作为美国三大征信机构之一的益博睿（TransUnion）已披露一起重大数据泄露事件，该事件导致超 400 万美国用户的个人信息被曝光。 目前，该公司正就这起网络事件向受影响用户发出警示 —— 此次事件涉及第三方应用程序上存储数据的未授权访问。 2025 年 7 月 28 日，益博睿有限责任公司（TransUnion LLC）确认发生了一起复杂的网络入侵事件，导致超 440 万消费者的个人数据受损。 2025 年 7 月 30 日，该起未授权访问事件被发现。攻击者针对益博睿的消费者报告系统，曝光了敏感的个人身份信息（Personally Identifiable Information，简称 PII）。

核心要点

1. 7 月 28 日发生的 SQL 注入攻击事件中，超 440 万条个人身份信息（PII）记录被曝光。
2. 已部署多因素认证（MFA）、数据分段、取证调查及用户通知机制。
3. 提供为期两年的 myTrueIdentity™免费信用监控服务。

超 400 万人的个人身份信息（PII）被盗

根据缅因州办公室的文件记录，此次数据泄露事件在全美范围内影响了 4,461,511 人，其中包括 16,828 名缅因州居民。 攻击者的目标是益博睿用于美国消费者支持业务的一款应用程序。尽管此次入侵导致敏感个人数据受损，但益博睿向用户保证，被访问的信息不包括信用报告或核心信用信息。 受损的数据包括全名、社会保险号、出生日期和驾照号码 —— 这类典型的个人身份信息集合会大幅增加身份盗用和金融诈骗的风险。 2025 年 8 月 15 日，益博睿的网络安全团队检测到网络上的可疑活动后，发现了这起数据泄露事件。该公司与一家顶尖网络安全公司合作开展内部调查，结果显示，在 7 月下旬的两周时间里，有未授权第三方获取了系统访问权限。 “我们高度重视保护消费者数据的责任，” 益博睿的一位发言人在周五发布的声明中表示，“我们已立即采取措施保障该应用程序的安全，并正与执法部门合作调查此事。我们致力于为用户提供支持，且已启动向所有受影响个人发送通知的流程。” 益博睿将为所有受影响用户提供为期两年的免费信用监控及身份盗用保护服务。通知函中将包含注册这些服务的操作指南。该公司还设立了专门的呼叫中心解答用户疑问，并在其官网发布了常见问题（FAQ）解答页面。 2025 年 8 月 26 日，为遵守各州及联邦法规，益博睿向所有受影响消费者发出了书面的数据泄露通知。

补充说明

1. TransUnion：中文通常译为 “益博睿”，是全球知名的征信机构，与艾奎法克斯（Equifax）、 Experian（益百利）并称为美国三大征信机构，主要提供信用报告、风险评估等服务。
2. SQL-injection：即 “SQL 注入”，是一种常见的网络攻击手段，攻击者通过在应用程序的输入字段中插入恶意 SQL 代码，非法获取或篡改数据库中的数据。
3. MFA（Multi-Factor Authentication）：“多因素认证”，是一种增强账户安全的认证方式，除密码外，还需通过短信验证码、生物识别（指纹、面部识别等）等额外验证步骤才能登录，可有效降低账户被盗风险。
4. PII（Personally Identifiable Information）：“个人身份信息”，指可用于识别特定个人的信息，如姓名、身份证号、联系方式、生物特征等，这类信息泄露可能导致身份盗用、诈骗等安全问题。