前 Equifax CEO 将网站入侵归咎于某位未及时打补丁的雇员

美国信用巨头 Equifax 上个月披露 1.43 亿美国公民的个人敏感信息泄露，本周一该公司将这一数字再增加 250 万至 1.45 亿人。Equifax CEO Richard Smith 已因此事辞职（或委婉说法被退休），这位前 CEO 周二出席了众议院能源和商务委员会下属小组委员会举行的听证会，透露了这家公司在网络安全方面所采取的 “恐怖” 故事。攻击者是在今年 5 月利用已修复的 Apache Struts 软件漏洞入侵系统，而 Equifax 是在 7 月 29 日发现黑客的活动，Smith 承认他直到 7 月 31 日才首次听到可疑活动的报告，8 月 2 日雇佣了律所 King & Spalding 的网络安全专家调查此事，8 月 17 日收到简报，22 日通知董事长，24 日和 25 日董事会全都收到了简报。Smith 将入侵原因归咎于“人为错误”，某位知道系统需要打补丁的雇员未能通知相应的 IT 团队。Smith 声称他的公司采取了多种保护数据的技术，但用户的敏感个人信息就是明文保存的，没有加密。在披露黑客入侵之后，Equifax 设立了一个专门的域名让用户检查自己的信息有没有被窃取，多名议员询问为什么 Equifax 不在自己的主网站设立一个入口让用户检查，Smith 的解释是核查网站流量太大会拖垮整个网站，显然他对网站相关的技术不太了解。