美最大征信机构Equifax数据泄露 1.43亿美国公民个人信息被“曝光”

7月29日发现的美国最大征信机构Equifax数据泄露事件波及约1.43亿美国用户。1.43亿美国人民数据包括驾照号、社保号、出生日期和地址。征信机构存储有大量的公民个人敏感信息(具体原因见后),所以在今年4月,个人信息保护与征信管理国际研讨会在京举行,最高法、央行再次强调个人征信重在个人信息保护,而 数据防泄漏解决方案措施,可以看看绿盟科技金融安全月刊201708期

美最大征信机构Equifax数据泄露

美国最大的征信机构之一Equifax在周四表示,公司一个网站存在应用程序漏洞,造成了数据泄露,约1.43亿用户信息被暴露出来。此次外泄事件在7月29日被发现,但该公司称该事件可能始于5月中旬。

该公司在一份声明中表示,

“犯罪分子利用美国网站应用漏洞获取对某些文件的访问权限。公司的调查表明,此次非法访问事件始于2017年五月中旬,一直持续至七月。

该公司尚未发现针对Equifax核心用户或商业征信数据库的非法活动。”

个人征信系统是什么 它为什么存储了那么多个人信息

个人征信系统又称消费者信用信息系统,主要为消费信贷机构提供个人信用分析产品。随客户要求提高,个人征信系统的数据已经不局限于信用记录等传统运营范畴,注意力逐渐转提供社会综合数据服务的业务领域中来。

个人征信系统含有广泛而精确的消费者信息,可以解决顾客信息量不足对企业市场营销的约束,帮助企业以最有效的、最经济的方式接触到自己的目标客户,因而具有极高的市场价值,个人征信系统应用也扩展到直销和零售等领域。2015年7月,中国人民银行曾发布《征信机构信息安全规范》征信机构信息安全规范.pdf

在美国个人征信机构的利润有三分之一是来自直销或数据库营销,个人征信系统已被广泛运用到企业的营销活动中。

1.43亿美国人民数据包括驾照号、社保号、出生日期和地址

该声明还称,数据外泄背后的攻击者访问了用户记录信息,包括社保号、出生日期和地址,并且在某些情况下还访问了驾驶员的驾照号。此外,20.9万用户的信用卡数据还惨遭泄露。此次数据外泄事件还涉及“18.2万美国用户的包含个人身份信息的某些有争议的文档”。

“在对应用程序漏洞进行调查时,Equifax也发现了对某些英国和加拿大居民的受限个人信息的非法访问。

Equifax将与英国和加拿大的监管机构互相配合,共同决定下一步调查工作。

该公司发现没有证据表明其他国家的用户个人信息受到影响。”

数据安全防护体系建设思路

很多的时候金融机构发生数据泄露,并不完全是技术问题,而完善数据保护组织架构是首要工作。

数据保护工作涉及到商业银行各个部门及所有业务系统和全行工作人员,因此,数据保护组织的建立过程中应该充分考虑到数据保护工作的系统性,建立完备的组织架构。一般分为决策组织,管理组织,执行组织和审计组织。

决策组织职责主要有根据公司发展战略,结合企业信息安全策略方针,制定符合企业业务发展的数据保护战略方针;并授权指派管理组织开展数据保护工作;对管理组织的工作进行指导和定期检查;对审计组织反馈的问题进行督导问责和解决。

管理组织职责主要有根据企业数据保护战略方针完善企业数据保护管理制度,规划数据保护建设项目;并向决策组织定期汇报数据保护管理工作情况;对执行组织数据保护工作进行检查和指导;配合审计组织的监督和检查。

执行组织负责具体的数据保护技术工作的实施和执行;并定期向管理组织汇报,接受和配合审计组织监督和检查。

审计组织职责主要是对管理组织和执行组织日常数据保护工作进行监督和检查,并将检查结果反馈给决策组织,跟踪审计问题的解决情况等。

各组织间的关系如下图所示:

更多的内容请参看 绿盟科技金融安全月刊201708期

征信机构Equifax创建专门的网站 试图挽回影响

Equifax创建了网站(www.equifaxsecurity2017.com)提供可能受影响用户的信息,并为所有美国用户提供信用监控信息。该公司将通过美国邮政服务(USPS)联系直接受影响的用户,为其提供详细信息。

公司董事长兼CEO Richard F. Smith在一份声明中称,

“公司发生此次外泄事件,我们深表遗憾。对此事为用户及企业客户带来的担忧和麻烦,我深表歉意。”

Equifax聘请了取证公司协助调查并就今后避免此类数据外泄事件提供指导。Smith还说,

“我已经对整个团队下达指示,要求我们的安全目标不应只局限于解决该问题,应做进一步研究。应将对抗网络安全风险纳入日常工作。

尽管我们在数据安全方面进行了大力投入,但我们意识到要做的工作还有很多,我们将加大这方面的投入。”

发表评论