國會報告、專家看法:安裝修補程式可避禍

世界新聞網
世界日報World Journal

信評公司Equifax在2017年發生大量資料外洩事件,不論眾院監督委員會(House Oversight Committee)調查小組以及業界資安專家均認為,Equifax的資安作法與政策不符合標準,系統老舊未更新,而且未採取基本資安措施,例如未安裝修補程式防堵系統漏洞,讓原本可避免的小問題演變成難以挽回的資料外洩災難。

Equifax證實,駭客在2017年5月中旬透過Adobe的Apache Struts軟體漏洞,駭進Equifax網頁應用程式,而Adobe早在3月就釋出修補程式;換言之,Equifax有兩個月以上的時間可採取預防措施,避免1億4700萬名客戶的個人資料外洩,但他們卻毫無作為。

Adobe建議用戶,定期為Apache Struts更新並安裝修補程式;Apache Struts副總裁吉倫(René Gielen)當時表示:「多數資料外洩是因為未能更新軟體原件,而這些漏洞早已公告多月甚至多年。」

資安公司分析師范斯海克(Bas van Schaik)表示,該漏洞已在當年3月公告,而且有清楚簡易的修補指示;他認為:「那麼企業有責任執行現有程序,即刻遵照這些建議……如果Equifax照做,資料就不會外洩。」

范斯海克指出,一旦駭客發現Equifax使用的系統存有漏洞,就可從此漏洞進入其伺服器和網路,「很遺憾,這一切會變得相對簡單。」

眾院後續的報告也譴責Equifax前執行長史密斯(Richard Smith),他吹噓其公司握有國會圖書館近1200倍的數據,但眾院報告稱Equifax「未能執行適當資安程式來保護敏感數據」。

眾院的報告呼應資安專家的看法,Equifax未安裝修補程式,而且國土安全部甚至在幾個月前就發出警告。

眾院報告表示,Equifax未能發現數據遭駭,因為用來監控網路流量的裝置已經過期而且未運作19個月,Equifax花了兩個月完成更新後才發現流量異常,但一切為時已晚;此份報告指出「這類外洩完全可以避免」。

更多世界日報報導
中國旅客夾帶「一袋死小鳥」入境美國 被逮到
加州聖地牙哥首例確診! 患者搭撤僑班機 全美新冠肺炎第13例
最新!中國疫情:死亡破1000例 湖北單日死亡破百 累計確診近4.3萬例

你可能還想看