Equifax 支付约。 2017年7亿美元和解数据泄露费用

当我们接近历史上最大的数据泄露事件的第二个周年纪念日时,Equifax过去的幽灵继续以最高金额的罚款困扰着这家信用报告巨头。该消息在过去的一个周末浮出水面,此后一直风靡一时– Equifax 可能向暴露了个人敏感信息的公民支付巨额赔偿,总计近10亿美元,其中一小部分形式为罚款。该协议包括美国联邦贸易委员会和消费者金融保护局,将结束近两年的调查和诉讼。

对于不熟悉这些的人,这里有一些背景知识。 Equifax 与TransUnion和Experian PLC一样,是美国的“三大”信用报告机构(CRA)之一。 CRA负责密切关注公民的信用历史,对个人财务信息(包括社会保险号和地址)拥有广泛的可见性。在这一特殊事件中,黑客利用Equifax网络中的漏洞将自己隐藏在无害的加密流量中,并窃取了总计1.48亿美国公民的数据。

而且,这种情况持续了很长时间才被发现,准确地说是76天,之后安全专家对弱链接进行了整理并对其进行了修补。

进一步的调查表明,Equifax确实具有检测此类违规的系统,除了一个小问题-该系统在其违规之前已因其数字证书已过期且未更新而脱机近十个月。

有趣的是,一张过期的证书(最高可以续签几千美元)如何对Equifax作为实体和品牌造成了严重破坏。明显的影响包括对客户的报销,联邦和州的诉讼,合规罚款以及调查或审计机构收取的费用。当然,这些隐性成本甚至可能使财务成本相形见,,它们伴随着不可挽回的品牌损害的耻辱和股价在宣布仅几个小时之内就被削减了。

这次事件使世界上几乎每个组织都大开眼界,以加强其网络安全,更重要的是,提高了其PKI(公钥基础结构管理系统)的安全性。数字证书既可以作为连接到Internet的硬件和软件实体的虚拟标识,又可以通过使系统联机且对希望与之通信的其他实体安全的方式来建立或破坏网络系统。当然,有一个方便的借口来掩盖潜在的失误:一个拥有多个地理位置,数百万个证书的大型组织如何管理所有这些证书,并确保每个证书在任何指定时间都处于活动状态并且在线?

打击这种借口的答案是自动化。证书生命周期自动化是一个新兴的行业,它承诺将一手解决公司可能遇到的与证书相关的每个问题:从清单化,安全保护到自动更新证书,他们全都做到了。

以Equifax的情况为例。他们当然肯定不会避免使用这种工具进行破坏,但至少可以在发生这种情况时就将其发现,从而成倍地减少了受害者的数量(以及相应的罚款)。

您可以阅读有关证书管理的更多信息, 这里 .

不要忘记签出 AppViewX CERT + ,我们全面的证书生命周期管理和自动化系统。

 艾伦·罗伊

关于作者

艾伦·罗伊

产品营销经理-AppViewX CERT +

Allan是AppViewX的营销经理,负责制定,实施和执行战略性产品营销计划。

阅读更多来自该作者的内容

想要更多精彩的内容?

订阅我们的博客可在收件箱中获取技术提示,行业新闻和思想领导文章!

最受欢迎

| 5分钟阅读

最佳的PKI滑模–以及如何克服它们

| 5分钟阅读

为什么加密对医疗保健行业至关重要

| 2分钟阅读

使用AppViewX进行网络发现

| 4分钟阅读

确保证书基础结构安全的5个步骤

相关文章

| 2分钟阅读

使用AppViewX进行网络发现

| 4分钟阅读

确保证书基础结构安全的5个步骤

| 5分钟阅读

获得信息技术法案以及加密与言论自由的关系

在证书流氓之前进行控制!

30分钟现场演示。

阅读更多 →