Хакнат ли съм? Разберете дали нарушението на Equifax ви засяга

Equifax Inc. (EFX), обявено на септември. 7, 2017, че 143 милиона от клиентите му са били засегнати от хакване, станало между средата на май и юли. Тази цифра беше увеличена до 145,5 милиона през следващите седмици, след това до 147,9 милиона на март. 1, 2018, когато компанията заяви, че е идентифицирала 2,4 милиона допълнителни жертви.

След като пазарът затвори същия ден, компанията отчете финансови резултати за четвъртото тримесечие и за цялата година. Приходите на компанията за четвъртото тримесечие са нараснали с 5% на годишна база до 838,5 милиона долара. Нетният доход през тримесечието се е увеличил с 40% на годишна база до 172,3 милиона долара. Приходите и печалбите за цялата година също са се увеличили в сравнение с 2016 г.: приходите са се увеличили със 7% до 3,4 млрд. Долара, докато нетният доход се е увеличил с 20% до 587,3 млн. Долара. Компанията заяви, че хакването му е струвало 26,5 милиона долара през четвъртото тримесечие и 114,0 милиона долара през цялата година, без застрахователни плащания. Акциите, които затвориха 1,3% в съответствие с S&P 500, се повишиха с 0,6% при търговия след работно време в момента на писане.

Според Equifax бяха разкрити цели 209 000 номера на кредитни карти на клиенти, а документите за оспорване, свързани с 182 000 потребители в САЩ - които включват лична информация - бяха компрометирани. Британските потребители също бяха засегнати от нарушението; възможно е някои канадци да са били компрометирани. Според The Wall Street Journal, позовавайки се на неназован източник, данните за шофьорските книжки на 10,9 милиона американци бяха откраднат в пробив.

Компанията е знаела за атаката от 29 юли, но е чакала повече от месец, за да предупреди обществеността. На септември 20 беше съобщава че Mandiant, FireEye Inc. (FEYE) дъщерно дружество, сключено от Equifax, изчислява, че нарушението е от поне 10 март.

Има малко информация относно източника на атаката, която се разследва от ФБР, но според Bloomberg, прилики с по -ранни атаки срещу Службата за управление на персонала и Anthem Inc. предполагат, че нападателят може да бъде спонсориран от държавата, може би китайски. Това, че информацията за клиентите на Equifax не се е появила на черния пазар, също предполага, че хакерите не са просто престъпници. Bloomberg също така съобщава, че нападателите са насочени към конкретни лица, може би поради тяхното богатство или разузнавателна стойност.

Като се има предвид, че възрастното население на САЩ е около 250 милиона, има голяма вероятност да сте засегнати от нарушението. Възможно е също така вече да сте станали жертва на измама, тъй като атаката е започнала преди близо шест месеца.

Базираният в Атланта Equifax, една от трите големи агенции за отчитане на потребителски кредити-другите две са Experian PLC (Лондон: EXPN) и TransUnion (TRU) - събира данни включително Социалноосигурителни номера, номера на кредитни карти, номера на шофьорска книжка, информация за наем и плащане на комунални услуги и демографски данни. Тъй като моделът на Equifax е предимно бизнес към бизнес, много от клиентите му не знаят, че техните данни се съхраняват от фирмата. Освен избягването на финансовата и кредитната система като цяло, няма ясен начин да се откажете от съхраняването на лични данни от Equifax.

Как да проверите дали сте засегнати

Equifax е създал a сайт където можете да проверите дали информацията ви е била компрометирана, като посочите фамилното си име и последните шест цифри от вашия социалноосигурителен номер. Този сайт е обект на силна критика и премахнахме връзката поради въпроси относно сигурността му. Той е създаден с помощта на WordPress, стандартна платформа за блогове. Той се помещава в отделен домейн към основния сайт на Equifax. Компанията пропусна да регистрира подобни URL адреси, които биха могли да се използват за фишинг атаки; един хакер с бяла шапка създаде точно такъв сайт, за да докаже това, а официален акаунт в Equifax написа туит за връзката към фалшивия сайт. Повече от веднъж.

Equifax предлага на клиентите - засегнати или не - следните услуги, който нарича TrustedID Premier: копия от кредитен отчет на Equifax, кредитен мониторинг и автоматизирани сигнали за трите основни кредитни бюра, възможност за блокиране на достъпа на трети страни до вашия кредитен отчет на Equifax (с изключения), мониторинг на номера на социално осигуряване и 1 милион долара кражба на самоличност застраховка. Крайният срок за кандидатстване беше ноември. 21, 2017.

Компанията казва, че всички тези услуги са безплатни, но блокирането на сигурността на кредитен файл първоначално не беше безплатно - поне не за всички. Когато се опитах да замразя кредитен файл на Equifax на септември. 8, сайтът на компанията заяви, че услугата ще струва $ 3,00 и поиска информация за кредитна карта, за да обработи плащането.

Снимка на екрана от www.freeze.equifax.com (Септември 8, 2017 в 11:46 ч. EDT).

Като жител на Ню Йорк успях да поставя безплатно замразяване на файла си в Experian. Сайтът на TransUnion първоначално не успя да обработи заявката - вероятно симптом на увеличен трафик - но по -късно ми позволи да поставя безплатно замразяване.

В изявление по имейл говорител на Equifax каза пред Investopedia на септември. 14, че фирмата се отказва от всички такси за замразяване на кредитни файлове и автоматично възстановява суми на клиенти, които са платили за това, след като хакването е станало публично достояние. Ново безпокойство - и явен пропуск в сигурността - сега възникна около ПИН кодовете, които компанията издава на клиенти, които са замразили своите кредитни отчети. Тези ПИН кодове, които позволяват на клиентите да размразяват кредитни отчети, следват лесно разпознаваем модел. Говорителят каза, че клиентите с тези дефектни ПИН кодове трябва да се обадят на 866-349-5191, за да говорят с жив агент.

