Equifax公布数据泄漏分析报告：全美大半居民受事件影响

本周一Equifax向美国证券交易委员会提交了关于数据泄露的分析报告，据报道，超过一半的美国人受到了Equifax数据泄露的影响。

Equifax美国一家消费者信用报告机构，是美国三大信贷机构之一，收集并保存了全球超过8亿消费者和超过8800万家企业的信息。Equifax于去年7月29日遭受了一次网络攻击，黑客访问了约1.43亿美国Equifax消费者的个人数据，同时至少20万名客户的信用卡信息被窃取。糟糕的是，据今年三月数据统计，隐私信息被访问的受害者数量升至近1.47亿。

Equifax的SEC备案部分细节信息

为何在遭受攻击半年后，问题不但没得到解决，反而变得日益严重呢？不妨追溯此段时间附近发生了什么——根据 Sonatype（高盛支持的网络安全初创公司）追踪软件开发商提供的代码数据分析，从2017年3月到2018年2月，多达10,801家组织（包括57％的“ 财富”全球100强企业）从Equifax网站下载了已知易受攻击的Apache Struts版本，这是攻击者针对Equifax的流行开源软件包。

Apache软件基金会于 2017年3月7日发布了Equifax采用的补丁版本，其后一年内更新了6次。尽管有可修复的代码，但很多企业仍继续下载Struts的破碎副本 ——这是一种常见的应用程序构建框架，它可以帮助处理许多业务的事务后台，但这可能会对远程代码执行产生影响，从而使攻击者能够远程劫持计算机系统。

除此之外，与应用其他软件修补程序（如简单的Microsoft Windows更新）相比，更新Struts对于公司来说往往挑战更大。由于Struts库通常与不同的Web应用程序捆绑在一起，因此修复此问题需要了解哪些应用程序使用了这些组件; 更新所谓的构建脚本，以便获取最新版本的软件; 重建应用程序; 并进行质量保证测试，以确保修补应用程序按预期工作。它不像下载和重新启动那样直截了当。但目前看来，这个问题需要迅速补救，这对开发人员来说是个不小的挑战。

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。