每日經(jīng)濟(jì)新聞 2017-09-19 18:19:46
本月初美國(guó)三大信用評(píng)級(jí)機(jī)構(gòu)之一的Equifax公司宣布其遭遇黑客入侵,,大約1.43億名美國(guó)用戶數(shù)據(jù)泄露,司法部已經(jīng)開始對(duì)信息泄露事件展開調(diào)查。然而屋漏偏逢連夜雨,據(jù)消息人士稱,該公司在今年3月份還曾遭到一次重大安全泄漏,此外,公司三位高管累計(jì)套現(xiàn)370萬美元也成為審查重點(diǎn)。
每經(jīng)編輯 蔡鼎
每經(jīng)記者 蔡鼎 每經(jīng)實(shí)習(xí)編輯 張楊運(yùn)
本月初,《每日經(jīng)濟(jì)新聞》曾報(bào)道美國(guó)三大信用報(bào)告機(jī)構(gòu)之一的Equifax(NYSE:EFX)遭遇重大安全漏洞,Equifax稱黑客利用網(wǎng)站應(yīng)用程序漏洞訪問了近半(約1.43億名)美國(guó)消費(fèi)者的姓名、地址、社會(huì)安全碼和一些駕照號(hào)碼,此次攻擊也成為史上最嚴(yán)重的安全漏洞事件之一。
目前,此事還在繼續(xù)發(fā)酵:彭博社援引幾名知情人士消息稱,Equifax在今年3月份還曾遭到一次重大安全泄漏——但其在約五個(gè)月后才公開對(duì)外披露。這家已有18年歷史的信用報(bào)告機(jī)構(gòu)在短短幾個(gè)月時(shí)間內(nèi)便連遭兩起重大安全泄漏事件。此外,消息稱美國(guó)司法部已介入對(duì)Equifax三名高管可疑減持行為的調(diào)查。記者注意到,自當(dāng)?shù)貢r(shí)間9月7日Equifax宣布其遭受大規(guī)模數(shù)據(jù)泄漏至美股9月18日收盤,公司股價(jià)已經(jīng)累計(jì)下跌33.9%。
兩名知情人士表示,Equifax在前述兩次泄密事件時(shí)都聘用了一家名為Mandiant的安全公司進(jìn)行調(diào)查,Equifax或許認(rèn)為最初的數(shù)據(jù)泄漏是在可控范圍之內(nèi)的,但在今年7月29日再次發(fā)現(xiàn)可疑的黑客入侵時(shí),他們不得不將調(diào)查人員請(qǐng)回來。Equifax發(fā)言人表示,公司第一次聘請(qǐng)Mandiant與7月29日的重大安全漏洞事件無關(guān)?;鹧郏∕andiant母公司)全球市場(chǎng)高級(jí)副總裁比托爾•德索薩(Vitor De Souza)拒絕就此事置評(píng)。
彭博社認(rèn)為,關(guān)于Equifax時(shí)間線的新問題也很可能成為對(duì)該公司提起訴訟的關(guān)鍵所在。調(diào)查人員和消費(fèi)者都想知道,為什么黑客可以黑入最被信任的Equifax,從而獲得金融身份信息、社會(huì)保險(xiǎn)號(hào)、駕照號(hào)等重要信息。
《每日經(jīng)濟(jì)新聞》記者注意到,在9月7日披露今年第二次重大安全漏洞后,Equifax在公開聲明中表示,公司在客戶數(shù)據(jù)消失數(shù)月之后才意識(shí)到信息被泄漏。Equifax表示其在7月29日發(fā)現(xiàn)了最近一次安全泄漏,并“立即采取行動(dòng)阻止了事情繼續(xù)蔓延,還進(jìn)行了一項(xiàng)法庭調(diào)查。”此外,Equifax還在8月2日聘請(qǐng)了Mandiant來協(xié)助調(diào)查,并表示調(diào)查人員們最終發(fā)現(xiàn)黑客在5月中旬就黑入了Equifax進(jìn)行數(shù)據(jù)盜竊。
Equifax9月7日針對(duì)信息泄露發(fā)布的公告
知情人士表示,并沒有證據(jù)表示Equifax公開披露的時(shí)間線是不準(zhǔn)確的,但公司確實(shí)遺漏了一組在今年春季發(fā)生的關(guān)鍵事件;早在三月初,Equifax便開始通知少數(shù)外部人士和銀行客戶,稱公司遭受了一次安全漏洞,并聘用了一家安全公司來協(xié)助調(diào)查。Equifax的外部法律顧問King&Spalding在當(dāng)時(shí)便與Mandian進(jìn)行了第一次接觸。雖然不清楚Mandiant和Equifax的安全團(tuán)隊(duì)進(jìn)行了多長(zhǎng)時(shí)間的調(diào)查,但一名知情人士表示,有跡象表明,該調(diào)查已于5月結(jié)束。
