專業精神/Equifax 資料洩露

Equifax 總部位於佐治亞州亞特蘭大，成立於 1899 年，名為零售信貸公司。^[1] Equifax 是三大信用機構之一，另外兩家是 Experian 和 TransUnion。具體來說，他們向消費者銷售信用監控和防欺詐服務。Equifax 是美國幾家大型信貸評級機構之一，它們收集消費者資料，對其進行分析以建立信用評分和詳細報告，然後將報告出售給第三方。消費者不會自願向信貸評級機構提供資訊，也沒有能力選擇退出此資訊收集流程。儘管信貸評級機構在促進金融交易的資訊共享方面提供了一種服務，但它們透過積累大量敏感的個人資料來做到這一點，而個人資料是網路犯罪分子高度重視的目標。^[2] 因此，信貸評級機構有更高的責任透過提供一流的資料安全來保護消費者資料。

2005 年，Equifax 前執行長 (CEO) 理查德·史密斯開始實施積極的增長戰略，導致收購了多家公司、資訊科技 (IT) 系統和資料。雖然收購戰略對 Equifax 的利潤和股價取得了成功，但這種增長給 Equifax 的 IT 系統帶來了越來越大的複雜性，並擴大了資料安全風險。2017 年 8 月，在 Equifax 公開宣佈洩露事件三週前，史密斯吹噓 Equifax 每天管理著“幾乎是美國國會圖書館資料量的 1200 倍”。^[3] 然而，Equifax 並沒有實施足夠的安全程式來保護這些敏感資料。結果，Equifax 導致了美國曆史上最大規模的資料洩露事件之一。這樣的洩露事件完全可以避免。

Equifax 資料洩露事件最初影響了 1.43 億美國人，他們的資料被盜。^[4] 此數字後來修正為 1.466 億，佔美國人口的 44%。^[5] 被盜資訊範圍從全名和出生日期到社會安全號碼和駕駛執照資訊。^[6] CreditCards.com 進行的一項調查發現，“20% 的受訪者對 Equifax 洩露事件知之甚少或一無所知，其中包括 46% 的 18-37 歲人群”，以及 50% 的受訪成年人在洩露事件後沒有檢查他們的信用評分和報告。^[5]

2015 年 10 月 28 日，Equifax 的網路安全部門報告了對其安全實踐和基礎設施進行的審計結果。Equifax 未能解決其內部系統中超過 7500 個已知的關鍵漏洞，這與他們在 48 小時內解決關鍵問題的政策相矛盾。^[7] 其次，Equifax 沒有維護其 IT 資產的全面清單；他們不知道其基礎設施中哪些軟體在使用。最後，Equifax 在應用和驗證漏洞修補方面不夠積極。只有當團隊意識到特定威脅時，才會將軟體補丁應用到系統上。

2017 年 3 月 8 日，美國國土安全部通知 Equifax 此關鍵漏洞。^[8] 2017 年 3 月 9 日，在 Apache 釋出有關其 Struts 漏洞及其補丁的資訊幾天後，Equifax 向其管理員傳送內部電子郵件，要求在任何易受攻擊的系統上應用此軟體補丁。在包含 400 人的電子郵件分發列表中，員工被告知了此漏洞，但此電子郵件鏈不包括瞭解 Equifax 使用 Apache Struts 的開發人員。電子郵件鏈包含開發人員的經理，他未能提醒團隊或開發人員。^[7] Equifax 執行長理查德·史密斯表示，這位未經確認的經理最終對資料洩露事件負責，因為他沒有通知正確的開發人員修補漏洞。^[9]

3 月 15 日，Equifax 資訊安全部門對整個系統進行了掃描，但沒有發現任何最初使用 Apache Struts 或需要立即修補的漏洞。^[8] 然而，這次初始掃描錯過了實現 Apache Struts 的自動客戶訪談系統。Equifax 的全球威脅和漏洞管理部門在簡報中兩次提到 Apache Strut 漏洞，並每月舉行會議討論網路威脅和漏洞，但高階經理並沒有定期參加這些會議，後續工作有限。

從 2017 年 5 月 13 日開始，一直持續到 2017 年 7 月 30 日，駭客透過此漏洞獲得了 48 個無關資料庫的訪問許可權，查詢了 9000 個結果以獲取其他管理登入憑據。^[8][10] 當 Equifax 在看到“可疑流量”後關閉易受攻擊的 Web 門戶時，攻擊在 7 月 30 日結束。7 月 31 日，資訊長通知執行長網路事件。

