美国征信巨头700Credit遭数据泄露，560万用户敏感信息失窃，波及全美汽车消费者

0 0

【量子位 2025年12月13日讯】美国汽车行业征信服务核心环节突发重大安全事故。12月12日，总部位于密歇根州、为全美汽车经销商提供信用核查与身份验证服务的700Credit正式确认，其系统于2025年10月遭遇数据泄露，至少560万用户的姓名、家庭地址、出生日期及社会安全号码（SSN）等核心敏感信息被不明黑客窃取。这一事件不仅成为美国本年度规模最大的征信领域数据泄露案，更引发对汽车消费链个人信息保护漏洞的广泛担忧。

泄露事件核心：560万用户信息暴露，波及近半年汽车消费人群

根据700Credit官网声明及密歇根州总检察长办公室披露的信息，此次数据泄露的影响范围与细节已逐步清晰：

泄露数据范围与时间线黑客窃取的数据来自2025年5月至10月期间，700Credit从全美汽车经销商处收集的消费者信息——这段时间正是美国汽车销售旺季，大量用户因办理车贷提交了包含社会安全号码在内的敏感资料。密歇根州总检察长达娜·内塞尔（Dana Nessel）在记者会上强调，“这些信息足以让黑客实施完整的身份盗窃，包括开设虚假账户、申请贷款甚至伪造证件”。值得注意的是，700Credit直至10月25日才通过系统异常活动发现泄露，而正式对外披露已时隔近两个月，期间被盗数据是否流入暗网或被用于诈骗，目前仍未可知。
泄露原因：合作伙伴漏洞+自身验证缺陷后续行业媒体CBT News（汽车经销商垂直媒体）通过内部信源补充，此次泄露并非700Credit自身网络被直接攻破，而是源于“某合作集成商系统先遭入侵”，且该合作方未及时通知700Credit；黑客随后利用700Credit身份验证流程中的漏洞，顺利渗透其数据库。700Credit事后承认，已紧急加强API安全检测、升级系统防护，并提高了网络安全保险额度，但未透露涉事合作方具体名称。

应急响应：邮寄通知+免费征信监测，官方呼吁用户立即行动

面对危机，700Credit与监管部门已启动应急措施，但用户仍需主动采取防护手段：

企业层面：通知与补偿同步推进700Credit表示，正通过邮寄信件的方式，向所有受影响用户发送 breach 通知，信件中包含泄露信息明细、免费信用监测服务申请方式，以及身份盗窃应对指南。该信用监测服务由第三方机构提供，覆盖未来12个月的信用报告异常追踪、欺诈警报等功能，用户无需额外付费。不过，此举也引发部分用户不满——有密歇根州消费者在社交平台反馈，“收到信件时距离泄露已过去两个月，若黑客早已利用信息作案，监测服务的意义何在？”
监管部门：强调“主动防御”的重要性达娜·内塞尔多次通过媒体发声，呼吁收到通知的用户“切勿忽视”：“信用冻结或监测服务能大幅降低欺诈风险，密歇根州居民可通过州政府官网免费申请信用冻结，阻止他人未经授权查询或使用个人信用记录。”她同时提醒，即便未收到信件，若2025年5-10月期间在汽车经销商处办理过车贷，也建议通过美国征信局（Experian、Equifax、TransUnion）查询信用报告，排查异常记录。

行业警示：汽车消费链成信息泄露重灾区，黑灰产风险加剧

此次700Credit泄露事件，再次暴露了汽车消费领域个人信息保护的薄弱环节，也与近期征信黑灰产的活跃形成呼应：

汽车经销商数据链路存多重隐患作为连接消费者与金融机构的中间环节，汽车经销商需收集大量敏感信息，而这些信息通常通过700Credit这类第三方服务商处理，形成“消费者-经销商-征信服务商”的长数据链路。安全研究员指出，“链路中任何一方的疏忽都可能导致泄露，而700Credit作为行业头部企业，其漏洞可能影响全美超1.8万家汽车经销商（据AutoSpies数据）”。
与征信黑灰产形成“风险共振”就在此次泄露事件披露前一周，《征信黑灰产风险观察报告》刚指出，个人征信数据已成为暗网热门商品，完整包含社会安全号码的征信报告可售价50-200美元/份。此次700Credit泄露的560万条信息，恰好为黑灰产提供了“高价值素材”，可能引发一波针对汽车消费者的精准诈骗，如伪装成车贷机构要求“信息更新”、以“信用修复”为名骗取费用等。