彭博社咨詢了幾位資深安全專家的說法,一種可能的解釋是,調(diào)查沒有發(fā)現(xiàn)消費(fèi)者數(shù)據(jù)被泄漏的證據(jù)。此外,美國(guó)的數(shù)據(jù)泄漏披露法也只有在有證據(jù)表明敏感信息(諸如社會(huì)安全碼和出生日期等)被盜后才會(huì)生效。Equifax的發(fā)言人表示,在3月份的安全泄漏事件中,公司完全符合所有消費(fèi)者的通知法律要求。
即便如此,3月份的泄露事件可能會(huì)給Equifax陷入困境的高管們提出一些問題,即該調(diào)查是否足夠徹底,或者是否調(diào)查結(jié)束得太快。例如,Equifax曾表示,當(dāng)這伙黑客在3月份第二次利用公司網(wǎng)絡(luò)軟件的漏洞進(jìn)入公司的計(jì)算機(jī)系統(tǒng)時(shí),Equifax便發(fā)現(xiàn)了該漏洞,但直到7月份再一次出現(xiàn)大規(guī)模的黑客入侵時(shí),這一漏洞的補(bǔ)丁才被補(bǔ)上。
安全專家們表示,遭到黑客入侵的公司可以左右外部調(diào)查人員開展調(diào)查的深度。比如,一些客戶會(huì)限制調(diào)查的廣度,或者調(diào)查人員進(jìn)行實(shí)地調(diào)查的時(shí)間;另一些客戶則想要包含整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)和識(shí)別現(xiàn)有安全漏洞在內(nèi)的一個(gè)完整的評(píng)估報(bào)告。但在這種情況下,調(diào)查的成本通常是一個(gè)考慮因素,遭黑客入侵的公司可能也會(huì)認(rèn)為數(shù)據(jù)泄漏的范圍是有限的。
彭博社9月7日曾報(bào)道稱,在Equifax發(fā)現(xiàn)7月29日那次安全漏洞后的幾天,三名公司高管出售了價(jià)值近180萬美元的股票。但Equifax表示,公司三名高管在減持前,對(duì)公司客戶個(gè)人信息的泄漏并不知情。
彭博社認(rèn)為,3月份的這次安全漏洞事件將迫使Equifax努力澄清三名高管的減持行為(與安全漏洞事件有無關(guān)聯(lián))。如果有證據(jù)表明這三名高管在減持前對(duì)其中任何一件或兩件安全漏洞事件知情的話,他們便很容易受到內(nèi)幕交易的指控。另?yè)?jù)知情人士透露,美國(guó)司法部已經(jīng)展開對(duì)該三名高管減持行為的調(diào)查。
彭博社指出,除了前述一系列問題,Equifax三名高管的減持行為才最有可能受到最嚴(yán)格的審查——Equifax在7月29日發(fā)現(xiàn)其客戶數(shù)據(jù)被黑客入侵,監(jiān)管文件顯示,8月1日和2日兩天,Equifax首席財(cái)務(wù)官約翰•甘布爾(John Gamble)出售了價(jià)值946374美元的股票,美國(guó)信息解決方案總裁約瑟夫•勞倫(Joseph Loughran)行使了價(jià)值584099美元的股票期權(quán),勞動(dòng)力解決方案總裁蘭多夫•普羅德(Rodolfo Ploder)則出售了價(jià)值250458美元的股票。
《每日經(jīng)濟(jì)新聞》記者注意到,在Equifax公開披露的時(shí)間線內(nèi),公司發(fā)現(xiàn)數(shù)據(jù)泄漏和高管減持兩件事之間只有短短幾天時(shí)間。而在新的時(shí)間線下,三名高管的減持行為卻是發(fā)生在Equifax今年3月初發(fā)生安全泄漏后的5個(gè)月(仍在Equifax對(duì)外公開披露之前)。此外,在新的時(shí)間線下,約翰•甘布爾在5月23日減持1.4萬股Equifax股票的行為也有可能成為審查的重點(diǎn)。監(jiān)管文件顯示,甘布爾于5月底的那次減持價(jià)值191萬美元,是他8月初減持價(jià)值的兩倍還多。
如需轉(zhuǎn)載請(qǐng)與《每日經(jīng)濟(jì)新聞》報(bào)社聯(lián)系。
未經(jīng)《每日經(jīng)濟(jì)新聞》報(bào)社授權(quán),嚴(yán)禁轉(zhuǎn)載或鏡像,違者必究。
讀者熱線:4008890008
特別提醒:如果我們使用了您的圖片,請(qǐng)作者與本站聯(lián)系索取稿酬。如您不希望作品出現(xiàn)在本站,可聯(lián)系我們要求撤下您的作品。
歡迎關(guān)注每日經(jīng)濟(jì)新聞APP