Apache Struts 是一個開源框架，專為使用 Java 進行 Web 應用程式開發而設計。它在許多銀行平臺中得到了普及使用，包括 Equifax。^[11] 然而，Apache Struts 存在一些基本漏洞，尤其是在使用物件圖導航語言方面。^[12] 利用這種漏洞，駭客可以停止保護伺服器的防火牆，並下載和執行他們想要安裝在伺服器上的任何惡意軟體。這將使駭客完全控制 Web 伺服器。^[12]

2017 年 3 月 6 日，Apache 已經識別併發布了其 Apache Struts 軟體的補丁，旨在修復其網站建立軟體中的漏洞，該漏洞允許使用者停用防火牆並在公司伺服器上安裝軟體。在通知公司存在此漏洞後，公司有責任更新其當前系統以包含補丁軟體。

Equifax 的自動消費者訪談系統 (ACIS) 是駭客的主要攻擊點。它是一個使用 Apache Struts 在 20 世紀 70 年代開發的消費者爭議門戶，仍然存在此漏洞。^[8] 從這個切入點，攻擊者能夠執行系統級命令來查詢和查詢連線到該門戶的 3 個包含敏感登入憑據的資料庫。這些憑據反過來被用來擴充套件他們對另外 48 個與投訴門戶無關的資料庫的訪問許可權。

在整個攻擊過程中，攻擊者利用了系統的加密通訊通道，將他們的查詢偽裝成正常的網路流量，以逃避檢測。在數週的時間裡，數百萬美國人的個人資料以小批次的方式被提取出來，直到可疑活動最終被發現。^[13]

在漏洞被公佈後，美國人預計身份盜竊事件將會激增，但這並沒有真正發生。直到現在，被盜的資料仍然沒有被找到或使用，儘管資料獵取專家對暗網進行了廣泛的搜尋。在許多漏洞中，被盜資料會在公司或消費者意識到被盜之前就被髮布出來出售。這樣，在受害者能夠採取保護措施之前，暴露的資料就可以被利用，但這可能不是Equifax駭客的目標。^[14]

雖然漏洞的具體攻擊者和動機尚未得到證實，但人們普遍認為，該漏洞可能是中國政府支援的間諜行為。這一理論之所以流行，是因為攻擊中存在大量證據。首先，最初的入侵和隨後的盜竊是由不同的參與者執行的。最初的訪問可能是由一名業餘駭客完成的，後來更有經驗的駭客返回系統，擴充套件了他們的訪問範圍，並建立了多個後門入口。這表明資訊被傳遞給了更大的機構，可能是政府。此外，還發現漏洞中使用的許多工具都源自中國。然而，沒有足夠的證據來確定這是真實原因，或者說是中國而不是另一個國家負責。^[15]

在資料洩露事件發生一年後進行的一項調查中，大約 46% 的受訪者認為 Equifax 不應該再擔任信用局。^[16] 這項調查的結果表明，負面情緒可能是永續性的。為了解決這個問題，Equifax 提供了免費的信用監控或現金支付，基於保護身份所花費的時間和金錢的報銷，以及免費的身份恢復服務。儘管 Equifax 提供了這些福利，但許多消費者對 Equifax 保護使用者資料失去了信心，一些消費者聲稱他們“從最初的洩露事件中患上了 PTSD，絕不信任 Equifax 正確處理此事”，另一些人則表示駭客“可以訪問暗網上的我的資訊”。還有人表達了他們的沮喪，並表示“這還不夠。這太可恥了。他們洩露了我最私人的資料，而他們幾乎不會為此付出任何代價。他們有責任保護這些敏感資料，但他們並沒有認真對待此事。如果對沒有保護好此類敏感資料沒有真正的後果，那麼公司就沒有動力將安全級別提升到適當的水平。”^[17] 為了雪上加霜，Equifax 和其他信用機構試圖利用資料洩露事件帶來的流量來銷售資料保護服務，這激怒了消費者，一位使用者表示，“我認為這正是 Equifax 洩露事件讓大家感到憤慨的原因之一……是同一家公司在出售保護我們自己的服務，現在又洩露了我們的資料”。^[18] 這次資料洩露也讓許多消費者質疑，當他們將個人資訊委託給公司時，這些資訊是否安全。許多美國人甚至不知道他們的個人資訊是否包含在 Equifax 的系統中，直到資料洩露事件發生，因為他們沒有選擇是否將資料包含在 Equifax 的系統中。

