這幾天，美國(guó)炸鍋了……

這周四，有家名叫 Equifax 的公司宣布，自己被黑了！泄露了 1.4 億美國(guó)人的身份信息！

你可能沒聽說過這公司，F(xiàn)acebook美國(guó)用戶也才兩億左右，Equifax 怎么就有 1.4 億？

是這樣的：美國(guó)社會(huì)信用制度實(shí)行已久，但承擔(dān)征信職能，給每個(gè)人評(píng)定、記錄和增扣信用分的卻不是政府，而是三家最大的征信公司，Equifax 就是其中之一，另外兩個(gè)是 Experian 和 TransUnion。美國(guó)版的芝麻信用，能懂吧？

在美國(guó)，信用制度的核心是社會(huì)安全號(hào)碼 （Social Security Number， SSN），公民在向政府以及征信機(jī)構(gòu)提交各種文書時(shí)，通常會(huì)用到不同的證件，但 SSN 和駕照是最常用的。

而這次，Equifax 泄露基本上是用戶的全套數(shù)據(jù)了……

Equifax 第一宗罪：泄露資料

Equifax 的這次數(shù)據(jù)安全事件影響了超過 1.43 億美國(guó)人，他們的姓名、生日、SSN、手機(jī)號(hào)碼和住址都有可能已經(jīng)被黑客竊取。同樣可能被竊取的還有一部分美國(guó)人的駕照號(hào)，21 萬人的信用卡號(hào)碼，以及大約 18 萬人的法律文件，上面記錄有詳細(xì)的個(gè)人辨識(shí)信息。除了美國(guó)之外，英國(guó)和加拿大用戶也受到不同程度影響……

該公司董事長(zhǎng)兼 CEO 里克·史密斯 （Rick Smith） 在聲明中宣稱，黑客“未經(jīng)許可”獲取了 Equifax 服務(wù)器的訪問權(quán)限。

　　廢話，問你要許可的還叫黑客么……

1935 年，施行羅斯福新政的美國(guó)推出了社會(huì)安全系統(tǒng)，每個(gè)美國(guó)人都可以領(lǐng)到一張社會(huì)安全卡（其實(shí)就是一張紙），上面就是 SSN，一段 9 位的數(shù)字。SSN 的制度沿用至今，除了美國(guó)人，特定身份的外國(guó)人在美國(guó)有收入和報(bào)稅需要也可以申請(qǐng)，基本上是美國(guó)人人都有的東西。

這個(gè)系統(tǒng)的問題是……它已經(jīng)快一百年沒有改變過了。它有很嚴(yán)重的安全隱患：SSN 一直是那個(gè) 9 位的數(shù)字，一直是那張紙，上面有你的名字，丟了就等于身份丟失。

　　社會(huì)安全卡

而且這個(gè)數(shù)字還會(huì)出現(xiàn)在幾十上百種公開的法律文書和證件，比如醫(yī)?？?、報(bào)稅表上，極其容易被盜取。

然而，只要美國(guó)不立法取締這個(gè)制度，只要政府不下達(dá)命令，SSN 就還得繼續(xù)用下去……

但現(xiàn)在的問題是，SSN 的確不安全，但 Equifax 作為一家征信機(jī)構(gòu)，手握幾億美國(guó)人的全套信息，還沒搞好服務(wù)器安全把信息拱手送給黑客，這口黑鍋可就不是 SSN，而是 Equifax 的了……

對(duì)了，Equifax 的信息安全負(fù)責(zé)人約翰·凱利 （John J。 Kelley III） 因在“建造和優(yōu)化全球級(jí)的安全系統(tǒng)”上的突出表現(xiàn)，去年獲得了 280 萬美元薪水和紅利。

Equifax 第二宗罪：隱瞞信息、內(nèi)幕交易

Equifax 是周四宣布的自己被黑的消息。

可它其實(shí)在 7 月 29 日——足足一個(gè)月之前就發(fā)現(xiàn)了。

美國(guó)人口 3.26 億左右，1.4 億或意味著近一半人口的信息泄露了。

問題如此之嚴(yán)重，Equifax 照樣瞞了一個(gè)月……

它給的解釋是“發(fā)現(xiàn)了之后聘請(qǐng)了外部安全公司來做調(diào)查，而調(diào)查仍在進(jìn)行過程中。”

也真是夠了……要不是因?yàn)橐呀?jīng)上市，真不知道 Equifax 能把這事兒瞞多久。

同樣，因?yàn)槭巧鲜泄荆兄匾马?xiàng)都要跟聯(lián)邦證券交易委員會(huì)（SEC，美國(guó)的證監(jiān)會(huì)）報(bào)備。眼尖的美國(guó)媒體立刻去翻 SEC 的文件，發(fā)現(xiàn)：Equifax 的首席財(cái)務(wù)官、美國(guó)信息解決方案總裁和 員工方案總裁共三名高管，在公司股價(jià)高位賣出了總價(jià)值接近 180 萬美元的 Equifax 股票……

　　而在 9 月 7 日丑聞曝光后，Equifax 的股價(jià)立刻暴跌。

Equifax 的發(fā)言人表示，這三人賣出了小比例的股份，他們?cè)诋?dāng)時(shí)對(duì)本次侵入事件并不知情。

然而法律文書是騙不了人的：三人賣出股票的日期是 8 月 1 日和 2 日——公司發(fā)現(xiàn)被黑客侵入的足足三天后。

身為公司的 C-level 和總裁級(jí)高管，出事后三天都“不知情”，蒙誰呢？

毫無疑問，三人的行為涉嫌內(nèi)幕交易 （Insider Trading），但畢竟作為經(jīng)驗(yàn)豐富的高管，狡猾奸詐的老狐貍，這三人明知道有內(nèi)幕交易風(fēng)險(xiǎn)，還是做了這單，很可能已經(jīng)安排妥當(dāng)了。

