这一次,Facebook正在分享员工的数据

日期:2018-06-06 浏览:25

Facebook用户习惯于为了方便而交换个人数据。直到2031年,Facebook公司才被美国联邦贸易委员会( Federal Trade Commission )置于隐私保护期,因为联邦贸易委员会在2011年表示,Facebook公司“欺骗消费者,告诉他们可以将他们在Facebook上的信息保密,然后一再允许分享和公开。“

广告仍然通过鲜为人知的安排,Facebook Inc .定期将美国员工敏感的收入和就业数据与Equifax员工解决方案拥有的工作号码数据库共享。是的,等传真。

每周,Facebook都会向Equifax员工解决方案(以前称为TALX,Equifax,Inc . )提供员工小时工作和工资信息的电子数据馈送。工作号码数据库与Equifax信用局数据库分开管理,Equifax信用局数据库暴露了超过1.43亿美国人的数据,但它包含有关Facebook员工的广泛个人信息的另一个缓存,包括他们的出生日期、社会保障号码、职称、工资、加薪或减薪、任期、每周工作时数、按支付期分列的工资、医疗保险覆盖面

Facebook的典型员工在租赁公寓、更新移民身份、申请贷款或公共援助或申请新工作时,可能需要通过TALX验证其就业情况。如果他的新雇主是Equifaxs verifier network中7万个被批准的实体之一,并且有“允许的目的”,那么该公司可以用大约20美元购买他的就业和收入信息。( Facebook发言人拒绝评论该公司与Equifax的关系和工作号码。)

令人惊讶的是,Facebook还是朋友之一。每个发薪期,亚马逊、微软和甲骨文还向Equifax提供员工小时工作和工资信息的电子提要。沃尔玛、Twitter、AT & T、哈佛法学院和宾夕法尼亚州也是如此。甚至爱德华·斯诺登的前雇主,有时是保密的美国承包商博斯·艾伦·汉密尔顿,也向Equifax Workplace Solutions发送其雇员的工资和其他个人资料。

从1995年开始,Equifax Work Number数据库现在包含超过2.96亿份就业记录,包含从首席执行官到实习生的所有工资级别的员工。该数据库每周从各种来源接收有关“美国约三分之一的工作人口”的当前薪资数据:财富500强企业中有75 %、联邦政府工作人员中有85 %、整个州政府和机构、法院、学院以及全国数以千计的小企业现在都在为工作号码数据库提供信息。

与直觉相反,公司实际上支付Equifax来收集、组织和转售员工的个人收入信息和工作经历。Facebook这样的雇主雇用这项服务,不仅仅是为了处理和打击工人的失业索赔,而且是为了在被认可的第三方债权人(如信用卡公司、抵押贷款人、房东、债务代收机构、汽车金融公司、学生贷款人或政府福利管理人)联系时,提供雇员收入和工作经历的“验证服务”。

根据2007年一张关于当年Equifaxs以14亿美元收购TALX的幻灯片,广告宣传工作号码流程是如何运作的。图片:秒。政府机构还支付Equifax,以帮助管理社会服务福利如何分配给某些家庭。例如,TALX数据可以帮助确定申请人的社会服务或福利资格,或者通知儿童抚养费的收取和执行。( Equifax说,在某些情况下,这些费用可能部分由提供数据的雇主补贴,但大部分由纳税人全额支付)。

收集所有这些数据是有利可图的。equifaxs workplace solutions division是2007年斥资12亿美元收购TALX Corporation后的产物,如今是公司增长最快的业务之一,占公司去年31亿美元收入的五分之一以上。最近离职的Equifaxs CEO里克·史密斯8月份在乔治亚大学的一次活动中说:“这12亿美元的投资回报非常好。”。“顺便说一句,这次收购——我不知道我是否为此感到自豪——但今天价值约90亿美元。Equifax在一份电子邮件声明中写道:“

这项服务及其庞大的数据库有助于简化雇主和其他机构的各种流程,也有助于雇员。”。例如,工作号码为潜在业主提供了核实申请人收入的方法,或者使人力资源部更便宜检查申请人背景的部门。Equifax说,

