这几天,美国炸锅了……
这周四,有家名叫 Equifax 的公司宣布,自己被黑了!泄露了 1.4 亿美国人的身份信息!
你可能没听说过这公司,Facebook 美国用户也才两亿左右,Equifax 怎么就有 1.4 亿?
是这样的:美国社会信用制度实行已久,但承担征信职能,给每个人评定、记录和增扣信用分的却不是政府,而是三家最大的征信公司,Equifax 就是其中之一,另外两个是 Experian 和 TransUnion。美国版的芝麻信用,能懂吧?
在美国,信用制度的核心是社会安全号码 (Social Security Number, SSN),公民在向政府以及征信机构提交各种文书时,通常会用到不同的证件,但 SSN 和驾照是最常用的。
而这次,Equifax 泄露基本上是用户的全套数据了……
Equifax 第一宗罪:泄露资料
Equifax 的这次数据安全事件影响了超过 1.43 亿美国人,他们的姓名、生日、SSN、手机号码和住址都有可能已经被黑客窃取。同样可能被窃取的还有一部分美国人的驾照号,21 万人的信用卡号码,以及大约 18 万人的法律文件,上面记录有详细的个人辨识信息。除了美国之外,英国和加拿大用户也受到不同程度影响……
该公司董事长兼 CEO 里克·史密斯 (Rick Smith) 在声明中宣称,黑客“未经许可”获取了 Equifax 服务器的访问权限。
废话,问你要许可的还叫黑客么……
1935 年,施行罗斯福新政的美国推出了社会安全系统,每个美国人都可以领到一张社会安全卡(其实就是一张纸),上面就是 SSN,一段 9 位的数字。SSN 的制度沿用至今,除了美国人,特定身份的外国人在美国有收入和报税需要也可以申请,基本上是美国人人都有的东西。
这个系统的问题是……它已经快一百年没有改变过了。它有很严重的安全隐患:SSN 一直是那个 9 位的数字,一直是那张纸,上面有你的名字,丢了就等于身份丢失。
而且这个数字还会出现在几十上百种公开的法律文书和证件,比如医保卡、报税表上,极其容易被盗取。
然而,只要美国不立法取缔这个制度,只要政府不下达命令,SSN 就还得继续用下去……
但现在的问题是,SSN 的确不安全,但 Equifax 作为一家征信机构,手握几亿美国人的全套信息,还没搞好服务器安全把信息拱手送给黑客,这口黑锅可就不是 SSN,而是 Equifax 的了……
对了,Equifax 的信息安全负责人约翰·凯利 (John J. Kelley III) 因在“建造和优化全球级的安全系统”上的突出表现,去年获得了 280 万美元薪水和红利。
Equifax 第二宗罪:隐瞒信息、内幕交易
Equifax 是周四宣布的自己被黑的消息。
美国人口 3.26 亿左右,1.4 亿或意味着近一半人口的信息泄露了。
问题如此之严重,Equifax 照样瞒了一个月……
它给的解释是“发现了之后聘请了外部安全公司来做调查,而调查仍在进行过程中。”
也真是够了……要不是因为已经上市,真不知道 Equifax 能把这事儿瞒多久。
同样,因为是上市公司,所有重要事项都要跟联邦证券交易委员会(SEC,美国的证监会)报备。眼尖的美国媒体立刻去翻 SEC 的文件,发现:Equifax 的首席财务官、美国信息解决方案总裁和 员工方案总裁共三名高管,在公司股价高位卖出了总价值接近 180 万美元的 Equifax 股票……
而在 9 月 7 日丑闻曝光后,Equifax 的股价立刻暴跌。
Equifax 的发言人表示,这三人卖出了小比例的股份,他们在当时对本次侵入事件并不知情。
然而法律文书是骗不了人的:三人卖出股票的日期是 8 月 1 日和 2 日——公司发现被黑客侵入的足足三天后。
身为公司的 C-level 和总裁级高管,出事后三天都“不知情”,蒙谁呢?
