本文發表於《大眾科學》的前部落格網路,反映了作者的觀點,不一定反映《大眾科學》的觀點
1.43 億。這是 Equifax 持有的被駭客竊取的大約記錄數量。Equifax 是“三大”信用報告機構之一,因此它收集的所有資料都是高度敏感的個人和財務資料——您的信用卡賬單、您的抵押貸款等。而且,考慮到其全球持有量約為 8 億條記錄,損失是驚人的——大約 20% 的整個資料集丟失了。
這怎麼會發生?Equifax 會被判定有錯嗎?我們能做些什麼來防止它再次發生?所有都是好問題——但都沒有簡單的答案。
至於它是如何發生的——Equifax 將責任歸咎於軟體。據該公司稱,Apache 基金會建立的開源軟體 Apache STRUTS 存在缺陷。顧名思義,開源軟體是以開放方式透過公共協作建立的,並且通常免費或以極低的費用提供給使用者。(相比之下,例如,Apple 對其許多軟體細節保密,並將其視為公司智慧財產權。)大約 65% 的財富 100 強公司(包括洛克希德·馬丁公司、花旗集團、沃達豐、維珍大西洋航空、讀者文摘、Office Depot 和 Showtime 以及美國國稅局)都在使用 STRUTS,因此 STRUTS 中的任何缺陷都是一個問題。
支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保有關塑造我們當今世界的發現和思想的具有影響力的故事的未來。
對於 Equifax 來說,問題在於 STRUTS 中的缺陷是眾所周知的並且被廣泛報道。美國政府在 2014 年釋出了警報。Apache 基金會一直在積極部署修復程式來修補漏洞。因此,即使軟體很可能存在問題,Equifax 也需要回答一些問題,說明為什麼它沒有盡一切努力來修補這些缺陷。
然而,這並不意味著 Equifax 將會倒閉。可以肯定的是,他們將遭受重大的經濟損失。除了現在解決問題的應對成本外,還將有信用監控費用、法律費用,可能還有某種罰款。但最大的損失將是他們的聲譽。然而,這裡的市場是有限的——只有三家大型信用報告機構。因此,即使是聲譽損害也可能不會對盈虧底線產生實際影響。更重要的是,經濟狀況是這樣的,即像這樣的資料洩露事件在今天只是“做生意的成本”。
資料持有者尚未被要求承擔網路安全成本。或者,正如 Zeynep Tufekci 教授 所說,我們生活在“消費者承擔越來越多的風險,而公司承擔越來越少的風險的監管環境中”。當然,那麼,我們獲得的安全性就低於社會最優水平。
因此,真正的輸家是你和我。我們已經沒有隱私了。就我個人而言,我經歷了 Target 資料洩露事件、Home Depot 資料洩露事件、OPM(美國人事管理局)資料洩露事件——我們的政府丟失了所有關於持有最高機密許可的人員的資料——以及現在的 Equifax 資料洩露事件。在這些事件之間,我失去了我所有的財務、健康和身份資訊,以及進入我的機密背景調查的資訊,以及我手上的指紋。在網路上的某個地方,沒有什麼關於我的資訊是不可用的。
對於我們大多數人來說,這是一個直接影響個人的問題。我的精神健康問題,或我岌岌可危的財務狀況,(順便說一句,兩者都是假設性的)現在都是公開的秘密。但更大的問題是系統性的,它關係到整個網路生態系統的完整性。今天,幾乎我們所有人都在網路上透過某種形式的個人資訊來證明我們的身份。“你母親的孃家姓是什麼?” 如果我們所有的個人資訊現在都廣泛可用,那麼我們目前許多(全部?)身份驗證方法都令人懷疑。網路信任的系統性成本是多少?想想(像銀行業務)信任至關重要的環境。政府環境又如何呢?在政府環境中,命令和指令(有些具有現實世界的軍事後果)可能無法再被確鑿地驗證。
過於危言聳聽?也許吧。但這清楚地表明我們需要重新思考身份識別和身份驗證。Equifax 資料洩露事件的一個後果可能是強制性身份驗證和網路匿名性的終結——這真是一個反常的結果。