Equifax因Struts漏洞未及时打补丁 面临4500亿美元集体诉讼赔偿

Posted 安全牛

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Equifax因Struts漏洞未及时打补丁 面临4500亿美元集体诉讼赔偿相关的知识,希望对你有一定的参考价值。

征信公司Equifax值不值得信任?个人数据放那里保不保险?这些问题的答案似乎越来越明朗了。该公司不仅遭受了史上最大数据泄露——1.43亿人的姓名、社会安全号、家庭住址等信息被黑,其各种安全漏洞还在不断被专家们指证。如一款检查用户是否被黑的工具并没有功效;一个信用监测网站似乎可以被黑。



Equifax是手机消费者金融数据的三家主流信用机构之一,上周刚刚公开了这起耸人听闻的大型数据泄露,据称除1.43亿美国消费者个人数据外,尚有不明数量的加拿大和英国客户的个人数据也受到了影响。


9月12日,因自身存储在Equifax数据库中的信息,于2017年5月1日至8月1日期间遭到非授权访问,加拿大受害者对Equifax提起了集体诉讼,称Equifax违反了服务协议,对他们的信息处理不周,侵犯了他们的隐私权,要求4500亿美元的赔偿金。有报道称,Equifax数据在暗网市场有售,但分析师认为现在还很难确认该事件背后主谋及其动机。


Equifax为美国消费者专门设立了一个有关该数据泄露信息发布的网站(www.equifaxsecurity2017.com/),在新发布的“进展更新”帖中写道:


Equifax在主流独立网络安全公司辅助下,一直在紧锣密鼓地调查该入侵事件的范围,确认被读取的信息与受影响的人员。经调查,Equifax大规模数据泄露的原因,出在早该在攻击发生数周前就应修复的一个网站应用漏洞身上。Equifax已经与执法机构共享了IOC(入侵相关的威胁情报数据)。


本周早些时候Apache基金会便指出,其早在2017年3月就报告了CVE-2017-5638漏洞。Equifax是在2017年“5月中旬”被入侵,在7月发现入侵,9月初公布被黑事实。如果取15号当做“5月中旬”,那么,Equifax有9个星期时间来打上补丁。


该数据泄露完全可以避免的事实,而这还不是Equifax痛苦的终点。如“进展更新”中指出的,“由于信用记录安全冻结的请求量太大,我们经历了暂时性的技术难题,在2017年9月13日美国东部时间下午5点,我们的系统短时下线1小时以解决该问题。”


除了这起大规模数据泄露,Equifax最近还遭遇了阿根廷网站漏洞门事件。据报道,Equifax在阿根廷某雇员Web门户中使用了“admin”作为登录用户名及口令,向该网站提交信用争议的客户及该公司雇员信息不保。


网络安全博主布莱恩·克雷布斯称,该阿根廷网站安全防护极差,理论上任何人都可以从该站点读取用户名和口令,冒充该公司雇员,甚或直接在数据库中添加一个新“雇员”。更糟的是,攻击者还可以读取普通阿根廷公民提交的1.4万份信用争议投诉。这些投诉信息都以明文存储。在克雷布斯联系了该公司后,网站门户被关闭。


Equifax并未提供安全验证的具体细节,但发布了如下声明:


我们知悉了阿根廷某内部门户的一个潜在漏洞,该漏洞与上周发生在美国的网络安全事件没有任何联系。我们立即作出响应,该情况仅影响到有限的公共信息,仅与联系了我们客户服务中心的消费者及管理这些互动的员工相关。们目前没有证据表明有任何消费者、客户,或我们商业及信用数据库中的信息,受到了负面影响,我们将继续测试及改善该地区的所有安全措施。


9月11日,两名美国参议员要求Equifax回答如下具体问题:


  • Equifax到底是怎么被黑的?

  • 该公司注意到此事有多久了?


Equifax还被要求曝光在黑客事件被发现到被公开期间抛售公司股票的3名Equifax高管。


相关阅读


以上是关于Equifax因Struts漏洞未及时打补丁 面临4500亿美元集体诉讼赔偿的主要内容,如果未能解决你的问题,请参考以下文章

每日安全资讯Apache Struts 项目对 Equifax 事件发表声明

政府金融游戏安全资讯精选第七期:互联网群组和公众号监管加强,Equifax 数据泄漏事件解读,Struts2 最新漏洞分析

Equifax数据泄露事件后 将面临被集体起诉与传票

阿里云因发现Log4j2 核弹级漏洞,未及时上报,被工信部处罚。。

阿里云因发现Log4j2 核弹级漏洞,未及时上报,被工信部处罚。。

阿里云因发现Log4j2 核弹级漏洞,未及时上报,被工信部处罚。。