「没有工作号码,贷款人、物业经理或就业前筛选员会打电话给雇主,解释他们为何需要检查雇员或前雇员的就业或收入。那个人无法控制谁拿起电话,是否真的给出了正确的信息,或者他或她的隐私是否会得到尊重。“

但是像Work Number这样的数据库也有相当大的风险。正如消费者新闻记者鲍勃·沙利文所说,Equifax“在全国数千人力资源部门的帮助下,汇集了迄今为止最强大、最全面的美国个人信息私人数据库。“

数据是危险的尽管此员工数据很敏感,但Equifax在保护它方面遇到了困难。Equifax说,该公司9月初宣布的导致超过1.43亿美国人社保号码、信用卡信息和其他数据被盗的大规模数据泄露,并不包括工作号码中的收入和就业信息。但薪资数据也很脆弱。事实上,Equifax员工解决方案在“违规”之前遭遇了安全事件。“

广告2017年5月,Equifax通知其部分客户,2016年4月17日至2017年3月29日,未经授权访问其员工税务记录的行为持续了近一年,未被发现。网络安全专家布莱恩·克雷布斯说,这些等传真安全漏洞发生在另一个TALXs数据库——税务表格管理平台——中,“骗子们在成功回答了有关客户员工的个人问题后,能够将客户员工的4位数PIN重置为密码,然后窃取W - 2税务数据”。Equifax发言人Marisa Salcines在一封电子邮件中写道,欺诈性访问“已报告给执法部门和监管机构,我们与客户合作,向受影响的个人发出通知。“受影响的员工包括国防巨头诺斯罗普·格鲁曼公司、员工公司阿莱格斯集团和路易斯维尔大学的员工。Krebs指出,

Equifax无法确定实际上有多少人受到影响,这令人恼火。由于欺诈者似乎可以合法访问记录——通过成功回答有关受影响员工的个人问题重置pin——公司无法准确确定哪些帐户实际上是未经授权访问的。在5月15日的一封信中,一名Equifax律师告诉其中一家受影响的公司,“TALX认为,这些潜在受影响的账户中只有很小一部分受到了实际影响。“

公司也不知道违规造成的确切损害程度。Equifax发言人Salcines在电子邮件中说:「我们不知道与工作号码相关的任何特定诈骗事件。」负责调查TALX数据库事件和较大漏洞的Equifax安全公司Mandiant说,“没有发现这两个独立事件或攻击者有关联的证据”。

Equifaxs TALX unit向今年早些时候受到“安全事件”影响的公司员工发送的信函样本。关于TALXs数据的安全问题并没有就此结束。在该公司9月份宣布大规模违约后不久,一个研究小组进入一个旨在让阿根廷的Equifax员工管理该国消费者信用报告纠纷的在线门户网站,从而得以访问14000条消费者记录。据Krebs报道,门户是“开放的,受有史以来最容易猜测的密码组合保护:‘管理/管理’。”

10月8日,Krebs在工作号码在线消费者应用门户网站上发现了另一个漏洞,允许任何人查看一个人的薪资和就业历史,“仅使用一些人的社会保障号码和出生日期,这两个数据元素都是在最近Equifax的违规事件中被盗的,”Krebs指出。

广告广告equalifax否认存在任何安全漏洞,但在10月8日,也就是Krebs报告的同一天,薪资查询门户被离线维护。Equifax发言人Salcines说:「这项工作并没有回应任何可疑的活动。」“总的来说,我们根据最近的事件和媒体报道,加快了业务部门的计划更新。“11月3日,Equifax重新开放了门户,并表示采取了额外的安全措施。

相关: Equifax黑客攻击可能是国家资助的

,继9月份披露的重大违规事件后,Equifax现在面临大量诉讼,并已三次宣布高管离职。但不清楚什么效果CT (如果有的话)对其员工验证业务存在安全顾虑。上个月,当彭博新闻社记者问及沃尔玛和代表约1250万工人的全国40家最大雇主时,沃尔玛表示,他们没有计划停止向员工提供数据。