毫无疑问,三人的行为涉嫌内幕交易 (Insider Trading),但毕竟作为经验丰富的高管,狡猾奸诈的老狐狸,这三人明知道有内幕交易风险,还是做了这单,很可能已经安排妥当了。
一位网友在 Twitter 上表示,“一想到这帮人可能吃个官司花点钱随便弄一弄就没事了,好不爽啊”。
但如果你以为 Equifax 已经够不要脸的了,你还是小看了它……
Equifax 第三宗罪:发国难财
前面提到,美国一半人口被本次黑客事件波及,这足以导致 SSN 制度,甚至整个美国信用系统遭遇颠覆性危机……
而 Equifax 倒是聪明得很,让人感受到了美国大企业能油条到什么程度:
在宣布事件的同时,Equifax 很机智地上线了一个网站 equifaxsecurity2017.com。他们在这个网站上交代了事情的前因后果,但用的是他们自己的口径,而且交代的并非全部的、最详细的事实。
这个网站的一个功能是让美国人上去查询自己的资料。聪明的地方在这里:这个网站越多人搜索、越多人访问、越多人转发,Equifax 自己的口径就传播的越广……
输入你的姓和 SSN 的后六位,网站会告诉你的资料是否泄漏。如果波及了你,这个网站会很聪明地告诉你:
感谢!根据您提供的信息,你的资料可能已经泄露。点击按钮来注册高级账户服务!
最不要脸的地方在这里:这个网站诱导你去注册的这个所谓的高级账户服务,名叫 TrustID Premier,看起来好像是进一步保护你的资料的……并不是!
它其实是一个三大机构联合监控你的信用分的服务,之前是付费的,这两天免费但不知道持续多久……
而且它根本保护不了你的资料,因为它的提供方也是 Equifax……没错,就是上个月刚刚被黑客攻破拿走了 1.4 亿用户资料的 Equifax。
也就是说,Equifax 来到这个世上唯一的任务——保护好大家的信息——失败了,而且失败地如此彻底……然后它居然还想继续做下去?
Equifax 第四宗罪:巧言簧舌躲避起诉
如果你的资料被波及了,被 Equifax 骗了,注册了这个 TrustID Premier 服务,它会让你再一次提交全名和 9 位 SSN,然后会让你同意用户服务条款。
条款有这样一条:你放弃向 Equifax 发起集体诉讼的权利。
同样,如果你之前已经是 Equifax 的用户,那你可能已经签署了同样的条款。
集体诉讼 (class-action lawsuit) 是美国法律允许的一种起诉方式。如果一家公司坑了你 100 块钱,你起诉他要求赔偿 100 块,能不能赢不好说,通常会被大公司利用法律程序导致你付出大量的诉讼费用,很不经济。但如果成千上百人发起集体诉讼,案值高,你的律师和其他法律服务提供者更容易赚到钱,原告方更容易获得法律支持,胜算也更高。
而在本案中,1.4 亿人就不说了,哪怕几千人一起集体诉讼 Equifax,它都输定了……这也是为什么 Equifax,以及很多向公众提供有偿服务的公司都会在用户条款中放置同样或类似的条文,你一不小心没看见,签了名,今后就只能吃闷亏了。
只能说,大公司太会玩……
Equifax 的闹剧离结束还早得很。
已经有一些受害者联合起来发起了集体诉讼,他们的宿命尚未可知。另外,纽约市总检察长已经表示对这家公司启动调查。
与此同时,这家公司似乎已经被突如其来的危机冲垮,它在奇葩的道路上一去不复返了……
我们的硅谷同事昨天查,发现自己没中奖;今天又上去查,发现中奖了……我告诉她别注册那个 TrustID Premier,她又去查了一下发现又显示 “not impacted” 了……
可能 Equifax 的程序员不知道该干点啥,今天我就删库玩吧!
同样不知道今天上班该干点啥的还有 Equifax 的客服部门同事 Stevie。该公司的客服 Twitter 账号 @AskEquifax 早上起来发了一条推:
周五快乐!今天 Stevie 也要热情满满滴为您提供客户服务哦!
我看你这个周五是甭想过好了,说不定工作都没了……
0 条评论
请「登录」后评论