左耳听风
陈皓
网名“左耳朵耗子”,资深技术专家
175859 人已学习
新⼈⾸单¥98
登录后,你可以任选6讲全文学习
课程目录
已完结/共 119 讲
左耳听风
15
15
1.0x
00:00/00:00
登录|注册

03 | Equifax信息泄露始末

你好,我是陈皓,网名左耳朵耗子。
相信你一定有所耳闻,9 月份美国知名征信公司 Equifax 出现了大规模数据泄露事件,致使 1.43 亿美国用户及大量的英国和加拿大用户受到影响。今天,我就来跟你聊聊 Equifax 信息泄露始末,并对造成本次事件的原因进行简单的分析。

Equifax 信息泄露始末

Equifax 日前确认,黑客利用了其系统中未修复的 Apache Struts 漏洞(CVE-2017-5638,2017 年 3 月 6 日曝光)来发起攻击,导致了最近这次影响恶劣的大规模数据泄露事件。
作为美国三大信用报告公司中历史最悠久的一家,Equifax 的主营业务是为客户提供美国、加拿大和其他多个国家的公民信用信息。保险公司就是其服务的主要客户之一,涉及生命、汽车、火灾、医疗保险等多个方面。
此外,Equifax 还提供入职背景调查、保险理赔调查,以及针对企业的信用调查等服务。由于 Equifax 掌握了多个国家公民的信用档案,包括公民的学前和学校经历、婚姻、工作、健康、政治参与等大量隐私信息,所以这次的信息泄露,影响面积很大,而且性质特别恶劣。
受这次信息泄露影响的美国消费者有 1.43 亿左右,另估计约有 4400 万的英国客户和大量加拿大客户受到影响。事件导致 Equifax 市值瞬间蒸发掉逾 30 亿美元。
根据《华尔街日报》(The Wall Street Journal)的观察,自 Equifax 在 9 月 8 日披露黑客进入该公司部分系统以来,全美联邦法院接到的诉讼已经超过百起。针对此次事件,Equifax 首席执行官理查德·史密斯(Richard Smith)表示,公司正在对整体安全操作进行全面彻底的审查。
事件发生之初,Equifax 在声明中指出,黑客是利用了某个“U.S. website application”中的漏洞获取文件。后经调查,黑客是利用了 Apache Struts 的 CVE-2017-5638 漏洞。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结
仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《左耳听风》
新⼈⾸单¥98
立即购买
登录 后留言

全部留言(87)

  • 最新
  • 精选
  • 廖雪峰
    struts的开发就是弱者,类似eval()的东西默认就敢开
    16
    269
  • Sdylan
    #Equifax信息泄露始末笔记 1.使用开源的框架必须实时关注其动态,特别是安全漏洞方面 2.任何公开的入口,都必须进行严格的安全检查 3.框架的选型十分重要,必须将安全考察进去
    115
  • 李志博
    Struts 漏洞那么多,最好的办法就是赶快切换spring mvc
    60
  • javaadu
    使用开源框架,千万要注意其BUG和安全性,去年我们发现fastjson有个安全问题,整个公司在一个星期内都紧急检查和升级。现在github做得很好的一点是,会对我们的代码进行安全扫描,发现有包含安全性问题的版本的代码的时候,会给出升级提醒,在大一点的公司里也可以自己做这种安全扫描和提醒。
    5
    30
  • Richie
    事件: 大规模数据泄露 主角: Equifax —— 美国三大信用报告公司中历史最悠久的一家,其掌握了多个国家公民的信用档案,包括公民的学前、学校经历、婚姻、工作、健康、政治参与等大量隐私信息。 影响面: 致使1.43亿美国用户及大量的英国和加拿大用户受到影响,导致Equifax市值蒸发掉逾30亿美元。 事件原因: 在Struts高危漏洞披露后两个月仍没有升级版本及修复漏洞,导致被黑客利用。 根本原因: Equifax 的安全意识太弱(还有很多其他未修复的漏洞)
    19
  • Panda
    换spring-boot😈
    18
  • 艾尔欧唯伊
    很好奇,这些大牛是怎么注意到这些安全漏洞的。。。
    5
    12
  • 月伴寒江
    struts漏洞实在太多,补都补不赢,之前的项目后来都换成了Spring MVC。对于一些安全意识不高的企业,确实没什么人关注这些。
    11
  • 风起
    作为一个新员工,终于明白公司为什么有一个团队专门坐开源组建扫描评级, 还有为啥有代码安全扫描。
    11
  • MC
    哎,我的信息也在其中…
    10
收起评论
显示
设置
留言
87
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部