Equifax数据泄露事件致CIO和CISO离职
9月7日大规模数据泄露被曝之后,Equifax在15日宣布,其首席安全官(CSO)苏珊·马尔定,首席信息官(CIO)大卫·韦伯,立即从公司退位。
鲁斯·埃尔斯,原 Equifax IT 部门副总裁,被任命为临时CSO。2016年加入Equifax并主管其国际IT运营的马克·罗瓦瑟,被指定为临时CIO。埃尔斯直接向罗瓦瑟报告。
上周,Equifax通告客户称,有黑客在5月中旬到7月末期间入侵了其系统。造成的数据泄露影响1.43亿美国消费者,涉及姓名、社会安全号、出生日期、住址,部分情况下驾照信息也被黑客获取了。
该公司聘请了火眼旗下数据泄露调查公司曼迪安特调查此事,并指出:“Equifax的内部调查仍在持续,公司继续与FBI紧密合作进行调查。”
Equifax最初仅透露称,网络罪犯利用了一个“美国网站应用”中的漏洞来获取文件。然而,金融服务公司Baird稍后宣称,已知悉该应用是Apache Struts——很多顶级企业用来创建Web应用的一个框架。
尽管有些人认为该Apache Struts漏洞就是最近放出补丁的CVE-2017-9805——被越来越多地用来投送恶意软件,但更有可能的怀疑对象是CVE-2017-5638——3月份公开并修复的一个漏洞,公开后不久便开始被网络罪犯利用。
9月13日,Equifax在其专门为该网络安全事件开设的网站上发布了更新,确认CVE-2017-5638就是攻击者利用的Apache Struts 2漏洞。
这表明,该公司没能在关键漏洞公布后的2个多月里打上补丁,是本次数据泄露事件的主要原因。这次事件之后,其他人开始曝光Equifax的网络安全漏洞,包括未修复的跨站脚本(XSS)漏洞——1年多年便报告给了该公司,还有很多基本防护措施的缺失。
安全博主布莱恩·克雷布斯在9月12日报告称,一家Equifax阿根廷雇员门户网站暴露出1.4万条记录,包含雇员凭证和消费者投诉。在纽约州总检察长埃里克·施耐德曼宣布发起对Equifax数据泄露的正式调查之后,伊利诺伊等近40个州也加入了立案调查队伍。
数据泄露曝光之后,Equifax股价暴跌30%,公司资本市值蒸发50亿美元。Equifax官网声称其维护着全球8.2亿消费者和9100万家公司的数据。
相关阅读