＊本文只能在《好奇心日报（qdaily）》发布，即使我们允许了也不许转载＊
黑客为了盗取用户信息、仿冒大公司网站的案例层出不穷，但是公司错把外链指向假网站的新闻却不多见。
equifax 就犯了这样的错误。最近，软件工程师尼克·斯威廷（nick sweeting）仿冒 equifax（一家美国信用报告公司，译注） 官方网页建立了一个虚假网站 securityequifax2017。但实际上，正确的网址应为 equifaxsecurity2017，它是 equifax 为此前的信息泄露危机新开设的网站，这起事件或已导致 1.43 亿美国人的信息外泄。然而，equifax 的 twitter 账号竟然推送了多条消息，把假的钓鱼网站地址发给了消费者。乌龙事件公开后，他们才删除了这些消息。
截至上周三下午，chrome、firefox 和 safari 浏览器均已屏蔽了假网站，斯威廷随后也撤下了网页。据他透露，网站关闭时已经获得了约 20 万点击量。
equifax 为用户信息泄露事件建立的网站（左）和假的网站（右）。一名软件工程师创建了该虚假网站，希望equifax 的网络安全漏洞能引起关注。
不过好在斯威廷写明了自己是假冒网站，所以并未有人受到损失。假网页布局和原版一模一样，连顶部提示也完全相同，上面写着：“防范身份信息盗用、监控您的信用档案，请点击此处免费注册。”但是假网站的大幅标题有所不同，斯威廷写道：“网络安全事件和重要消费者信息完全是假的。为什么 equifax 的域名这么容易被钓鱼网站仿冒？”
黑客很容易就能创建虚假 equifax 页面，如果当真有人在钓鱼网站上注册了假的身份防盗服务，并提供了姓名和社会保障号码的后 6 位数字，那么后果不堪设想。（斯威廷假网站上的注册页面不可用，所以网站不会保存用户提交的信息。）
他们不仅推送了假的链接，而且推送了 3 次。#equihax
斯威廷在一封邮件中表示，他创建假冒网站完全是为了引起人们重视，因为 equifax的安全措施实在太薄弱了。他写道：“equifax 的网站实在太容易仿冒了。我只用了 20 分钟就完成了，我敢保证已经有人搭建了真的恶意钓鱼网站。”
“人们应当呼吁 equifax 换一个更可靠的域名，”他补充道，“我希望引起大家的重视，既然只需 10 美元就能建个站，我就着手行动了。”
周三，equifax 在一份简短的声明中表示，公司已经删除了所有包含假冒链接的消息。声明写道：“很抱歉给您带来了困惑。请消费者警惕仿冒 equifax 的虚假网站，正确的网址是https://equifaxsecurity2017，您可以前往此网站了解更多信息，并免费注册信用监控服务，我们公司的主页则是 equifax。其它宣称由 equifax 运营的网站如非来自以上两个页面，请务必谨慎访问。”
当被问及 equifax 为何新建了独立网站，而非在 equifax 下创建子域名时，公司发言人玛丽萨·萨尔西内斯（marisa salcines）未能予以回应。
网络安全专家表示，新建域名是个重大失误。黑客无法在 equifax 域名下新建网页，所以如果公司网站能托管在那里，用户就可以轻易分辨真假。
卡内基梅隆大学（carnegie mellon university）信息系统专业教授拉胡尔·特朗（rahul telang）表示：“显然一开始就应该这么做，只要在官网下建立一个子域名，那么有人想仿冒的话，就很容易识破了。”相反，equifaxsecurity2017 这个网站看起来一点也不正规。特朗教授称自己第一眼都无法确定真伪，不知道在这个网站上提交个人信息是否安全。
斯威廷在邮件中解释说，只需使用 linux 命令“wget”就可以下载网站全部内容，“包括所有图片、html 文档和 css 文档等。”
“使用 wget 命令就能复制下整个网站，再花 5 美元租用一台服务器，把复制好的网页放上去，整个过程极其简单。我的服务器目前采用 ssl 认证，和 equifax 真实的站点相同，所以从认证角度而言，用户根本无法区分真的站点和我的服务器。”
特朗教授认为，equifax 的做法表明其从未料想到数据会被泄露，也从未对此有所防范。他说：“如果没有应急预案，那就可能发生各种意外。equifax 就是很好的例子。”
equifax 错误推送的 twitter 消息均以“-tim”结尾，或许代表了发布消息的雇员名字。equifax 发言人并未透露公司是否会对当事人进行处罚，但斯威廷表示自己不希望涉事员工因此被解雇。
“他们很可能只是用 google 搜索了网址，结果找到了假的网站，”他说道，“真正应该负责的是那些最初决定建立不正规网站的人。”
翻译 熊猫译社 智竑
题图来自 pexels
2017 the new york times