美国征信系统为何不堪一击 | 科技心语

近日，征信机构Equifax爆发了史上最大一起用户信息泄露事故，犯罪分子已经偷走了美国1.43亿用户的个人银行卡和社保账号信息，其中超过2万用户的银行卡信息被盗。英国和加拿大部分用户的信息也受到波及。

目前美国的银行主要依靠三家征信机构的信息来决定是否要给房屋和汽车发放贷款，以及是否给个人发放信用卡，Equifax是其中一家，另外两家征信巨头是TransUnion和Experian。

信息泄露事件在美国造成了巨大的影响。银行卡和社保等个人信用账号是个人信息“皇冠上的明珠”，是无法被改变的，一旦流通开来，那么相当于这些信息将会永远被曝光了，而且难以恢复。

早在2015年，美国健康保险公司Anthem曾遭遇过信息泄露，当时涉及8000万美国用户账号被盗。

普华永道TMT行业主管合伙人周伟然对笔者表示：“美国征信体系已经建立了好几十年，而且数据在全球多方共享。而在中国，征信系统才刚刚发展起来，尚处于发展阶段，而且主要用户是中国用户。所以美国的征信系统要翻新或者针对某些网络安全漏洞做升级就相对较难，容易成为黑客攻击的对象。”

这也让人联想到今年早些时候爆发的WannaCry病毒，选择英国医疗系统作为主要攻击对象。西方庞大的公共体系的更新滞后成为网络安全的最大隐患。

“美国的体系通常是把鸡蛋放在一个篮子里的。”Gartner研究副总裁盛陵海对笔者表示，“这是资本驱动使然，因为只有一家独大才能获得高利润。”

处理与数据相关业务的机构，尤其是与金融数据相关的机构，一旦发生如此大规模的用户信息泄露，都是对公司名誉的重大打击。

据悉，用户信息被盗事件发生在今年5月至7月，Equifax最早发现数据被黑是在7月29日。但直到上周四，Equifax才向公众披露这一消息。时隔一个半月，加重了用户的损失。

芝加哥大学计算机教授赵燕斌对笔者表示：“Equifax受到攻击我并不惊讶，我惊讶的是黑客攻击的时长竟然持续了两个月，而且公司竟然花了那么久才察觉到。要知道1.43亿人的信息需要花很久才能下载下来。很显然，公司对于外来入侵以及网络异常的侦察系统已经失效。”

在爆发危机之后，Equifax采取的唯一措施是上线了一个新的安全恢复网站，帮助用户查询并监控自己的信息是否安全。但是人们在使用这个安全网站时，Equifax暗设了一个默认的服务条款：用户必须放弃对Equifax进行集体诉讼。

一家安全公司Shevirah的创始人兼首席技术官Georgia Weidman表示：“Equifax在教会人们如何安全使用互联网方面起了反面教材的作用。”

在金融领域，大数据的分析和分享正在成为主要的发展趋势，随之而来的网络安全问题也日渐突出。此次事件让整个美国的征信系统备受考验，同时，也暴露了美国政策监管不利的问题。

目前，一场针对这一史上最大规模的信息泄露案件的议会听证即将举行。民主党议员已经要求Equifax删除要求监控账号的用户放弃集体诉讼权利的条款。美国消费者金融保护办公室也对Equifax做出同样的要求。

这样看来，Equifax的闹剧还将持续很长一段时间。

此内容为第一财经原创。未经第一财经授权，不得以任何方式加以使用，包括转载、摘编、复制或建立镜像。第一财经将追究侵权者的法律责任。

如需获得授权请联系第一财经版权部：021-22002972或021-22002335；banquan@yicai.com。