你可能沒聽說過Equifax 這公司,不過,他們手中握有的美國人個資可是多達1.4億筆。你不妨想想:Facebook 的美國用戶也才兩億左右,Equifax 怎麼會有 1.4 億筆的個資?更糟糕的是,他們宣布自己被駭了,手中的個資遭到駭客盜取。
美國社會實施信用制度實行已久,但承擔徵信職能,給每個人評定、記錄和增扣信用分的卻不是政府,而是三家最大的徵信公司,Equifax 就是其中之一,另外兩個是 Experian 和 TransUnion。
在美國,信用制度的核心是社會安全號碼 (Social Security Number, SSN),公民在向政府以及徵信機構提交各種文書時,通常會用到不同的證件,但 SSN 和駕照是最常用的。而這次,Equifax 洩露基本上是用戶的全套數據了……
Equifax 第一宗罪:洩露資料
Equifax 的這次安全事件影響了超過 1.43 億美國人,他們的姓名、生日、SSN、手機號碼和住址都有可能已經被駭客竊取。同樣可能被竊取的還有一部分美國人的駕照號碼,21 萬人的信用卡號碼,以及大約 18 萬人的法律文件,上面記錄有詳細的個人辨識信息。除了美國之外,英國和加拿大用戶也受到不同程度影響……
該公司董事長兼 CEO 瑞克‧史密斯 (Rick Smith) 在聲明中宣稱,駭客「未經許可」獲取了 Equifax 伺服器的瀏覽權限。
廢話,跟你要許可的話還叫駭客嗎……
1935 年,施行羅斯福新政的美國推出了社會安全系統,每個美國人都可以領到一張社會安全卡(其實就是一張紙),上面就是 SSN,一段 9 位的數字。SSN 的制度沿用至今,除了美國人,特定身份的外國人在美國有收入和報稅需要也可以申請,基本上是美國人人都有的東西。
這個系統的問題是……它已經快一百年沒有改變過了。它有很嚴重的安全隱患:SSN 一直是那個 9 位的數字,一直是那張紙,上面有你的名字,丟了就等於身份丟失。
▲社會安全卡而且這個數字還會出現在幾十上百種公開的法律文書和證件,比如醫療保險卡、報稅表上,極其容易被盜取。
然而,只要美國不立法取消這個制度,只要政府不下達命令,SSN 就還得繼續用下去……
但現在的問題是,SSN 的確不安全,但 Equifax 作為一家徵信機構,手握幾億美國人的全套資料,還沒搞好伺服器安全把資料拱手送給駭客……
Equifax 第二宗罪:隱瞞事實、內幕交易
Equifax 是上週四宣佈的自己被駭的消息。
問題在於,它其實在 7 月 29 日——足足一個月之前就發現了被駭這件事。
他們的解釋是「發現了被駭之後,聘請了外部的安全調查公司來做調查,而調查仍在進行過程中。」
也真是夠了……要不是因為已經上市,真不知道 Equifax 能把這事兒瞞多久。
同樣,因為是上市公司,所有重要事項都要跟聯邦證券交易委員會(SEC,美國的證監會)報備。眼尖的美國媒體立刻去翻 SEC 的文件,發現該公司的三名高級主管,在這一個月間賣出了總價值接近 180 萬美元的 Equifax 股票……
而在 9 月 7 日醜聞曝光後,Equifax 的股價立刻暴跌。
Equifax 的發言人表示,這三人賣出的股份比例僅占小部分,而且他們在當時對本次侵入事件並不知情。
然而法律文書是騙不了人的:三人賣出股票的日期是 8 月 1 日和 2 日——公司發現被駭客侵入的足足三天後。身為公司的 C-level 和總裁級高級主管,出事後三天都「不知情」?
毫無疑問,三人的行為涉嫌內幕交易 (Insider Trading),但畢竟作為經驗豐富的高級主管,狡猾奸詐的老狐狸,這三人明知道有內幕交易風險,還是做了這事,很可能已經安排妥當了。
但如果你以為 Equifax 已經夠不要臉的了,你還是小看了它……
Equifax 第三宗罪:發國難財
前面提到,美國一半人口被本次駭客事件波及,這足以導致 SSN 制度,甚至整個美國信用系統遭遇顛覆性危機……
而 Equifax 倒是聰明得很,讓人感受到了美國大企業能油條到什麼程度:
在宣佈事件的同時,Equifax 很機智地上線了一個網站 equifaxsecurity2017.com。他們在這個網站上交代了事情的前因後果,但交代的並非全部的、最詳細的事實。
這個網站讓你輸入你的姓和 SSN 的後六位,網站會告訴你的資料是否洩漏。如果波及了你,這個網站會很聰明地告訴你:
感謝!根據您提供的信息,你的資料可能已經洩露。點擊按鈕來註冊高級帳戶服務!
最不要臉的地方在這裡:這個網站誘導你去註冊的這個所謂的高級賬戶服務,名叫 TrustID Premier,看起來好像是要進一步保護你的資料的……並不是!
這其實是一個三大機構聯合監控你的信用分的服務,之前是付費的,這兩天免費但不知道持續多久……
而且它根本保護不了你的資料,因為它的提供方也是 Equifax……沒錯,就是剛剛被黑駭客破拿走了 1.4 億用戶資料的 Equifax。
如果你的資料被波及了,被 Equifax 騙了,註冊了這個 TrustID Premier 服務,它會讓你再一次提交全名和 9 位 SSN,然後會讓你同意用戶服務條款。
條款有這樣一條:你放棄向 Equifax 發起集體訴訟的權利。
同樣,如果你之前已經是 Equifax 的用戶,那你可能已經簽署了同樣的條款。
集體訴訟 (class-action lawsuit) 是美國法律允許的一種起訴方式。如果一家公司坑了你 100 塊錢,你起訴他要求賠償 100 塊,能不能贏不好說,通常會被大公司利用法律程序導致你付出大量的訴訟費用,很不經濟。但如果成千上百人發起集體訴訟,案值高,你的律師和其他法律服務提供者更容易賺到錢,原告方更容易獲得法律支持,勝算也更高。
而在本案中,1.4 億人就不說了,哪怕幾千人一起集體訴訟 Equifax,它都輸定了……這也是為什麼 Equifax,以及很多向公眾提供有償服務的公司都會在用戶條款中放置同樣或類似的條文,你一不小心沒看見,簽了名,今後就只能吃悶虧了。
Equifax 的鬧劇離結束還早得很。
已經有一些受害者聯合起來發起了集體訴訟,他們的宿命尚未可知。另外,紐約市總檢察長已經表示對這家公司啟動調查。
- 本文授權轉載自:PingWest(品玩)
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!