當執行長得知網路事件後，Mandiant（描述）被聘請於 2017 年 8 月調查網路入侵和攻擊的程度。此外，Mandiant 還幫助撰寫了於 2017 年 9 月 7 日釋出的公開宣告。這份新聞稿是在資料洩露事件發生四個月後釋出的，告知公眾 50% 的美國人受到影響。對此的延遲反應再次引發了公眾的憤怒，國會和立法機構開始推動出臺另一項國家資料洩露通知法。

在 Mandiant 調查期間，Equifax 有一支小型團隊致力於解決這些問題。一項名為 Project Sierra 的行動被分配給“對攻擊的總體響應”。^[19] 另一個名為 Project Sparta 的專案，Equifax 的員工被告知“他們正在為一個經歷過重大資料洩露的匿名客戶工作”。^[19] 他們沒有被告知攻擊的受害者或有關受害者的資訊。事實上，這兩個專案都是針對整個 Equifax 的。此外，這還導致了一些員工失職問題。

Jun Ying 是 Equifax 美國資訊解決方案部門的前資訊長 (CIO)。據說他是全球 CIO 的繼任者。美國證券交易委員會指控 Ying“違反了聯邦證券法的反欺詐條款，並尋求追回不當得利以及利息、罰款和禁令救濟”。^[20] Ying 透過投資他的股票期權和出售股票進行內幕交易，獲得了近 100 萬美元，並避免了 117,000 美元的損失。^[21] 2019 年 3 月 7 日，Ying 對其指控認罪，被判處聯邦監獄 4 個月監禁，並接受 1 年的監督釋放。^[22]

Sudhakar Reddy Bonthu 是前軟體產品開發經理。在一個員工不應該瞭解太多其他資訊的專案中，Bonthu 發現了專案之外的資訊。他也被指控內幕交易，在 Equifax 漏洞事件公之於眾之前，透過他妻子的經紀賬戶購買和出售 Equifax 股票期權。^[23] 在漏洞事件公佈後，他獲得了 75,000 美元的收益。^[23] Bonthu 被判處 8 個月的居家軟禁，罰款 50,000 美元，並被命令沒收其股票收益。^[24]

為了解決弱邊界保護問題（導致可以訪問各種資料庫），Equifax 在其外部邊界實施了額外的控制措施，以監控通訊，並進一步限制內部伺服器之間的流量。^[25] Equifax 還實施了更廣泛的程式性措施。其中一項措施是更改新的首席資訊安全官 (CISO) 的報告結構，現在 CISO 直接向執行長彙報，以便高層管理人員能夠更清晰地瞭解網路安全風險。

透過公司的分析，Equifax 認為它已經滿足了通知消費者和監管機構的適用要求。^[6] 美國證券交易委員會發現，在 2017 年 10 月至 12 月期間，Equifax 透過郵件通知了將資訊上傳到爭議入口網站的消費者。此外，Equifax 還向這些消費者提供了個性化的通知，其中列出了他們上傳到 Equifax 爭議入口網站的具體檔案以及上傳日期。^[6]

2019 年 7 月 22 日，美國聯邦貿易委員會 (FTC) 和 Equifax 達成和解，要求 Equifax 支付 5.75 億美元用於救濟支援。該公司還必須提供免費的信用監控和身份盜竊服務，並提高其資料服務安全性。^[26]

眾議院監督和政府改革委員會以及科學、太空和技術委員會民主黨工作人員編制的一份報告提出了四項關鍵立法改革措施，可以防止此類攻擊在未來發生：^[25]

1. 要求聯邦金融監管機構對其消費者保護監督責任負責
2. 要求聯邦承包商遵守國家標準與技術研究院 (NIST) 制定的網路安全標準和指南
3. 制定關於如何通知資料洩露受害者的高標準
4. 加強聯邦貿易委員會 (FTC) 對私營部門違反消費者資料安全要求行為處以民事處罰的能力

眾議院監督委員會共和黨工作人員發現，如果 Equifax 在此次網路攻擊之前採取措施解決其安全問題，則可以防止資料洩露。共和黨工作人員隨後提出了政府應採納的七項建議：^[8]

1. 透過透明度賦予消費者權力
2. 審查 FTC 監督和執法權力的充分性
3. 審查向洩露受害者提供的身份監控和保護服務的有效性
4. 提高私營部門網路風險的透明度
5. 對聯邦承包商在網路安全方面負有明確要求的責任
6. 減少使用社會安全號碼作為個人識別碼
7. 實施現代化的 IT 解決方案

2018 年 1 月 10 日，參議員 伊麗莎白·沃倫 提出了 S.2289：2018 年資料洩露預防和賠償法案。該法案規定了違規行為的民事處罰，並指示 FTC 執行合規。它在 FTC 內設立了網路安全辦公室，該辦公室被授權：^[27]

1. 調查機構在任何資料洩露事件中是否遵守規定，以及
2. 禁止機構違反特定規定。

在一個個人資料複雜性以指數級速度增長的世界裡，Equifax 成為最新一家公佈其資料安全失敗的企業。他們將數百萬美國人的資料暴露給攻擊者，幾乎沒有抵抗。隨著越來越多的使用者資料被全球各地的企業捕獲和儲存，有時甚至沒有徵得使用者的同意，強調這些企業在保護和告知其客戶方面所負有的責任變得至關重要。

Equifax 的內部管理導致了美國曆史上最大的資料洩露事件。他們無法在其工作場所保持問責制，這是一個錯誤，其他人可以從中吸取教訓並應用於其公司。管理層不能假設公司中的問題已得到解決，而沒有進行適當的跟蹤和評估。

員工有責任瞭解履行其職責所需的最佳實踐。Equifax 的員工，特別是使用 Apache Struts 的軟體開發人員，應該注意在基礎設施中整合不同軟體所帶來的漏洞。在儲存公司某些最敏感資料方面，可以看出與最佳實踐的最大偏差之一。儘管行業標準是在資料庫內加密登入資訊，但使用者名稱和密碼都以明文形式儲存。如果開發人員選擇加密此資訊，駭客將無法在沒有解密演算法的情況下使用這些登入憑據，但此錯誤使攻擊者在初始訪問後進一步破壞系統變得更加容易。 ^[13]

公司高管對公司的決策有很大的影響力，這主要是因為他們擁有這些見解。客戶期望這些見解用於發展公司及其使用者群，而不是以客戶為代價，為高管的腰包服務，就像 Equifax 高管所做的那樣。美國證券交易委員會 (SEC) 亞特蘭大地區辦事處主任理查德·R·貝斯特說：“瞭解內幕資訊，包括有關重大網路入侵資訊的公司內部人士，不能為了他們自己的經濟利益而背叛股東。”^[20]

