Equifax表示,自3月初以来,一个众所周知的漏洞让黑客得以在两个月后开始窃取多达1.43亿美国人的个人信息。
Equifax公司于本周三称,一个存在了数月但尚未修复的网络服务器漏洞导致了大规模数据泄露,大约一半的美国人因此暴露了自己的个人财务信息。
Equifax表示,他们识别出了Apache Struts CVE-2017-5638,这是3月6日首次发现的一个漏洞,是黑客入侵的入口。该公司在一家身份不明的网络安全公司的帮助下找到了问题所在。该漏洞的补丁在不到一周后发布。
目前还不清楚,当长达数月的大规模黑客攻击于5月中旬开始时,Equifax的服务器为何仍存在这一漏洞。Equifax的代表没有回复记者的置评请求。
信用报告公司不到一周前披露了一个未修补的漏洞,这进一步引发了有关此次黑客攻击的问题。黑客窃取了美国多达1.43亿人的金融数据,包括姓名、社会安全号码、出生日期和客户地址。Equifax是在7月29日得知此事的,但一个多月后才披露。
这是美国历史上规模最大的泄密事件之一,也是2017年已知的最大泄密事件。去年,门户网站雅虎(Yahoo)称,该公司2013年损失了约10亿账户的数据,达到创纪录的水平。
自9月7日黑客事件曝光以来,该公司一直受到密切关注。两名有影响力的美国参议员致信Equifax首席执行官里克•史密斯,要求其回答有关此次大规模黑客攻击的详细问题,包括安全漏洞的时间安排以及该公司何时发现的等细节。
参议院金融委员会(Senate Finance Committee)主席哈奇(Orrin Hatch)也询问了有关部门和董事会成员何时被告知遭到黑客攻击的信息,其中包括三名在黑客攻击被发现后几天内出售股票的高管。