Equifax数据泄露一年后，500强公司仍然在使用相同有缺陷的软件

Equifax是美国三大个人信用评估机构之一，由于遭遇黑客攻击，约有1.43亿用户的个人重要信息泄漏。虽然Equifax发生的大规模数据泄露事件本应该是整个行业的一个警钟。但是至少有七家科技巨头使用的软件中，仍然存在Equifax被黑客攻击的漏洞。

黑客通过利用广泛使用的开放源代码Web服务器软件中的漏洞，盗窃了Equifax系统中一亿多条数据，该软件是信用评级巨头Equifax几个月前就已经发现，但是一直没有修补。导致大量用户姓名，地址，社会安全号码等被泄露，留给美国人信用欺诈和身份盗窃的风险。但是修改该漏洞的补丁发布一年后，一些全球最先进的公司仍在没有修复漏洞，或者从那时起推出了相同的有缺陷的软件。数千家公司已经下载了易受攻击的Apache Struts版本，这是一款在“财富”100强中使用最为广泛的Web服务器软件，用于提供Java应用程序。它通常用于支持前端和后端应用程序 ，Equifax的公共网站就是其中一个。

黑客攻击Equifax公共网站使用的漏洞，早在在2017年3月得到修复，并发布了修复补丁，但Equifax从未安装这些补丁。虽然这些补丁是可用，但是数据显示至少有10,800家公司在使用没有安装补丁的软件版本，非常容易遭受和Equifax一样的遭遇。由开源自动化公司Sonatype提供的数据显示，超过一半的“财富”全球100强都在使用该软件的易受攻击版本。

虽然该公司不会列出受影响的公司，但其中四分之一的公司位于北美。数据显示，7个是科技巨头，15个是金融服务或保险公司。但即使在补丁发布之后，在Equifax黑客攻击之后该漏洞已被广泛宣传，Sonatype的数据显示，只有五分之一的公司不再使用该软件的易受攻击版本，大量的用户仍然没有将软件升级或者安装补丁文件。尽管定期发布更新版本的Apache Struts自该补丁以来已有六次可能阻止Equifax攻击，数据显示，在过去的一年中，有23家财富100强全球公司下载了数千次Struts具有漏洞的版本。

用于维护Struts 的Apache Software Foundation允许用户下载该软件的旧版本，即使它们包含已知的安全漏洞。开发人员将有多种下载旧版Apache Struts的原因，以重现运行环境并诊断回归。对于生产用途，应该使用最新版本来确保解决已知的漏洞。Apache软件基金会注册了Mitre CVE列表的缺陷，以帮助用户和开发人员对他们部署的版本做出明智的选择。

这些数据揭示了公司在Equifax攻击之后学到了什么 - 以及公司如何处理这些存在的漏洞。它成为去年最大的违反美国数据安全的典型事件，并引发了多个州，联邦和一些国际调查。攻击者的下落仍然未知。这家信用评级巨头首先指责了Struts软件的错误，但后来发现只有一个人负责修补服务器。该公司因安全界和立法机构一再推迟披露违规行为数月而感到不满。

Equifax公司后来透露，在某些情况下，包括额外的驾驶证数据和一些税务识别号码在内的更多数据被盗。Equifax当时的首席执行官Richard Smith 在违规后退休。后来一位前高管也被被控内幕交易。