美国征信巨头 Equifax 上个月披露 1.43 亿美国公民的个人敏感信息泄露，本周一该公司将这一数字再增加 250 万至 1.45 亿人。Equifax CEO Richard Smith 已因此事辞职。然而，这位前 CEO 于本周二出席了众议院能源和商务委员会下属小组委员会举行的听证会，透露了这家公司在 *** 安全方面所采取的 “恐怖” 故事。

攻击者是在今年 5 月利用已修复的 Apache Struts 软件漏洞入侵系统，而 Equifax 是在 7 月 29 日发现黑客的活动，Smith 承认他直到 7 月 31 日才首次听到可疑活动的报告。随后，8 月 2 日雇佣律所 King & Spalding 的 *** 安全专家调查此事，8 月 17 日收到简报，22 日通知董事长，24 日和 25 日董事会全都收到了简报。Smith 将入侵原因归咎于 “人为错误”，某位知道系统需要打补丁的雇员未能通知相应的 IT 团队。

Smith 声称他的公司采取了多种保护数据的技术，但用户的敏感个人信息就是明文保存的，没有加密。在披露黑客入侵之后，Equifax 设立了一个专门的域名让用户检查自己的信息有没有被窃取，多名议员询问为什么 Equifax 不在自己的主网站设立一个入口让用户检查，Smith 的解释是核查网站流量太大会拖垮整个网站，显然他对网站相关的技术不太了解。

稿源：solidot奇客，封面源自 *** ；