調查：Equifax資料外洩起自早被修補的Apache Struts漏洞，20萬筆卡號外流

上周美國第三大消費者信用報告業者Equifax發生網站被駭，導致美國史上最大宗的1.43億筆資料外洩，但進一步調查卻發現這可能是一樁原本躲得掉的災難。 

事發當時，Equifax僅表示是美國一個網站app的漏洞遭到入侵。在外部安全業者的協助下，周四該公司進一步調查發現，指出這個漏洞為Apache Struts CVE-2017-5638，並表示已經配合執法機關進行調查。 

這個漏洞早在3月6日即由Apache基金會加以修補。就在更新版本釋出之後幾天，全球未修補的伺服器就陸續成為駭客下手目標。Equifax就是在兩個月後被入侵，從5月中到7月底，讓駭客存取包括消費者姓名、社會安全號碼、生日、地址及約21萬筆消者信用卡號等資料。 

但對消費者及Equifax來說麻煩還未結束。知名安全部落格Krebs on Security報導，兩大信用卡公司Visa及MasterCard本周向全美多家金融機構發出祕密通知，警告超過20萬筆信用卡交易紀錄外洩，而且罕見地雙雙點名外洩來源為Equifax。其中Visa並指出，被竊資料涵括2016年11月10日到今年7月6日，時間長達9個月。 

被外洩的信用卡資料包括消費者姓名、信用卡卡號、到期日等，這批資料有被用於線上盜刷的風險。 

Equifax一事現已引發20宗受害消費者集體訴訟，路透社報導，美國交易委員會（FTC）已介入調查，並有民主黨參議員要求該公司高層下台負責。