我们又来了：Experian负责影响2400万的数据泄露

事实证明，为了获得对大量信息的未授权访问，您不必总是破坏组织的安全性。跨国信用报告局Experian证明，有时候，您需要做的只是礼貌地问。

上周，益百利（Experian）的南非分支机构承认 ，数据泄露已导致一些消费者信息泄露。很快可以指出，该事件没有涉及任何黑客攻击。取而代之的是，一个骗子冒充了Experian的一位客户，而征信局的一名雇员则乐意泄露数据。

如果我们必须按照造成的尴尬来对网络安全事件进行排名，那么这一事件将排在首位。您可能希望受害者举起手来，承认自己犯了一个愚蠢的错误，并承诺采取措施以避免将来发生类似事件。不过，Experian似乎还有其他处理数据泄露的想法。

益百利试图淡化这个问题

Experian的声明没有谈论为防止此类数据泄露而实施的更改，而是强调没有公开任何信用或财务信息这一事实。根据征信局的说法，移交的数据通常是在“日常业务”中提供的，骗子意图将其用于组织营销活动。该诈骗者已被识别，其“硬件”已被扣押，泄漏的数据已被删除。已通知所有相关的监管机构和执法机构，尽管调查仍在进行中，但没有证据表明暴露的数据被滥用。

最终，征信局敦促消费者在www.mycreditcheck.co.za上免费查看其信用报告，Experian Africa首席执行官Ferdie Pieterse对他所说的“不便”表示歉意。

不仅带来不便

益百利对数据安全问题并不陌生。在必须成为2015年最大的网络安全事件之一的情况下，黑客入侵了信用局美国分行的服务器，并窃取了多达1500万人的个人详细信息。 2013年，其子公司之一被卷入了ID盗窃案调查，引起了很大争议。这两个事件给我们留下了很多教训，但是从Experian处理最近的数据泄露的方式来看，它没有从中汲取任何教训。

即使您决定忽略Experian允许其一名雇员被骗提供大量个人信息这一事实，您也必须查看该局披露该问题的方式，并且您会发现其中有很多问题。

该声明确实说，例如，泄漏的信息是公开可用的，或者也定期与其他组织共享，但是它没有试图透露数据的确切性质。人们不知道自己的哪些个人信息被泄露，也无法知道需要警惕哪种攻击。 Experian也没有说事件发生的时间。

更糟糕的是，尽管它向受影响的各方道歉，但却忘了提到那里有多少人。值得庆幸的是，参与调查的南非银行风险中心 （SABRIC）对细节更加慷慨。据称，欺诈者获得了2400万南非人和不到80万个商业实体的信息 。

SABRIC说，它目前正在与银行和Experian合作，以确定受影响的个人。同时，建议每个人都对通过电子邮件，短信或电话提出的任何个人信息请求保持怀疑。

您可能想知道为什么Experian无法在其声明中披露所有这些信息。不幸的是，您的猜测与我们的一样。