1. ↑ 公司簡介。 (n.d.)。 2019 年 5 月 5 日。 https://www.equifax.com/about-equifax/company-profile/
2. ↑ 洩露後：被盜資料的貨幣化和非法使用：恐怖主義與非法金融分委員會聽證會。 美國眾議院金融服務委員會，第 115 屆國會 (2018 年) (蘭德公司莉蓮·艾布倫的證詞)；
3. ↑ 佐治亞大學特里商學院。(2017 年 8 月 22 日)。Rick Smith，Equifax 執行長。2019 年 5 月 5 日。 https://www.youtube.com/watch?v=lZzqUnQg-Us
4. ↑ Equifax Inc. (2017 年 9 月 7 日)。Equifax 公佈涉及消費者資訊的網路安全事件。2019 年 5 月 5 日。 https://investor.equifax.com/news-and-events/news/2017/09-07-2017-213000628
5. ↑ ^{a b} 肯尼迪，梅里特。(2018 年 3 月 1 日)。Equifax 表示 2017 年重大洩露事件影響了另外 240 萬人。NPR。2019 年 5 月 4 日。 https://www.npr.org/sections/thetwo-way/2018/03/01/589854759/equifax-says-2-4-million-more-people-were-impacted-by-huge-2017-breach
6. ↑ ^{a b c} Equifax 關於 2017 年 9 月 7 日宣佈的網路安全事件範圍的記錄陳述。(n.d.)。2019 年 5 月 5 日。 https://www.sec.gov/Archives/edgar/data/33185/000119312518154706/d583804dex991.htm
7. ↑ ^{a b} 波特曼，R.，& 卡珀，T. (n.d.)。Equifax 如何忽視網路安全並遭受毀滅性資料洩露。2019 年 5 月 5 日。 https://www.carper.senate.gov/public/_cache/files/5/0/508a6447-853f-4f41-85e8-1927641557f3/D5CFA4A0FC19997FF41FB3A5CE9EB6F7.equifax-report-3.6.19.pdf
8. ↑ ^{a b c d e} 監督和政府改革委員會。(2018 年 12 月)。Equifax 資料洩露多數派工作人員報告。2019 年 5 月 5 日。 https://republicans-oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf
9. ↑ https://www.syxsense.com/equifax-blames-one-it-guy
10. ↑ Equifax Inc. (2017 年 9 月 15 日)。Equifax 釋出有關網路安全事件的詳細資訊，宣佈人事變動。2019 年 5 月 5 日。 https://investor.equifax.com/news-and-events/news/2017/09-15-2017-224018832
11. ↑ 施瓦茨，馬修。(2018 年 8 月 23 日)。Apache 釋出 Struts 緊急補丁以修復關鍵漏洞。資訊安全媒體集團公司。2019 年 5 月 5 日。 https://www.bankinfosecurity.com/apache-struts-issues-emergency-patch-to-fix-critical-flaw-a-11412
12. ↑ ^{a b} Goodin, Dan. (2017 年 3 月 9 日). “大規模”攻擊下的嚴重漏洞危及高影響力網站 [更新]. Condé Nast. 2019 年 5 月 5 日。 https://arstechnica.com/information-technology/2017/03/critical-vulnerability-under-massive-attack-imperils-high-impact-sites/
13. ↑ ^{a b} 美國政府問責辦公室. (2018). 資料保護：Equifax 和聯邦機構對 2017 年資料洩露事件採取的行動. https://www.warren.senate.gov/imo/media/doc/2018.09.06%20GAO%20Equifax%20report.pdf
14. ↑ Fazzini, K. (2019 年 2 月 14 日). Equifax 大謎團：17 個月後，被盜資料仍未找到，專家開始懷疑間諜陰謀。 https://www.cnbc.com/2019/02/13/equifax-mystery-where-is-the-data.html
15. ↑ Riley, M.，Robertson, J.，& Sharpe, A. (2017 年 9 月 29 日). Equifax 駭客攻擊具有國家支援的專業人士的特徵。 https://www.bloomberg.com/news/features/2017-09-29/the-equifax-hack-has-all-the-hallmarks-of-state-sponsored-pros
16. ↑ https://tdwi.org/articles/2018/10/29/biz-all-impact-of-equifax-data-breach.aspx
17. ↑ https://www.consumer.ftc.gov/blog/2019/07/equifax-data-breach-settlement-what-you-should-know
18. ↑ https://www.npr.org/2017/09/14/550949718/after-equifax-data-breach-consumers-are-largely-on-their-own
19. ↑ ^{a b} Brewster, Thomas. 2018 年 3 月 14 日. Equifax 如何將其重大漏洞事件隱瞞其自身員工. Forbes. 2019 年 5 月 5 日。 https://www.forbes.com/sites/thomasbrewster/2018/03/14/how-equifax-kept-its-mega-breach-secret-from-its-own-staff/#3bf5bad3ef16
20. ↑ ^{a b} 前 Equifax 高管被指控內幕交易. (2018 年 3 月 14 日). 2019 年 5 月 5 日. https://www.sec.gov/news/press-release/2018-40
21. ↑ Brumback, Kate. (2019 年 3 月 7 日). 前 Equifax 高管承認與 2017 年大規模資料洩露有關的內幕交易罪。USA Today. 2019 年 5 月 5 日。 https://www.usatoday.com/story/money/2019/03/07/equifax-data-breach-former-executive-pleads-guilty-insider-trading/3095802002/
22. ↑ https://www.justice.gov/usao-ndga/pr/former-equifax-employee-sentenced-insider-trading#:~:text=On%20September%207%2C%202017%2C%20Equifax,of%20%24117%2C117.61%2C%20and%20fined%20%2455%2C000.
23. ↑ ^{a b} Brumback, Kate. (2018 年 6 月 28 日). 前 Equifax 軟體開發人員被指控內幕交易。Bloomberg. 2019 年 5 月 5 日。 https://www.bloomberg.com/news/articles/2018-06-28/ex-equifax-software-developer-charged-with-insider-trading
24. ↑ https://www.justice.gov/usao-ndga/pr/former-equifax-manager-sentenced-insider-trading#:~:text=Sudhakar%20Reddy%20Bonthu%2C%2044%2C%20of,the%20Federal%20Bureau%20of%20Investigation.
25. ↑ ^{a b} 美國眾議院. (2018 年 12 月 10 日). 下一屆國會應採取哪些措施來防止 Equifax 資料洩露事件再次發生。 華盛頓特區：作者。 https://oversight.house.gov/sites/democrats.oversight.house.gov/files/Equifax%20Minority%20Report%20-%20FINAL%2012-10-2018.pdf
26. ↑ https://www.consumer.ftc.gov/blog/2019/07/equifax-data-breach-settlement-what-you-should-know
27. ↑ 2018 年資料洩露預防和賠償法案，S. 2289，第 115 屆國會. (2017). https://www.congress.gov/bill/115th-congress/senate-bill/2289?s=7&r=1