原文作者

12月17日，美国国会众议院的政府改革暨监督委员会发布报告称，涉及超过1.48亿消费者的艾克法克斯数据泄露案本应轻易避免。“艾克法克斯未能充分重视并降低其网络安全风险，并由此发生了美国有史以来最大规模的数据泄露事件。”

报告指出，因公司组织架构的缺陷，导致公司IT政策部门与开发部门间的沟通失效，从而致使大量的关键系统补丁没有被及时开发，其中包括一个超19个月未做更新的漏洞。最终，黑客对艾克法克斯进行了长达76天的攻击，先后265次从公司获取未被加密的数据。艾克法克斯明显早已知道公司对系统补丁及时更新的能力缺失，却并没有进行改正。

此外，报告还批评了艾克法克斯对事件的应对不力。公司虽然专门成立了一个由1500名员工组成的咨询热线小组，但其员工却并未得到有效的培训，无法应对客户提问。其官方推特账户竟然还在攻击后的两个星期里，将客户错误引导到一个钓鱼网站上。

不过，消息引述了另外一名专家的意见，安全解决方案服务方Vectra的安全分析师Chris Morales认为，数据泄露并非“完全能够避免”。“只要有动机存在，黑客肯定是会持续地尝试攻击网络直至成功为止”。

即便如此，政府改革暨监督委员会给出了7条建议来防止未来类似事件的发生，包括提高透明度、优化信息技术、让系统运维的独立承包商更多地对网络安全负责。

委员会还提出，应减少使用社会保障号码作为个人标识，这项举措之前特朗普内阁就提议过。总统特别助理暨白宫网络安全特使Rob Joyce，在2017年的一个会议上就说，“社会保障号码已经过时了”。

不过，会计咨询及财富管理公司Moss Adams的网络安全高级主管Nathan Wenzler对此给出了不同意见，认为清除社会保障号码的应用场景并不是一个一劳永逸的举措。“社会保障号码虽然不是一个非常好的安全管理工具，但替换它将需要全球的各类系统花费巨大的工作量，随之而来的只能是又一个可能被盗用或攻击的数据漏洞”。

点击阅读原文，查看英文原文。

 相关阅读

速递 | 美监管机构疑Equifax停查Equifax引议员关注

【独家编译】事件始末：一起数据泄露案，还是高管过失犯罪？

Equifax CEO下台，仍有金色降落伞

【Equifax旋涡】250万赎金 9万人请愿 CISO作曲专业出身

信用界核爆！Equifax数据被黑 半数美国人信息泄露

CNN：史上Top 5 信息泄露事件，Equifax名列其中

岁末源点大福利！

送书啦！

点击上图进入

在文末留言

“我爱源点小特务”

截至12月30日8时

点赞数前15名

获赠《信用经济》新书一本！