美国信用机构泄密事件升级：今年3月曾遭入侵 司法部介入高管减持调查

每经编辑 蔡鼎    

每经记者 蔡鼎 每经实习编辑 张杨运

本月初，《每日经济新闻》曾报道美国三大信用报告机构之一的Equifax（NYSE:EFX）遭遇重大安全漏洞，Equifax称黑客利用网站应用程序漏洞访问了近半（约1.43亿名）美国消费者的姓名、地址、社会安全码和一些驾照号码，此次攻击也成为史上最严重的安全漏洞事件之一。

目前，此事还在继续发酵：彭博社援引几名知情人士消息称，Equifax在今年3月份还曾遭到一次重大安全泄漏——但其在约五个月后才公开对外披露。这家已有18年历史的信用报告机构在短短几个月时间内便连遭两起重大安全泄漏事件。此外，消息称美国司法部已介入对Equifax三名高管可疑减持行为的调查。记者注意到，自当地时间9月7日Equifax宣布其遭受大规模数据泄漏至美股9月18日收盘，公司股价已经累计下跌33.9%。

新时间线或成诉讼关键

两名知情人士表示，Equifax在前述两次泄密事件时都聘用了一家名为Mandiant的安全公司进行调查，Equifax或许认为最初的数据泄漏是在可控范围之内的，但在今年7月29日再次发现可疑的黑客入侵时，他们不得不将调查人员请回来。Equifax发言人表示，公司第一次聘请Mandiant与7月29日的重大安全漏洞事件无关。火眼（Mandiant母公司）全球市场高级副总裁比托尔•德索萨（Vitor De Souza）拒绝就此事置评。

彭博社认为，关于Equifax时间线的新问题也很可能成为对该公司提起诉讼的关键所在。调查人员和消费者都想知道，为什么黑客可以黑入最被信任的Equifax，从而获得金融身份信息、社会保险号、驾照号等重要信息。

《每日经济新闻》记者注意到，在9月7日披露今年第二次重大安全漏洞后，Equifax在公开声明中表示，公司在客户数据消失数月之后才意识到信息被泄漏。Equifax表示其在7月29日发现了最近一次安全泄漏，并“立即采取行动阻止了事情继续蔓延，还进行了一项法庭调查。”此外，Equifax还在8月2日聘请了Mandiant来协助调查，并表示调查人员们最终发现黑客在5月中旬就黑入了Equifax进行数据盗窃。

Equifax9月7日针对信息泄露发布的公告

知情人士表示，并没有证据表示Equifax公开披露的时间线是不准确的，但公司确实遗漏了一组在今年春季发生的关键事件；早在三月初，Equifax便开始通知少数外部人士和银行客户，称公司遭受了一次安全漏洞，并聘用了一家安全公司来协助调查。Equifax的外部法律顾问King&Spalding在当时便与Mandian进行了第一次接触。虽然不清楚Mandiant和Equifax的安全团队进行了多长时间的调查，但一名知情人士表示，有迹象表明，该调查已于5月结束。

被入侵三次后Equifax才修复补丁

彭博社咨询了几位资深安全专家的说法，一种可能的解释是，调查没有发现消费者数据被泄漏的证据。此外，美国的数据泄漏披露法也只有在有证据表明敏感信息（诸如社会安全码和出生日期等）被盗后才会生效。Equifax的发言人表示，在3月份的安全泄漏事件中，公司完全符合所有消费者的通知法律要求。

即便如此，3月份的泄露事件可能会给Equifax陷入困境的高管们提出一些问题，即该调查是否足够彻底，或者是否调查结束得太快。例如，Equifax曾表示，当这伙黑客在3月份第二次利用公司网络软件的漏洞进入公司的计算机系统时，Equifax便发现了该漏洞，但直到7月份再一次出现大规模的黑客入侵时，这一漏洞的补丁才被补上。

安全专家们表示，遭到黑客入侵的公司可以左右外部调查人员开展调查的深度。比如，一些客户会限制调查的广度，或者调查人员进行实地调查的时间；另一些客户则想要包含整个计算机网络和识别现有安全漏洞在内的一个完整的评估报告。但在这种情况下，调查的成本通常是一个考虑因素，遭黑客入侵的公司可能也会认为数据泄漏的范围是有限的。

三高管累计套现370万美元成审查重点

彭博社9月7日曾报道称，在Equifax发现7月29日那次安全漏洞后的几天，三名公司高管出售了价值近180万美元的股票。但Equifax表示，公司三名高管在减持前，对公司客户个人信息的泄漏并不知情。

彭博社认为，3月份的这次安全漏洞事件将迫使Equifax努力澄清三名高管的减持行为（与安全漏洞事件有无关联）。如果有证据表明这三名高管在减持前对其中任何一件或两件安全漏洞事件知情的话，他们便很容易受到内幕交易的指控。另据知情人士透露，美国司法部已经展开对该三名高管减持行为的调查。

彭博社指出，除了前述一系列问题，Equifax三名高管的减持行为才最有可能受到最严格的审查——Equifax在7月29日发现其客户数据被黑客入侵，监管文件显示，8月1日和2日两天，Equifax首席财务官约翰•甘布尔（John Gamble）出售了价值946374美元的股票，美国信息解决方案总裁约瑟夫•劳伦（Joseph Loughran）行使了价值584099美元的股票期权，劳动力解决方案总裁兰多夫•普罗德（Rodolfo Ploder）则出售了价值250458美元的股票。

《每日经济新闻》记者注意到，在Equifax公开披露的时间线内，公司发现数据泄漏和高管减持两件事之间只有短短几天时间。而在新的时间线下，三名高管的减持行为却是发生在Equifax今年3月初发生安全泄漏后的5个月（仍在Equifax对外公开披露之前）。此外，在新的时间线下，约翰•甘布尔在5月23日减持1.4万股Equifax股票的行为也有可能成为审查的重点。监管文件显示，甘布尔于5月底的那次减持价值191万美元，是他8月初减持价值的两倍还多。