Equifax数据泄露事件致CIO和CISO离职

作者：nana 日期：2017年09月18日阅：4,182

9月7日大规模数据泄露被曝之后，Equifax在15日宣布，其首席安全官(CSO)苏珊·马尔定，首席信息官(CIO)大卫·韦伯，立即从公司退位。

鲁斯·埃尔斯，原 Equifax IT 部门副总裁，被任命为临时CSO。2016年加入Equifax并主管其国际IT运营的马克·罗瓦瑟，被指定为临时CIO。埃尔斯直接向罗瓦瑟报告。

上周，Equifax通告客户称，有黑客在5月中旬到7月末期间入侵了其系统。造成的数据泄露影响1.43亿美国消费者，涉及姓名、社会安全号、出生日期、住址，部分情况下驾照信息也被黑客获取了。

该公司聘请了火眼旗下数据泄露调查公司曼迪安特调查此事，并指出：“Equifax的内部调查仍在持续，公司继续与FBI紧密合作进行调查。”

Equifax最初仅透露称，网络罪犯利用了一个“美国网站应用”中的漏洞来获取文件。然而，金融服务公司Baird稍后宣称，已知悉该应用是Apache Struts——很多顶级企业用来创建Web应用的一个框架。

尽管有些人认为该Apache Struts漏洞就是最近放出补丁的CVE-2017-9805——被越来越多地用来投送恶意软件，但更有可能的怀疑对象是CVE-2017-5638——3月份公开并修复的一个漏洞，公开后不久便开始被网络罪犯利用。

9月13日，Equifax在其专门为该网络安全事件开设的网站上发布了更新，确认CVE-2017-5638就是攻击者利用的Apache Struts 2漏洞。

这表明，该公司没能在关键漏洞公布后的2个多月里打上补丁，是本次数据泄露事件的主要原因。这次事件之后，其他人开始曝光Equifax的网络安全漏洞，包括未修复的跨站脚本(XSS)漏洞——1年多年便报告给了该公司，还有很多基本防护措施的缺失。

安全博主布莱恩·克雷布斯在9月12日报告称，一家Equifax阿根廷雇员门户网站暴露出1.4万条记录，包含雇员凭证和消费者投诉。在纽约州总检察长埃里克·施耐德曼宣布发起对Equifax数据泄露的正式调查之后，伊利诺伊等近40个州也加入了立案调查队伍。

数据泄露曝光之后，Equifax股价暴跌30%，公司资本市值蒸发50亿美元。Equifax官网声称其维护着全球8.2亿消费者和9100万家公司的数据。

关键词: