调查：Equifax资料外泄起自早被修补的ApacheStruts漏洞，20万笔卡号外流

上周美国第三大消费者信用报告业者Equifax发生网站被骇，导致美国史上最大宗的1.43亿笔资料外泄，但进一步调查却发现这可能是一桩原本躲得掉的灾难。 

事发当时，Equifax仅表示是美国一个网站app的漏洞遭到入侵。在外部安全业者的协助下，周四该公司进一步调查发现，指出这个漏洞为Apache Struts CVE-2017-5638，并表示已经配合执法机关进行调查。 

这个漏洞早在3月6日即由Apache基金会加以修补。就在更新版本释出之后几天，全球未修补的服务器就陆续成为骇客下手目标。Equifax就是在两个月后被入侵，从5月中到7月底，让骇客存取包括消费者姓名、社会安全号码、生日、地址及约21万笔消者信用卡号等资料。 

但对消费者及Equifax来说麻烦还未结束。知名安全部落格Krebs on Security报导，两大信用卡公司Visa及MasterCard本周向全美多家金融机构发出秘密通知，警告超过20万笔信用卡交易纪录外泄，而且罕见地双双点名外泄来源为Equifax。其中Visa并指出，被窃资料涵括2016年11月10日到今年7月6日，时间长达9个月。 

被外泄的信用卡资料包括消费者姓名、信用卡卡号、到期日等，这批资料有被用于线上盗刷的风险。 

Equifax一事现已引发20宗受害消费者集体诉讼，路透社报导，美国交易委员会（FTC）已介入调查，并有民主党参议员要求该公司高层下台负责。