首页
 

最新动态

pk10五码两期全天计划 > 最新动态 > 为什么Equifax漏洞很可能是有史以来最严重的个人信息泄露

为什么Equifax漏洞很可能是有史以来最严重的个人信息泄露

点击:50时间:2018-06-17

2017年令人悲哀的现实是,影响到1.43亿人的数据泄露与其他最近的黑客攻击相比相形见绌——例如2013年和2014年攻击雅虎的黑客攻击,分别暴露了10亿和5亿用户的个人信息;另一个披露了去年性和摇摆社区网站AdultFriendFinder上4.12亿个账户的详细信息;2014年eBay遭黑客攻击,向1.45亿用户泄露敏感数据。

进一步阅读quifax网站hack揭露了约1.43亿美国消费者的数据,然而,周四报道的Equifax泄密事件很可能是最严重的,原因很简单:它向犯罪分子移交了惊人数量的高度敏感数据。通过提供全名、社会保障号码、出生日期、地址,以及在某些情况下提供驾照号码,它提供了银行、保险公司和其他企业用来确认消费者是他们声称的人的大多数信息。犯罪分子利用Equifax网站上的一个安全漏洞进行盗窃,这为数据现在掌握在敌对政府、犯罪团伙或两者手中打开了令人不安的前景,而且将永远如此。相比之下,

攻击雅虎和其他网站的黑客攻击可能已经攻破了更多的账户,但个人数据的严重程度一般更为有限。在大多数情况下,可以通过更改密码或获取新的信用卡号码来控制损坏。更有甚者,Equifax说有1.43亿美国人可能受到影响,约占总人口的44 %。当孩子和没有信用记录的人被删除时,这个比例会变得更大。这就意味着,在所有最依赖银行贷款和信用卡的美国居民中,有一半以上的人现在面临的欺诈风险要高得多,而且今后几年也将如此。这些数据除了被用来以其他人的名义贷款之外,还可能被敌对政府滥用,例如,被用来梳理有关安全审查人员的新信息,特别是考虑到2015年美国人事管理办公室遭到黑客攻击,暴露了320万联邦现任和退休雇员的高度敏感数据。

业余反应除了盗窃数据的严重程度和范围之外,Equifax违规行为也是公司发现违规行为后处理违规行为的突出表现。首先,这家总部位于亚特兰大的公司花了五个多星期才披露数据丢失情况。更糟糕的是,据彭博新闻社报道,在7月29日发现违规后的几天里,三名Equifax高管被允许出售价值超过180万美元的股票。虽然Equifax官员告诉新闻服务公司,员工在销售时并未被告知违规情况,但交易至少出现了错误的外观,并暗示事件响应者在潜在灾难性黑客攻击成为焦点后的几天内没有采取足够的行动来控制损害。更有甚者,equifaxsecurity017 . com /,这是Equifax为通知人们违规而创建的网站,由于各种原因,问题很大。它运行在股票安装WordPress上,这是一个内容管理系统,它不提供要求人们提供他们的姓氏和除了三位数之外的所有社会安全号码的网站所需的企业级安全。TLS证书不执行正确的吊销检查。更糟的是,域名并没有注册到Equifax,它的格式看起来就像是犯罪活动用来窃取人的详细信息的那种东西。Cisco拥有的开放DNS阻止访问该网站并警告这是可疑的网络钓鱼威胁,这并不奇怪。(更新: whois记录周日更新,现在显示域名已注册到Equifax。)

另一个不良迹象:管理网站的用户名留在这里托管的页面中。加州时间上午8 : 50左右,它被拆除前的样子是这样的:

它本身不允许未经授权的访问,但它仍然是不应该发生的事情。

与此同时,在违规披露后的几个小时内,主要的Equifax网站正在显示调试代码,出于安全原因,调试代码在任何生产服务器上都不应该发生,尤其是远离如此多敏感数据的服务器。这种严重的错误并没有给公司工程师灌输信心,公司工程师已经使这个网站变得更加坚固,以抵御未来毁灭性的攻击。

Equifax运营的网站已经够糟糕的了,犯罪分子可以利用它来泄露这么多敏感数据。这一点,再加上溢出数据的庞大数量和敏感性,足以使这成为有史以来最严重的数据泄露事件之一。杂乱无章的反应几乎保证了这一点。

发布更新d .添加有关暴露用户名的详细信息。

关闭