【猎云网(微信号:ilieyun)】9月12日报道 (编译:Timo)
发生于本周的Equifax被黑事件,涉及近1.43亿客户,可能是美国征信业历史上最大的违规事件。此次被黑事件使得用户社保号码,出生日期甚至信用卡号被曝光。早在五月份,黑客就侵入了系统,因此这些数据已经被散布了数月之久。这些年来专家一直提醒大家,要做好自己的社保号码等信息被不法分子盗用的心理准备。而如今美国成年人中有一半的人口都受到牵连,这种担心自然不无道理。
除了给用户造成的损害之外,此次事件也揭露了Equifax商业模型中隐藏颇深的荒谬之处。该公司是个人信息的中央储存库之一,是客户核对信息以确保不会受骗的地方。而如今骗子有了和其他人一样的信息。如果他们不能妥善保管信息,又为何密集地将这些信息存在一个地方呢?
如果你注意到这些数据的性质,也会有同样的疑问。社保号和出生日期的信息被盗取就意味着不法分子会利用这些信息以你的名义申请贷款等。而既然如此当初又为何给予这些个人信息如此高的重要性?社保号没有什么特别之处,每个美国人都有,因此用于征信,本应该是保密的却发生了这样的事件。在此之前,Experian,Anthem以及OPM都有过泄漏信息事件。对于上亿受害的民众来说,通过社保号验证身份无法奏效了。而当下最需解释的问题是:为何美国仍在使用以并不安全的数据为支撑的一套信用系统呢?
信息被黑源自于本不合理的身份验证制度
如今美国的征信系统崩溃了,然而这并不是一天两天的事,而是持续了很长一段时间。而此次客户信息被盗事件正是源于旧的身份验证系统已经不再适用。Equifax方面显然责任重大,他们在之后的补救也无济于事。但这也不完全是某个公司的问题。在这样一个充斥着各种信息数据的时代,人们却只能依赖于一串数字以防自己受骗,一旦信息泄露,就等于将自己推到了悬崖边独自承担风险。这些数据的泄露已经如此频繁,人们却仍将其视为私人信息。对于美国来说,是时候要对这套系统动刀子了。
从字面上看,征信局的职责是提供信誉服务。你能通过姓名查到此人近年来所有借贷记录和信用情况。对于放贷者来说,这些信息相当重要,因此很多企业或客户都愿意付费购买这种服务。而对放贷者来说最大的风险莫过于骗子利用他人的身份信息骗取借款然后不辞而别。因此,征信局也逐渐变成了身份认证的服务机构。客户名字和社保号码是否对应是关键。
这种身份验证方式漏洞太大。乍一看社保号码就相当于某种密码。然而密码是可以修改的,不同的服务账户也不应该都用同一个密码。你也可以用更专业的方法,用散列函数生成密码。就像几乎所有网络服务注册都需要Gmail账号一样,许多机构也留有你的社保号码信息。这些信息很容易泄漏。
全美三大征信局Equifax, TransUnion和Experian都把大公司看做自己的客户,而与这些信息最相关的民众他们却没有放在眼里。结果就是,某些错误的基本信息很长时间都没有更正(比如,向征信局证明自己还没死其实比你想象的要麻烦很多)。尽管已经出台了一些像公平信用报告法之类的规定旨在修补漏洞,但仍旧改变不了整个系统的死板,而且大众本身对个人信息的隐私重视程度也不高。
从旧主顾到为你看过病的牙医,上百家组织机构都知道你的社保号码
虽然形势严峻,却也不无良方弥补。比如,可以从让冻结账户更为方便入手。信用密码也是目前最为合理的解决方法,可以为信息形成双重保障。除此之外,网络上现在也充斥着各种更可靠的登录系统,比如硬件令牌和生物识别。而由于征信所目前的种种束缚,这些方法还未能应用在信用卡开户上。这等于说是为诈骗敞开大门,也是网络犯罪上升的驱动之一。
Facebook,谷歌,PayPal肯定都很乐意接手征信局的工作,但这些公司也不能让人省心。也有人建议应该将这些信息都放到一个数据块链上,将系统去中心化,为信息加密。新的方法也有新的风险,但此次事件都为大家敲响了警钟,信息被盗不仅仅是因为安全防范措施没有做好,本质原因是整个身份验证系统已经不再适用,是时候作出一番整改了。