美國三大個人信用評估機構之一的Equifax本周四發表聲明稱,由于遭遇黑客攻擊,約有1.43億美國用戶的個人重要信息面臨泄漏。
不法分子將可以利用這些獲取到的重要個人信息,從事任何形式的金融欺詐行為,例如隨意冒名進行銀行開戶、信用卡提現等,這將導致暴露在此次泄漏事件中的個人將面臨巨大的潛在金融風險。
Equifax早在今年7月底便發現這一問題,但直到近2個月后才將消息公之于眾,中間甚至發生管理層大幅減持公司股票行為,一時間遭到各方的強烈質疑和譴責,其股價也在消息公布后的一個交易日內大幅下挫超過13%。
在這起鬧得沸沸揚揚的堪稱史上最大規模、涉及到近一半美國人口的信息泄露事件中,除了反映出公司網絡安全、誠信等問題的同時,暴露出的更為深層次的問題,則是美國沿用多年的個人信用體系一直存在著嚴重缺陷,由三大信用評估機構掌握的幾乎覆蓋全美國居民的個人重要敏感數據,實際上隨時都面臨著大規模泄漏的風險,這樣的風險一旦發生,帶來的不是局部性影響,而是全局和系統性的。整個美國的信用、金融以及社會體系都將遭遇到嚴重挑戰。
美國信用評估機構遭史上最大規模用戶信息泄漏
美國三大信用評估機構之一的EquIfax上周四發表聲明稱,公司在今年5月中旬至7月,遭遇到黑客攻擊,導致其系統中大量用戶的姓名、社會安保號、生日和地址等私人信息泄露,數據泄漏規模可能涉及到1.43億美國人,根據美國統計局的數據顯示,美國目前的總人口約為3.23億人,換句話說,也就是將近一半的美國人會暴露在個人重要私密信息泄漏的風險中。
這起事件另一個令人難以接受的方面是,Equifax直到9月份,也就是信息泄漏事件發生近2個月后,才將此公之于眾,盡管Equifax方面解釋稱,在發現事件后立即做了相應措施,但這樣的說辭顯然不能令公眾滿意,該事件曝光后,Equifax股價在接下來的一個交易日中大幅下挫超過13%。
目前,Equifax已經設立了一個特別查詢網站,用戶可以通過輸入自己的姓名和社安號,來查詢自己的個人信息是否在此次事件中受到影響,然而這一特別網站本身也存在缺陷,據美國科技網站CNET調查顯示,該網站進行查詢后,并不能給用戶確切的結果,只會告知用戶,你可能受到潛在影響或者你可能沒有受到潛在影響,CNET還嘗試輸入編造的并不存在的姓名和社安號,居然也能得到“你可能沒有受到泄露事件影響”的結果,從這樣的查詢結果可以得知,Equifax的這套臨時查詢系統,或許根本沒有將用戶的輸入信息與此現有的數據庫中的信息進行比對,以至于出現輸入根本不存在的用戶信息,也能反饋出結果而不是顯示輸入信息有誤。
泄漏事件暴露美國信用體系存在致命缺陷
除了此次信息大規模泄漏事件本身存在很多疑點和讓人難以接受的方面以外,實際上也充分暴露出美國現存的個人信用體系存在著嚴重的缺陷,此次事件的爆發便是這種缺陷的極端表現形式。
眾所周知,美國以消費社會著稱,個人信用體系是整個社會生活的一大支柱。個人信用體系是最簡單直觀的表現形式是通過一套信用分數系統來實現。
每一位美國居民擁有其獨特的個人社會安全號碼,該號碼將終生陪伴用戶生活的各個方面,例如就業、收入、福利、買房、租房、租車、水電費、貸款、投資,一系列社會活動均和社會安全號掛鉤,包括此次遭遇信息泄露事件的Equifax在內的美國三大個人信用評估機構通過將每個個人的信息匯總,形成一個信用分數,以此來評估個人的信用狀況,信用分數是每個人信用狀況的一個量化指標,信用分數越高,說明信用越好,還款的幾率更高、違約的風險更小,信用分數給予第三方機構可以標準化量化的指標。
信用分數主要由信用記錄歷史、信用卡還款歷史、當前債務額度、信用查詢記錄等一系列因素構成,分配以高低不同的權重最終形成一個特定的數字作為信用分數,該信用分數將影響到個人的很多金融和社會行為,例如貸款的額度、利率、就業等等。
但這套沿用多年的體系目前存在的顯著缺陷在于,三大信用評估機構掌握了大量的用戶個人重要信息,而這些信息一旦泄漏,將直接導致個人的金融風險完全暴露。以此次泄漏事件為例,黑客掌握了大量用戶的姓名、社會安全號、地址、生日信息,而擁有這些信息,就足以通過金融機構的身份審核,輕易在銀行進行開戶、開信用卡等行為。
實際上,這樣的事件屢屢發生,早在此次大規模泄漏之前,另一大信用評級機構Experian也在2015年遭遇到涉及1500名用戶的信息泄漏、美國健康保險公司Anthem也在同一年發生1880萬用戶信息泄漏事件。
這類事件反映出的最明顯的缺陷是,大量信息過度中心化將導致一旦發生信息泄漏,將會顯著影響到大規模的人群,帶來系統性風險。
實際上,即便是不通過信用評估機構這樣的渠道,個人重要信息也時刻面臨著泄漏的風險,美國居民的日常活動,隨時都會將這些重要敏感信息暴露在外,例如填寫各種表格,如申請寬帶、開通手機、去醫院看病等,都需要填寫這些重要信息。
而由這類事件引申出的另一類缺陷是,在美國,對于個人身份識別的潛在漏洞。目前美國的主要和個人打交道的機構,如銀行、醫院等,驗證身份的主要方式是姓名、社安號、住址和生日進行比對,也就是說,只要這四個信息一致,那么任何人都可以隨時被冒名頂替,然后不法者就可以為所欲為。
美國科技媒體The Verge評論稱,這次事件再次給人們敲響了警鐘,美國的這套個人信用體系已經到了一個突破口,應該被徹底推翻重建。