Equifax数据泄露事件技术响应剖析

本周的《Risk & Repeat》播客中，SearchSecurity编辑团队深入讨论了Equifax大规模数据泄露事件，以及该信用机构对安全事件的响应如何引发更多问题。

Equifax数据泄露事件暴露了1.43亿美国消费者的个人数据，引发了对这家信用报告公司安全事件响应能力的质疑。Equifax的数据泄露通知在入侵事件发生近六周后才正式发布，该公司发现漏洞后，泄露的信息包括地址、出生日期和社会安全号码。

公司为消费者提供了一个新网站，用于检查其个人可识别信息（PII）是否在泄露中受影响，但该网站存在大量问题。例如，网站URL——equifaxsecurity2017.com——看起来可疑，且基于标准版WordPress构建，该平台近年来多次出现安全问题和攻击事件。此外，网站的TLS证书未执行吊销检查，尽管Equifax后来解决了该问题。由于Equifax数据泄露检查器要求用户输入社会安全号码的最后六位数字，如果网站被入侵，用户可能面临进一步风险。

Equifax的漏洞响应还存在其他问题。公司提供的信用监控和身份盗窃保护服务TrustedID为消费者免费提供一年，但服务条款包含令人困惑的语言，似乎禁止对Equifax提起集体诉讼——尽管公司后来澄清了条款。一些消费者还发现，TrustedID服务生成的PIN不是随机数字，而是基于用户注册日期和时间的顺序数字。

除了有问题的响应措施外，对攻击性质和Equifax数据泄露范围的担忧持续增长。尽管Equifax将泄露归因于Web应用程序漏洞，但未披露涉及的具体应用程序或漏洞。

为何如此多美国人的PII显然未受保护？Equifax数据泄露对企业安全的长期影响是什么？公司本应如何更好地处理其漏洞响应？SearchSecurity编辑Rob Wright和Peter Loshin在本期《Risk & Repeat》播客中讨论了这些问题。

后续步骤

• Risk & Repeat：支付卡安全研究提供清醒结果
• Risk & Repeat：小型信息安全会议兴起
• Risk & Repeat：新理论声称DNC黑客攻击是内部工作