征信公司Equifax值不值得信任?個人數據放那里保不保險?這些問題的答案似乎越來越明朗了。該公司不僅遭受了史上最大數據泄露——1.43億人的姓名、社會安全號、家庭住址等信息被黑，其各種安全漏洞還在不斷被專家們指證。如一款檢查用戶是否被黑的工具并沒有功效;一個信用監測網站似乎可以被黑。

Equifax是手機消費者金融數據的三家主流信用機構之一，上周剛剛公開了這起聳人聽聞的大型數據泄露，據稱除1.43億美國消費者個人數據外，尚有不明數量的加拿大和英國客戶的個人數據也受到了影響。

9月12日，因自身存儲在Equifax數據庫中的信息，于2017年5月1日至8月1日期間遭到非授權訪問，加拿大受害者對Equifax提起了集體訴訟，稱Equifax違反了服務協議，對他們的信息處理不周，侵犯了他們的隱私權，要求4500億美元的賠償金。有報道稱，Equifax數據在暗網市場有售，但分析師認為現在還很難確認該事件背后主謀及其動機。

Equifax為美國消費者專門設立了一個有關該數據泄露信息發布的網站(www.equifaxsecurity2017.com/)，在新發布的“進展更新”帖中寫道：

Equifax在主流獨立網絡安全公司輔助下，一直在緊鑼密鼓地調查該入侵事件的范圍，確認被讀取的信息與受影響的人員。經調查，Equifax大規模數據泄露的原因，出在早該在攻擊發生數周前就應修復的一個網站應用漏洞身上。Equifax已經與執法機構共享了IOC(入侵相關的威脅情報數據)。

本周早些時候Apache基金會便指出，其早在2017年3月就報告了CVE-2017-5638漏洞。Equifax是在2017年“5月中旬”被入侵，在7月發現入侵，9月初公布被黑事實。如果取15號當做“5月中旬”，那么，Equifax有9個星期時間來打上補丁。

該數據泄露完全可以避免的事實，而這還不是Equifax痛苦的終點。如“進展更新”中指出的，“由于信用記錄安全凍結的請求量太大，我們經歷了暫時性的技術難題，在2017年9月13日美國東部時間下午5點，我們的系統短時下線1小時以解決該問題。”

除了這起大規模數據泄露，Equifax最近還遭遇了阿根廷網站漏洞門事件。據報道，Equifax在阿根廷某雇員Web門戶中使用了“admin”作為登錄用戶名及口令，向該網站提交信用爭議的客戶及該公司雇員信息不保。

網絡安全博主布萊恩·克雷布斯稱，該阿根廷網站安全防護極差，理論上任何人都可以從該站點讀取用戶名和口令，冒充該公司雇員，甚或直接在數據庫中添加一個新“雇員”。更糟的是，攻擊者還可以讀取普通阿根廷公民提交的1.4萬份信用爭議投訴。這些投訴信息都以明文存儲。在克雷布斯聯系了該公司后，網站門戶被關閉。

Equifax并未提供安全驗證的具體細節，但發布了如下聲明：

我們知悉了阿根廷某內部門戶的一個潛在漏洞，該漏洞與上周發生在美國的網絡安全事件沒有任何聯系。我們立即作出響應，該情況僅影響到有限的公共信息，僅與聯系了我們客戶服務中心的消費者及管理這些互動的員工相關。們目前沒有證據表明有任何消費者、客戶，或我們商業及信用數據庫中的信息，受到了負面影響，我們將繼續測試及改善該地區的所有安全措施。

9月11日，兩名美國參議員要求Equifax回答如下具體問題：

Equifax到底是怎么被黑的?

該公司注意到此事有多久了?

Equifax還被要求曝光在黑客事件被發現到被公開期間拋售公司股票的3名Equifax高管。