美国一家信用机构遭黑客入侵 1.43亿人信息被泄露
每经记者 蔡鼎 每经编辑 王晓波
据路透社等媒体消息,当地时间周四(9月7日)晚间,美国三大信用报告公司之一的Equifax Inc.(NYSE:EFX)在一份声明中称,公司于7月29日遭到网络攻击,近半美国人(约1.43亿)的信用信息被泄露。Equifax在一份声明中表示,黑客利用网站应用程序漏洞访问了约1.43亿消费者的姓名、地址、社会安全码和一些驾照号码。Equifax遭到的此次攻击也成为史上最严重的安全漏洞事件之一。
美股周四收盘,Equifax收涨0.94%报142.72美元,但其在盘后跳水,一度暴跌13.4%。此外,据彭博社报道,在遭受网络攻击的消息对外公开前,Equifax的3位高管还抛售了价值约180万美元的公司股票。
网络安全专家:被入侵数据庞大
安全专家表示,Equifax遭遇黑客入侵对广大消费者是一个警示,提醒大众要特别注意个人信息在互联网泄漏的风险。
“(被入侵的用户数据)是庞大的,”网络安全公司Iboss首席执行官保罗·马蒂尼(Paul Martini)在接受彭博社采访时表示。“这超出了我们以往见过的任何其他数据漏洞——不仅入侵的规模,还有被入侵的数据库中的数据类型。”
《每日经济新闻》记者注意到,Equifax还特意建立了一个网站(www.equifaxsecurity2017.com),以便让消费者可以登陆查询他们的个人信息是否被入侵。此外,Equifax还提供免费的信用文件监控和身份盗窃保护。
“在今年5月中旬至7月间,犯罪分子利用了美国网站的应用程序漏洞来获取某些文件,”Equifax表示。此外,黑客还获取了约18.2万份个人识别信息,也有约20.9万名消费者的信用卡卡号被入侵。
美国联邦调查局(FBI)在一份声明中表示,已经知悉这起黑客事件,并将“在适当的情况下追踪事态进展”。
被入侵3天后三名高管套现近180万美元
除了大量客户的个人信息被盗外,还有更令Equifax头疼的——据彭博社报道,在Equifax发现了安全漏洞后的几天,三名公司高管出售了价值近180万美元的股票。但Equifax表示,公司三名高管在减持前,对公司客户个人信息的泄漏并不知情。
彭博社指出,Equifax在7月29日发现其客户数据被黑客入侵,监管文件显示,在3天后,Equifax首席财务官约翰·甘布尔(John Gamble)出售了价值946374美元的股票、美国信息解决方案总裁约瑟夫·劳伦(Joseph Loughran)行使了价值584099美元的股票期权、劳动力解决方案总裁兰多夫·普罗德(Rodolfo Ploder)则于8月2日出售了价值250458美元的股票。
这三名公司高管“出售了他们所持有的Equifax公司股票中很小的一部分 ” Equifax公司发言人伊娜丝·加兹曼(Ines Gutzmer)在一封电子邮件中写道。“他们(在减持时)并不知道公司发生了安全入侵。”
《每日经济新闻》记者注意到,截至美股本周四收盘,CFO甘布尔累计持有Equifax公司42078股股票,以周四收盘价142.72美元计,甘布尔所持Equifax公司股份价值近600万美元。尽管从甘布尔的持股总额来看,此次减持的价值946374美元的股票并不算多,但这也超过他之前所持股票总额的15%。
不过,目前并不能说Equifax三名高管在事发后的减持行为是违反美国证券交易委员会规定的,这有待当局的实际调查结果。
用户个人信息被盗早有先例
彭博社指出,Equifax、芝加哥环联公司(TransUnion,NYSE: TRU)和英国益博睿(Experian Plc,LON: EXPN)等大型的信贷数据经纪商多年来一直在与监管方面斗争,以证明他们有能力管理数亿美国人个人信息。
而包括马萨诸塞州民主党参议员伊丽莎白·沃伦(Elizabeth Warren)在内的批评人士将矛头指向了这些信用机构的漏洞,这些漏洞在某种程度上会影响人们获得住房贷款、信用卡和合理利率的能力。弗吉尼亚民主党参议院马克·沃纳(Mark Warner)则表示,这次黑客攻击应该会激起人们对制定更有效的数据泄漏通知标准,以及改善消费者数据保护政策的兴趣。
“毫不夸张地说,这样的数据泄漏事件暴露出了高度敏感的个人和金融信息,而这些信息又是身份管理和信贷获取的关键,这对美国人的经济安全构成了真正的威胁。” 沃纳在一份声明中写道。
彭博社曾在2012年报道称,黑客通过银行或汽车经销商等账户入侵了英国益博睿公司多达86次,在一些案例中,黑客甚至在益博睿未营业期间 下载 了数百份信用报告。
《每日经济新闻》记者注意到,Equifax受到的黑客攻击是自 雅虎 宣布的两起遭遇黑客攻击事件以来最引人注目的网络安全事件。去年,雅虎披露了其于2014年遭遇的一起黑客入侵案件,当时至少对5亿客户账户造成影响。几个月后,雅虎又宣布2013年黑客还窃取了其用户的电子邮件地址和账户密码,以及多达10亿用户的出生日期信息。