美國最大的征信機構之一equifax在周四表示,公司一個網站存在應用程式漏洞,造成了資料洩露,約1.43億使用者資訊被暴露出來。此次外洩事件在7月29日被發現,但該公司稱該事件可能始于5月中旬。
該公司在一份聲明中表示,
“犯罪分子利用美國網站應用漏洞擷取對某些檔案的通路權限。公司的調查表明,此次非法通路事件始于2017年五月中旬,一直持續至七月。 該公司尚未發現針對equifax核心使用者或商業征信資料庫的非法活動。”
個人征信系統又稱消費者信用資訊系統,主要為消費信貸機構提供個人信用分析産品。随客戶要求提高,個人征信系統的資料已經不局限于信用記錄等傳統營運範疇,注意力逐漸轉提供社會綜合資料服務的業務領域中來。
個人征信系統含有廣泛而精确的消費者資訊,可以解決顧客資訊量不足對企業市場營銷的限制,幫助企業以最有效的、最經濟的方式接觸到自己的目标客戶,因而具有極高的市場價值,個人征信系統應用也擴充到直銷和零售等領域。2015年7月,中國人民銀行曾釋出《征信機構資訊安全規範》
<a href="http://creditchina.bj.bcebos.com/uploads/201507/530299ae-1836-4ac7-aa56-4fa8a7c3fb61.pdf"> 征信機構資訊安全規範.pdf</a>
在美國個人征信機構的利潤有三分之一是來自直銷或資料庫營銷,個人征信系統已被廣泛運用到企業的營銷活動中。
該聲明還稱,資料外洩背後的攻擊者通路了使用者記錄資訊,包括社保号、出生日期和位址,并且在某些情況下還通路了駕駛員的駕照号。此外,20.9萬使用者的信用卡資料還慘遭洩露。此次資料外洩事件還涉及“18.2萬美國使用者的包含個人身份資訊的某些有争議的文檔”。
“在對應用程式漏洞進行調查時,equifax也發現了對某些英國和加拿大居民的受限個人資訊的非法通路。 equifax将與英國和加拿大的監管機構互相配合,共同決定下一步調查工作。 該公司發現沒有證據表明其他國家的使用者個人資訊受到影響。”
很多的時候金融機構發生資料洩露,并不完全是技術問題,而完善資料保護組織架構是首要工作。
資料保護工作涉及到商業銀行各個部門及所有業務系統和全行從業人員,是以,資料保護組織的建立過程中應該充分考慮到資料保護工作的系統性,建立完備的組織架構。一般分為決策組織,管理組織,執行組織和審計組織。
決策組織職責主要有根據公司發展戰略,結合企業資訊安全政策方針,制定符合企業業務發展的資料保護戰略方針;并授權指派管理組織開展資料保護工作;對管理組織的工作進行指導和定期檢查;對審計組織回報的問題進行督導問責和解決。
管理組織職責主要有根據企業資料保護戰略方針完善企業資料保護管理制度,規劃資料保護建設項目;并向決策組織定期彙報資料保護管理工作情況;對執行組織資料保護工作進行檢查和指導;配合審計組織的監督和檢查。
執行組織負責具體的資料保護技術工作的實施和執行;并定期向管理組織彙報,接受和配合審計組織監督和檢查。
審計組織職責主要是對管理組織和執行組織日常資料保護工作進行監督和檢查,并将檢查結果回報給決策組織,跟蹤審計問題的解決情況等。
各組織間的關系如下圖所示:
equifax建立了網站(www.equifaxsecurity2017.com)提供可能受影響使用者的資訊,并為所有美國使用者提供信用監控資訊。該公司将通過美國郵政服務(usps)聯系直接受影響的使用者,為其提供詳細資訊。
公司董事長兼ceo richard f. smith在一份聲明中稱,
“公司發生此次外洩事件,我們深表遺憾。對此事為使用者及企業客戶帶來的擔憂和麻煩,我深表歉意。”
equifax聘請了驗證公司協助調查并就今後避免此類資料外洩事件提供指導。smith還說,
“我已經對整個團隊下達訓示,要求我們的安全目标不應隻局限于解決該問題,應做進一步研究。應将對抗網絡安全風險納入日常工作。 盡管我們在資料安全方面進行了大力投入,但我們意識到要做的工作還有很多,我們将加大這方面的投入。” 原文釋出時間:2017年9月8日 本文由:csoonline 釋出,版權歸屬于原作者 原文連結:http://toutiao.secjia.com/equifax-databreach-143-million 本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站