我們又來了：Experian負責影響2400萬的數據洩露

事實證明，為了獲得未經授權的大量信息訪問權，您不必總是破壞組織的安全性。跨國信用報告局Experian證明，有時候，您需要做的只是禮貌地問。

上週，益百利（Experian）的南非分支機構承認 ，數據洩露已導致一些消費者信息洩露。很快可以指出，該事件沒有涉及任何黑客攻擊。取而代之的是，一個騙子冒充了Experian的一位客戶，而徵信局的一名僱員則樂意洩露數據。

如果我們必須按照造成的尷尬來對網絡安全事件進行排名，那麼這一事件將排在首位。您可能希望受害者舉起手來，承認自己犯了一個愚蠢的錯誤，並承諾採取措施以避免將來發生類似事件。不過，Experian似乎還有其他處理數據洩露的想法。

益百利試圖淡化這個問題

Experian的聲明沒有談論為防止此類數據洩露而實施的更改，而是強調了一個事實，即沒有公開任何信用或財務信息。根據徵信局的說法，移交的數據通常是在“日常業務”中提供的，騙子意圖將其用於組織營銷活動。該詐騙者已被識別，他們的“硬件”已被扣押，洩露的數據已被刪除。已通知所有相關的監管機構和執法機構，儘管調查仍在進行中，但沒有證據表明暴露的數據被濫用。

最終，徵信局敦促消費者在www.mycreditcheck.co.za上免費查看其信用報告，Experian Africa首席執行官Ferdie Pieterse對他所說的“不便”表示歉意。

不僅帶來不便

益百利對於數據安全問題並不陌生。在必須成為2015年最大的網絡安全事件之一的情況下，黑客入侵了信用局美國分行的服務器，並竊取了多達1500萬人的個人詳細信息。 2013年，其子公司之一被捲入了ID盜竊案調查，引起了很大爭議。這兩個事件給我們留下了很多教訓，但是從Experian處理最近的數據洩露的方式來看，它沒有從中汲取任何教訓。

即使您決定忽略Experian允許其一名僱員被騙提供大量個人信息這一事實，您也必須查看該局披露該問題的方式，並且您會發現其中有很多問題。

該聲明確實說，例如，洩漏的信息是公開可用的，或者也定期與其他組織共享，但是它沒有試圖透露數據的確切性質。人們不知道自己的哪些個人信息被洩露，也無法知道需要警惕哪種攻擊。 Experian也沒有說事件發生的時間。

更糟糕的是，儘管它向受影響的各方道歉，但卻忘了提到那裡有多少人。值得慶幸的是，參與調查的南非銀行風險中心 （SABRIC）對細節更加慷慨。據稱，欺詐者獲得了2400萬南非人和不到80萬個商業實體的信息 。

SABRIC說，它目前正在與銀行和Experian合作，以確定受影響的個人。同時，建議每個人都對通過電子郵件，短信或電話提出的任何個人信息請求保持懷疑。

您可能想知道為什麼Experian無法在其聲明中披露所有這些信息。不幸的是，您的猜測與我們的一樣。