个人是产品的黑客或漏洞,工作号码数据库对员工和消费者都是持续的威胁。这是因为,除了员工验证之外,Equifax还通过各种方式将工作号码数据库货币化。换句话说,进入Equifax“工作号码”数据库的个人薪资信息可以出售给他人。

例如,Equifax将“工作号码选择”数据产品出售给第三方债权人,如抵押贷款人,如果现有抵押权人失业,他们将从Equifax收到实时警报。根据Equifax marketing materials,“随着工作数字随着每个薪资周期不断更新,失业率持续上升,雇主一旦做出改变,你就必须注意到你的投资组合中的新信息。“

联邦贸易委员会前律师卡特里娜·布洛杰特对Equifax出售毫无戒心的雇主提供的数据并不感到意外。“他们是信用局的。他们把信用信息卖给贷款人,”她说。

广告一份就业数据样本报告的节选,Equifax说,“雇员-消费者”每年有权获得一次。有时,雇主、房东、保险公司、银行和医院在获得报告副本用于财务决策之前,必须获得您的许可。如果你的报告被用来反对你,你应该会收到一份“不利行动通知”,提醒你负面的决定。

但与您有现有关系的金融公司,如信用卡公司、学生贷款机构、抵押服务机构和收数人,不需要获得您的许可,即可获得您的等传真工作号码雇用报告。例如,因为收集现有债务并不被认为是一项不利的行动,如果Visa提取你的工作号码报告来寻找你目前的雇主或收入来源,并利用这些信息从你那里提取逾期债务的付款,除非你要求一份报告的副本(联邦法律要求,Equifax确认,“雇员-消费者”有权每年收到一份他们的文件的免费副本。)

「在招聘决策中如何使用信用报告有特殊限制,但在如何将雇佣报告(如薪资信息)用于非雇佣目的方面没有特殊限制,」Blodgett在2007年告诉NBC。

数据库在执行《负担得起的护理法》方面也发挥着关键作用。卫生与公众服务部授予Equifax Work Number一份五年三亿九千九百万美元的合同,向所有五十个州提供有关人民收入和雇主赞助的保险的信息。联邦官员依靠Equifax提供有关个人的工资信息,这些信息比联邦所得税申报表上提供的信息更新。equifax甚至宣传其作为奥巴马医改“主要就业数据来源”的角色,以招揽更多的企业客户。

所有数据都到哪里去了?您的雇佣信息是否通过Equifax收集并“验证”到第三方信用中?也许吧。为了找出答案,你需要调查。

要申请免费就业数据报告,您可以在工作号码网站上填写表格,或者通过邮件或免费电话号码提出申请。equifax说,你有权每年收到一次的报告包含了所有试图提取你的数据或已经收到数据的贷方、信贷机构和其他验证者的信息。

广告公司还为消费者提供了一种方式,让他们可以随时通过电话、邮件或在线对信用档案上的某个项目进行争议,前提是消费者注意到一开始就有错误。尚不清楚这种错误有多普遍,但联邦贸易委员会2012年的一项全国性研究证实,至少有20 %的消费者信贷报告是随意选择的。2015年,Equifax和另外两家大型信用报告公司Experian和Transunion与30个州签署了600万美元的和解协议,承诺更好地调查和解决消费者投诉。相关报道:国会正在考虑立法帮助公司的同时,国会议员们也对Equifax进行抨击。消费者也应该意识到,Equifax工作号码专业报告与Equifaxs免费年度信贷报告不同,后者可在年度信贷网站上获得。其他人也可能有你的就业数据: The消费者金融保护局估计,至少还有400家其他专业消费者报告机构在美国运作,其中数十家侧重于就业筛选。

尽管Facebook公司具有隐私保护的地位,但它不应该担心FTC会因为向Equifax发送员工数据而对其进行额外处罚。事实证明,联邦贸易委员会本身是一个公平的客户,它也定期向工作号码数据库发送有关律师和工作人员的工资和工作信息。乔尔·温斯顿( @ joelwinston )是一名隐私律师。他还为个人和公司提供数据保护和法规遵从性建议。

Alex Pasternack ( @ Pasternack )提供了更多报告。