一起本应避免的事故:美国国会公布Equifax数据泄露案专项报告
原文作者
12月17日,美国国会众议院的政府改革暨监督委员会发布报告称,涉及超过1.48亿消费者的艾克法克斯数据泄露案本应轻易避免。“艾克法克斯未能充分重视并降低其网络安全风险,并由此发生了美国有史以来最大规模的数据泄露事件。”
报告指出,因公司组织架构的缺陷,导致公司IT政策部门与开发部门间的沟通失效,从而致使大量的关键系统补丁没有被及时开发,其中包括一个超19个月未做更新的漏洞。最终,黑客对艾克法克斯进行了长达76天的攻击,先后265次从公司获取未被加密的数据。艾克法克斯明显早已知道公司对系统补丁及时更新的能力缺失,却并没有进行改正。
此外,报告还批评了艾克法克斯对事件的应对不力。公司虽然专门成立了一个由1500名员工组成的咨询热线小组,但其员工却并未得到有效的培训,无法应对客户提问。其官方推特账户竟然还在攻击后的两个星期里,将客户错误引导到一个钓鱼网站上。
不过,消息引述了另外一名专家的意见,安全解决方案服务方Vectra的安全分析师Chris Morales认为,数据泄露并非“完全能够避免”。“只要有动机存在,黑客肯定是会持续地尝试攻击网络直至成功为止”。
即便如此,政府改革暨监督委员会给出了7条建议来防止未来类似事件的发生,包括提高透明度、优化信息技术、让系统运维的独立承包商更多地对网络安全负责。
委员会还提出,应减少使用社会保障号码作为个人标识,这项举措之前特朗普内阁就提议过。总统特别助理暨白宫网络安全特使Rob Joyce,在2017年的一个会议上就说,“社会保障号码已经过时了”。
不过,会计咨询及财富管理公司Moss Adams的网络安全高级主管Nathan Wenzler对此给出了不同意见,认为清除社会保障号码的应用场景并不是一个一劳永逸的举措。“社会保障号码虽然不是一个非常好的安全管理工具,但替换它将需要全球的各类系统花费巨大的工作量,随之而来的只能是又一个可能被盗用或攻击的数据漏洞”。
点击阅读原文,查看英文原文。
相关阅读
速递 | 美监管机构疑Equifax停查Equifax引议员关注
【Equifax旋涡】250万赎金 9万人请愿 CISO作曲专业出身
CNN:史上Top 5 信息泄露事件,Equifax名列其中
岁末源点大福利!
送书啦!
点击上图进入
在文末留言
“我爱源点小特务”
截至12月30日8时
点赞数前15名
获赠《信用经济》新书一本!
♚
☞ 记录信用中国 ☜
点击阅读☝源点3年☝推文总目录
推 荐 阅 读
刚刚:连维良主任带队调研百融金服,并召开关于失信调查现场会
最新:2018信用北京诚信建设万里行暨(第四届)信用中关村高峰论坛成功举行
欢迎加入
公益 | 有益 | 有趣
欢迎加入我们的作者队伍
与7000名读者分享见解