一位網(wǎng)友在 Twitter上表示，“一想到這幫人可能吃個(gè)官司花點(diǎn)錢隨便弄一弄就沒事了，好不爽啊”。

但如果你以為 Equifax 已經(jīng)夠不要臉的了，你還是小看了它……

Equifax 第三宗罪：發(fā)國(guó)難財(cái)

前面提到，美國(guó)一半人口被本次黑客事件波及，這足以導(dǎo)致 SSN 制度，甚至整個(gè)美國(guó)信用系統(tǒng)遭遇顛覆性危機(jī)……

而 Equifax 倒是聰明得很，讓人感受到了美國(guó)大企業(yè)能油條到什么程度：

在宣布事件的同時(shí)，Equifax 很機(jī)智地上線了一個(gè)網(wǎng)站 equifaxsecurity2017.com。他們?cè)谶@個(gè)網(wǎng)站上交代了事情的前因后果，但用的是他們自己的口徑，而且交代的并非全部的、最詳細(xì)的事實(shí)。

這個(gè)網(wǎng)站的一個(gè)功能是讓美國(guó)人上去查詢自己的資料。聰明的地方在這里：這個(gè)網(wǎng)站越多人搜索、越多人訪問、越多人轉(zhuǎn)發(fā)，Equifax 自己的口徑就傳播的越廣……

輸入你的姓和 SSN 的后六位，網(wǎng)站會(huì)告訴你的資料是否泄漏。如果波及了你，這個(gè)網(wǎng)站會(huì)很聰明地告訴你：

感謝！根據(jù)您提供的信息，你的資料可能已經(jīng)泄露。點(diǎn)擊按鈕來注冊(cè)高級(jí)賬戶服務(wù)！

最不要臉的地方在這里：這個(gè)網(wǎng)站誘導(dǎo)你去注冊(cè)的這個(gè)所謂的高級(jí)賬戶服務(wù)，名叫 TrustID Premier，看起來好像是進(jìn)一步保護(hù)你的資料的……并不是！

它其實(shí)是一個(gè)三大機(jī)構(gòu)聯(lián)合監(jiān)控你的信用分的服務(wù)，之前是付費(fèi)的，這兩天免費(fèi)但不知道持續(xù)多久……

而且它根本保護(hù)不了你的資料，因?yàn)樗奶峁┓揭彩?Equifax……沒錯(cuò)，就是上個(gè)月剛剛被黑客攻破拿走了 1.4 億用戶資料的 Equifax。

我從未見過如此厚顏無恥之人~

Equifax 第四宗罪：巧言簧舌躲避起訴

如果你的資料被波及了，被 Equifax 騙了，注冊(cè)了這個(gè) TrustID Premier 服務(wù)，它會(huì)讓你再一次提交全名和 9 位 SSN，然后會(huì)讓你同意用戶服務(wù)條款。

條款有這樣一條：你放棄向 Equifax 發(fā)起集體訴訟的權(quán)利。

　　同樣，如果你之前已經(jīng)是 Equifax 的用戶，那你可能已經(jīng)簽署了同樣的條款。

集體訴訟 （class-action lawsuit） 是美國(guó)法律允許的一種起訴方式。如果一家公司坑了你 100 塊錢，你起訴他要求賠償 100 塊，能不能贏不好說，通常會(huì)被大公司利用法律程序?qū)е履愀冻龃罅康脑V訟費(fèi)用，很不經(jīng)濟(jì)。但如果成千上百人發(fā)起集體訴訟，案值高，你的律師和其他法律服務(wù)提供者更容易賺到錢，原告方更容易獲得法律支持，勝算也更高。

而在本案中，1.4 億人就不說了，哪怕幾千人一起集體訴訟 Equifax，它都輸定了……這也是為什么 Equifax，以及很多向公眾提供有償服務(wù)的公司都會(huì)在用戶條款中放置同樣或類似的條文，你一不小心沒看見，簽了名，今后就只能吃悶虧了。

只能說，大公司太會(huì)玩……

Equifax 的鬧劇離結(jié)束還早得很。

已經(jīng)有一些受害者聯(lián)合起來發(fā)起了集體訴訟，他們的宿命尚未可知。另外，紐約市總檢察長(zhǎng)已經(jīng)表示對(duì)這家公司啟動(dòng)調(diào)查。

與此同時(shí)，這家公司似乎已經(jīng)被突如其來的危機(jī)沖垮，它在奇葩的道路上一去不復(fù)返了……

我們的硅谷同事昨天查，發(fā)現(xiàn)自己沒中獎(jiǎng)；今天又上去查，發(fā)現(xiàn)中獎(jiǎng)了……我告訴她別注冊(cè)那個(gè) TrustID Premier，她又去查了一下發(fā)現(xiàn)又顯示 “not impacted” 了……

可能 Equifax 的程序員不知道該干點(diǎn)啥，今天我就刪庫玩吧！

同樣不知道今天上班該干點(diǎn)啥的還有 Equifax 的客服部門同事 Stevie。該公司的客服 Twitter 賬號(hào) @AskEquifax 早上起來發(fā)了一條推：

　　周五快樂！今天 Stevie 也要熱情滿滿滴為您提供客戶服務(wù)哦！

我看你這個(gè)周五是甭想過好了，說不定工作都沒了……