|
|
|
联系客服020-83701501

Equifax泄露事件报告出炉被罚6.5亿美元网站

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约

  数据披露是当代人最担心的问题之一。2017年9月,美国征信巨头 Equifax 承认1.45亿美国居民的个人隐私信息泄露了,这是该国历史上最严重的数据安全事件,影响到3.2亿美国人口的40%以上。

Equifax泄露事件报告出炉被罚6.5亿美元网站

  去年的泄密事件终于在最近公布了一份详细的报告,披露了细节。导火索是由漏洞引发的,但这只是开始。攻击者通过恶意代码提升到最高权限后,Equifax公司的网络就像没有人管理一样。

  专家在内部网中揭示了进一步让黑客感到如鱼得水的四个因素。例如,攻击者在系统没有注意到的情况下执行了9000次数据查询。导致结果的原因很多,并不是一个原因导致这样的结果。

  在这次事故中,专家们一共还原了五个原因。一个外部漏洞和四个内部管理中的主要缺陷,帮助攻击者成事。

  美国政府问责局(GAO)发布最新报告,披露了大量有关Equifax(美国三大个人信用评估机构之一)黑客攻击的详细信息,并揭露了导致数据泄露的诸多因素。

  事件回顾

  从5月中旬到7月下旬,Equifax公司被黑客一直秘密入侵,获得1.455亿条用户信用记录,包括姓名、社会保险号、出生日期、地址和一些驾照号码。此外,大约209,000名美国消费者的信用卡信息和涉及182,000人的有争议文件也可能被泄露。

  根据该报告,Equifax没有采取足够的安全措施来保护敏感数据。该报告指责该公司自满,技术过时,未能及时修复已知漏洞,使其系统在145天内易受攻击。

  Struts漏洞和Equifax数据泄漏

  黑客利用Jakarta Multipart解析器上传功能中的CVE-2017-5638Apache Struts安全漏洞。向Apache Web服务器发送恶意请求,以获取对底层计算机的访问权限。

  漏洞披露后黑客进行过侦察

  该报告证实,黑客在攻击Equifax时利用了Struts漏洞,并在该漏洞被公开披露后几天进行了侦察。

  报道称,为了找到个人身份信息(PII),攻击者入侵了在线门户网站,而不是查询内部数据库。

  报告指出,“2017年7月,Equifax系统管理员发现攻击者以未经授权的方式访问了用于保存消费者纠纷文件的在线门户。Equifax的入侵导致攻击者获得至少1.455亿用户的个人信息。”

  然而,Equifax花了76天才发现2017年发生的大规模数据泄露。

  数字证书过期近一年

  Equifax的数字证书在黑客攻击前10个月到期。该报告提到,Equifax表示,配置错误是由于过期的数字证书没有及时被新证书替换造成的。

  Equifax没有发现攻击者传输了数据,因为由于安全证书过期,它监视网络流量的设备已经停用19个月了。Equifax有300多个过期证书,包括79个监控关键业务的证书。

  数字证书是用于验证服务器和系统的加密电子令牌。由于证书已过期,系统无法检查加密流量。网络管理员更换了过期的证书,允许系统恢复检查流量。

  缺乏网络分区

  由于缺乏网络分区,攻击者可以访问大量内部数据库和在线门户背后的数据。专家还指出,黑客访问的多个档案的相应凭证以纯文本形式存储在一套数据库中。

  多位专家批评美国当局,称尽管发布了相关报告,但没有对Equifax采取实际行动。

  设备配置错误未识别加密流量

  该报告还补充称,“根据Equifax的报告,在对IT系统的运行状态和配置进行例行检查后,网络管理员发现配置错误的设备允许攻击者与受感染的服务器通信,并在未被检测到的情况下窃取数据。”

  具体来说,尽管Equifax安装了一个设备来检查网络流量或恶意活动的证据,但错误配置允许加密流量在不检查的情况下通过网络传递。

  最近,Equifax与美国政府机构达成协议,支付约6.5亿美元的损失修复赔金额。

  协议提到将使用3.8亿美元来补偿受事件影响的用户,但如果政府最终评估数据泄露造成的损失超过3.8亿美元,Equifax还需要增加1亿美元。

  受影响的消费者也将有资格享受Equifax提供的10年免费信用监测服务。该公司同意让消费者更容易冻结他们的信用或质疑信用报告中不准确的信息。受影响的用户有大约六个月的时间根据事件的影响要求赔偿。

  互联网安全专家表示,该协议似乎对Equifax处以巨额罚款,但如果Equifax数据泄露的所有受害者都得到赔偿,Equifax应支付不少于20亿美元。

数安新闻+更多

证书相关+更多