每經編輯 蔡鼎    

每經記者 蔡鼎 每經實習編輯 張楊運

本月初，《每日經濟新聞》曾報道美國三大信用報告機構之一的Equifax（NYSE:EFX）遭遇重大安全漏洞，Equifax稱黑客利用網站應用程序漏洞訪問了近半（約1.43億名）美國消費者的姓名、地址、社會安全碼和一些駕照號碼，此次攻擊也成為史上最嚴重的安全漏洞事件之一。

目前，此事還在繼續發酵：彭博社援引幾名知情人士消息稱，Equifax在今年3月份還曾遭到一次重大安全泄漏——但其在約五個月后才公開對外披露。這家已有18年歷史的信用報告機構在短短幾個月時間內便連遭兩起重大安全泄漏事件。此外，消息稱美國司法部已介入對Equifax三名高管可疑減持行為的調查。記者注意到，自當地時間9月7日Equifax宣布其遭受大規模數據泄漏至美股9月18日收盤，公司股價已經累計下跌33.9%。

新時間線或成訴訟關鍵

兩名知情人士表示，Equifax在前述兩次泄密事件時都聘用了一家名為Mandiant的安全公司進行調查，Equifax或許認為最初的數據泄漏是在可控范圍之內的，但在今年7月29日再次發現可疑的黑客入侵時，他們不得不將調查人員請回來。Equifax發言人表示，公司第一次聘請Mandiant與7月29日的重大安全漏洞事件無關。火眼（Mandiant母公司）全球市場高級副總裁比托爾•德索薩（Vitor De Souza）拒絕就此事置評。

彭博社認為，關于Equifax時間線的新問題也很可能成為對該公司提起訴訟的關鍵所在。調查人員和消費者都想知道，為什么黑客可以黑入最被信任的Equifax，從而獲得金融身份信息、社會保險號、駕照號等重要信息。

《每日經濟新聞》記者注意到，在9月7日披露今年第二次重大安全漏洞后，Equifax在公開聲明中表示，公司在客戶數據消失數月之后才意識到信息被泄漏。Equifax表示其在7月29日發現了最近一次安全泄漏，并“立即采取行動阻止了事情繼續蔓延，還進行了一項法庭調查。”此外，Equifax還在8月2日聘請了Mandiant來協助調查，并表示調查人員們最終發現黑客在5月中旬就黑入了Equifax進行數據盜竊。

Equifax9月7日針對信息泄露發布的公告

知情人士表示，并沒有證據表示Equifax公開披露的時間線是不準確的，但公司確實遺漏了一組在今年春季發生的關鍵事件；早在三月初，Equifax便開始通知少數外部人士和銀行客戶，稱公司遭受了一次安全漏洞，并聘用了一家安全公司來協助調查。Equifax的外部法律顧問King&Spalding在當時便與Mandian進行了第一次接觸。雖然不清楚Mandiant和Equifax的安全團隊進行了多長時間的調查，但一名知情人士表示，有跡象表明，該調查已于5月結束。

被入侵三次后Equifax才修復補丁

彭博社咨詢了幾位資深安全專家的說法，一種可能的解釋是，調查沒有發現消費者數據被泄漏的證據。此外，美國的數據泄漏披露法也只有在有證據表明敏感信息（諸如社會安全碼和出生日期等）被盜后才會生效。Equifax的發言人表示，在3月份的安全泄漏事件中，公司完全符合所有消費者的通知法律要求。

即便如此，3月份的泄露事件可能會給Equifax陷入困境的高管們提出一些問題，即該調查是否足夠徹底，或者是否調查結束得太快。例如，Equifax曾表示，當這伙黑客在3月份第二次利用公司網絡軟件的漏洞進入公司的計算機系統時，Equifax便發現了該漏洞，但直到7月份再一次出現大規模的黑客入侵時，這一漏洞的補丁才被補上。

安全專家們表示，遭到黑客入侵的公司可以左右外部調查人員開展調查的深度。比如，一些客戶會限制調查的廣度，或者調查人員進行實地調查的時間；另一些客戶則想要包含整個計算機網絡和識別現有安全漏洞在內的一個完整的評估報告。但在這種情況下，調查的成本通常是一個考慮因素，遭黑客入侵的公司可能也會認為數據泄漏的范圍是有限的。

三高管累計套現370萬美元成審查重點

彭博社9月7日曾報道稱，在Equifax發現7月29日那次安全漏洞后的幾天，三名公司高管出售了價值近180萬美元的股票。但Equifax表示，公司三名高管在減持前，對公司客戶個人信息的泄漏并不知情。

彭博社認為，3月份的這次安全漏洞事件將迫使Equifax努力澄清三名高管的減持行為（與安全漏洞事件有無關聯）。如果有證據表明這三名高管在減持前對其中任何一件或兩件安全漏洞事件知情的話，他們便很容易受到內幕交易的指控。另據知情人士透露，美國司法部已經展開對該三名高管減持行為的調查。

彭博社指出，除了前述一系列問題，Equifax三名高管的減持行為才最有可能受到最嚴格的審查——Equifax在7月29日發現其客戶數據被黑客入侵，監管文件顯示，8月1日和2日兩天，Equifax首席財務官約翰•甘布爾（John Gamble）出售了價值946374美元的股票，美國信息解決方案總裁約瑟夫•勞倫（Joseph Loughran）行使了價值584099美元的股票期權，勞動力解決方案總裁蘭多夫•普羅德（Rodolfo Ploder）則出售了價值250458美元的股票。

《每日經濟新聞》記者注意到，在Equifax公開披露的時間線內，公司發現數據泄漏和高管減持兩件事之間只有短短幾天時間。而在新的時間線下，三名高管的減持行為卻是發生在Equifax今年3月初發生安全泄漏后的5個月（仍在Equifax對外公開披露之前）。此外，在新的時間線下，約翰•甘布爾在5月23日減持1.4萬股Equifax股票的行為也有可能成為審查的重點。監管文件顯示，甘布爾于5月底的那次減持價值191萬美元，是他8月初減持價值的兩倍還多。