了鲍勃墙

写的

学者,梦想家,创造者,冒险家,黑客,领导者和观察者。提倡隐私和安全。首席执行官IronCore实验室。

咸的散列

关于构建安全、可测试、可维护的应用程序的提示、技巧、指针和观点。来自IronCore实验室的关于安全和隐私的想法和观察。

写的

学者,梦想家,创造者,冒险家,黑客,领导者和观察者。提倡隐私和安全。首席执行官IronCore实验室。

咸的散列

关于构建安全、可测试、可维护的应用程序的提示、技巧、指针和观点。来自IronCore实验室的关于安全和隐私的想法和观察。

媒介是一个开放的平台,1.7亿读者可以在这里找到深刻和动态的思考。在这里,专家和未被发现的声音同样会深入任何话题的核心,并带来新的想法。了解更多

关注与你有关的作家、出版物和主题,你会在你的主页和收件箱中看到它们。探索

如果你有故事要讲,有知识要分享,有观点要提供,欢迎回家。发布你对任何话题的想法都是很容易和免费的。写在媒介

获取媒体应用程序

有一个“在App Store上下载”的按钮,点击它就会引导你进入iOS App Store
一个按钮,上面写着“Get it on,谷歌Play”,如果点击它,你就会进入谷歌Play商店