南非公民征信數據全泄露：弱密碼惹禍，美國巨頭將賠償超百億元

美國征信巨頭TransUnion的南非公司遭巴西黑客團伙襲擊，5400萬消費者征信數據泄露，絕大多數為南非公民，據了解南非總人口約6060萬人；

黑客團伙透露，通過暴力破解入侵了一臺存有大量消費者數據的SFTP服務器，該服務器的密碼為“Password”；

TransUnion公司稱，將為受影響的消費者免費提供身份保護年度訂閱服務，預計成本將超過114億元。

國際知名消費者信用機構TransUnion日前證實，已淪為“第三方”黑客攻擊的受害者，但不會支付任何勒索贖金。

因弱密碼被黑，幾乎所有南非民眾征信數據泄露

巴西黑客團伙N4aughtysecTU聲稱對此次攻擊負責，并表示已經成功訪問到5400萬消費者的個人信息，總數據量約達4 TB。

TransUnion南非公司證實，黑客團伙確實利用授權客戶憑證竊取了訪問權，目前相關賬戶已被封停。

N4aughtysecTU團伙透露，他們入侵了某臺安全性較差的TransUnion SFTP服務器，從中竊取到大量消費者個人信息，其中大部分來自南非國內，也涉及一部分其他國家用戶的記錄。根據聯合國統計數據，目前南非總人口為6060萬人。

該團伙同時強調，他們并未像TransUnion官方說明的那樣，竊取了什么用戶憑證，而是對SFTP服務器發動了暴力攻擊。據稱，他們最終入侵賬戶時使用的密碼為“Password”，如此簡單的內容難怪可以快速完成暴力破解。

NordVPN在一份報告中將“password”列為2021年全球五大最常用密碼之一，目前的暴力手段在1秒內就能將其破解。

TransUnion網站發表了以下聲明：

• 此次事件影響的是一臺隔離服務器，此服務器中保存有我司在南非的部分業務數據。
• 我們的團隊正在與外部專家密切合作，以了解具體哪些數據受到了影響。
• 受影響的數據可能包括消費者信息，例如電話號碼、電子郵件地址、身份證號碼、居住地址及某些信用評分。

在上周末發現黑客企圖之后，TransUnion立即將服務中的“部分元素”下線，現在這些服務已經恢復上線。一位消息人士指出，由于黑客方并沒有鎖死數據以索取贖金，所以本次事件更多屬于純粹的敲詐，而非典型的勒索軟件攻擊。

TransUnion南非公司CEO Leek Naik解釋道，“TransUnion的首要任務，就是保護好我們所持有信息。我們知道目前的情況可能令人不安，TransUnion南非將致力于幫助每一位信息受到影響的個人。”

為消費者提供免費身份保護，預計成本超百億元

一位匿名消息人士告知媒體，TransUnion公司認為這5400萬條記錄泄露，似乎與2017年另外一起并未涉及TransUnion的數據安全事件有關。

這家全球消費者信用機構表示，他們將向“受影響的消費者”免費提供身份保護產品TrueIdentity的年度訂閱服務，費用為每人499南非蘭特。如果所有5400萬個被黑賬戶全部照此辦理，那么總成本將達到驚人的270億蘭特（約114億元）。

奇怪的是，各家媒體報道的所謂勒索數額，也僅僅在2.23億至2.25億蘭特之間。

無論贖金數額是多少，此次違規事件都給所有簽訂過信貸協議的南非人造成了影響。

當民眾與銀行、其他金融機構、信用卡公司、汽車信貸方、公共事業公司乃至其他債權人簽訂協議時，實際也就自動同意與征信機構共享信用與付款記錄。根據協議約定，申請者的賬戶信息與付款歷史將被上報給TransUnion這類信用分析機構。

行業協會發出警告，應建立聯合防御陣線

南非儲蓄與投資協會（縮寫：Asisa）高級政策顧問Johann van Tonder表示，協會中的不少成員都在使用TransUnion信用驗證服務，此次泄露的信息很可能涉及南非人壽保險的投保人與投資者。

他還提到，“雖然黑客獲得的客戶信息似乎僅限于姓名、聯系方式和身份證號碼，但我們擔心犯罪分子會利用這些信息來欺騙消費者、誘導他們給出賬戶密碼。”

Van Tonder表示，金融部門非常清楚自身行業當前面臨的持續網絡安全威脅。為此，儲蓄與投資協會已經成立了網絡安全事件響應小組，鼓勵并促進網絡犯罪趨勢及其他相關信息的共享，借此幫助各協會成員企業應對網絡安全風險。而這支響應小組也成為金融領域的三大現有行業響應小組之一。

Van Tonder提到，負責打擊網絡犯罪的各部門之間必須建立合作。“為此，儲蓄與投資協會正在與南非銀行業風險信息中心（縮寫：Sabric）密切合作，共同評估TransUnion南非數據泄露事件給南非消費者造成的整體影響。”

風險信息中心首席執行官Nischal Mewalall表示，該中心已經與TransUnion南非合作，希望協調銀行業內的多方面努力、保障銀行客戶資料免受利用。他提到，“南非各銀行高度重視客戶數據安全，所以隨著調查的推進已經制定出一系列強有力的風險緩解策略，意在檢測潛在的賬戶欺詐行為并保護客戶個人信息。”

Mewalall還補充道，個人信息泄露不代表攻擊者一定可以訪問到客戶的銀行資料或賬戶，但犯罪分子可以利用這些信息冒充成客戶、或者詐騙受害者交出自己的銀行機密信息。

為此，風險信息中心敦促各銀行客戶及其他消費者嚴格遵循全面的身份管理實踐，借此降低身份盜用與欺詐活動風險，同時建議銀行客戶采取以下預防措施：

• 對于任何通過電話、傳真或電子郵件提出的機密信息要求，請勿透露密碼、PIN碼等個人信息。
• 定期變更密碼，切勿將密碼與他人共享。
• 對提供個人信息的要求進行充分驗證，確保僅在有正當理由時提供這些信息。
• 不繼續使用可能已經泄露的信息，而應使用之前未用過的其他個人信息進行身份確認。