Ако сте получили ПИН код след докладване на хака, вашият може да е един от дефектните. Поправянето му не е лесно. Дванадесет обаждания към линията сутринта на септември. 15 даде осем сигнала за заетост и четири случая на пълна тишина.

Списъците на Equifax на услугите на TrustedID Premier като допълнителни са безплатно само за една година. Говорител на Equifax заяви пред Investopedia, че компанията не иска информация за кредитни карти когато клиентите се регистрират за услугата и че компанията няма да я поднови автоматично или да таксува a такса. Стандартната ставка на Equifax за кредитен мониторинг е 17 долара на месец.

Какво да направите, ако сте засегнати

Лиз Уестън, писател на лични финанси в NerdWallet, има следните съвети за засегнатите от нарушението на Equifax, което тя сподели с Investopedia в имейл: „Equifax ще се свърже с жертвите и ще им предложи кредитен мониторинг. Жертвите трябва да се уверят, че съгласието с наблюдението не им пречи да се включат в съдебни дела или други действия по пътя. "

Първоначално страницата с условия на услугата на TrustedID Premier (архивирана версия) всъщност изискват от потребителите да се откажат от правото си да се присъединят към групов иск срещу Equifax: „Като се съгласите да изпратите исковете си в арбитраж, Вие ще бъдете загубени Вашето право да предявите или да участвате в каквито и да било групови искове (независимо дали като посочен ищец или член на клас) или да участвате във всякакви награди за групови искове, включително искове от клас когато клас все още не е сертифициран, дори ако фактите и обстоятелствата, на които се основават Исковете, вече са настъпили или са съществували. "След обратна реакция, компания Страница с често задавани въпроси беше актуализиран, за да каже, че клаузата се прилага за услугата TrustedID Premier, а не за хакването. Към сутринта на септември. 12, условията на услугата вече не включва арбитражна клауза.

Уестън казва, че засегнатите клиенти трябва да обмислят замразяване на своите кредитни доклади и в трите големи бюра. Както бе споменато по -горе, кредитните бюра могат да начисляват такси за започване на това замразяване. Може да бъдете таксувани и за размразяване на акаунти, когато имате нужда от кредитна проверка (например, за да кандидатствате за услуга за мобилен телефон). Тези такси обикновено са по -малко от 10 долара, но могат да се добавят. Уестън отбелязва, че друг вариант е да поставите сигнал за измама в кредитните си доклади в трите кредитни бюра.

Отговорът на Equifax

Тогавашният председател и главен изпълнителен директор на Equifax Ричард Смит заяви след хака, че „очевидно е разочароващо инцидент за нашата компания и такъв, който удря в основата на това кои сме и какво правим. "Той се оттегли на септември 26 и няма да получат бонус за 2017 г. Заминаването му последва тези на главния офицер по сигурността Сюзън Молдин и главния информационен директор Дейвид Уеб на септември. 14.

Няколко дни след като компанията разкри хака вътрешно - и преди нарушението да бъде разкрито пред обществеността - главният финансов директор на Equifax Джон Gamble, неговият президент на решенията за работна сила Родолфо Плодер и неговият президент на американските информационни решения Джоузеф Лофран продадоха своите акции на Equifax. Equifax заяви в изявление, че ръководителите не са знаели за нарушението, когато са продали акциите си. Gamble, Ploder и Loughran колективно спечелени близо 1,8 милиона долара от продажбите.

Към февруари 28, акциите на Equifax са паднали с 20,1% от края си на септември. 7 (преди обявяването на хака) до $ 113.00. След няколко забавяния, Equifax казва, че ще отчита печалбите за четвъртото тримесечие след приключване на март. 1.

Нека делата да започнат

Ройтерс съобщи на септември. 11, че повече от 30 съдебни дела - много от които искат групов иск - са заведени срещу Equifax в съдилищата на САЩ. Няколко твърдят нарушения на закона за ценните книжа; други обвиняват TrustedID, че предлага скъпи услуги на клиенти, засегнати от нарушаването на данните. Петима жители на Юта са съдили компанията пред Окръжния съд на САЩ за неспазване на чувствителните данни на клиентите. Делото иска парични щети в размер на 5 милиарда долара и налагане на по -строги индустриални стандарти.

Няколко засегнати клиенти поемат по по -малко традиционен път в търсене на средства за защита от Equifax. The DoNotPay чат бот предоставя помощ при подаване на жалба в държавни съдилища за малки искове, където максималните санкции варират от 2500 до 25 000 долара. Ботът може да генерира само документи за съдебно дело, а не да го подава или да се явява в съда, според на ръба.

ФБР и базираният в Атланта американски адвокат Джон Хорн обявиха криминално разследване на нарушението на септември. 18. Бюрото за финансова защита на потребителите и 34 държавни прокурори провеждат разследвания.

Г -н Смит отива във Вашингтон

На октомври 3 бившият главен изпълнителен директор Ричард Смит свидетелства пред подкомисията на Дигиталната търговия и защита на потребителите. Той се извини многократно за неуспеха на Equifax да защити потребителските данни и се изправи пред въпроси относно редица въпроси, свързани с нарушението и отговора на Equifax. Акциите на компанията нараснаха след свидетелските показания, но останаха доста под нивата, на които се търгуваха преди разкриването на хака.

В отговор на въпроси относно спорната арбитражна клауза, която първоначално беше включена в условията на услугата на TrustedID Premier, Смит каза, че клаузата за „първоначалния план“ е никога не е имал намерение да се прилага към нарушението и нарече включването му „грешка“. Той не би казал същото за подобни клаузи, регулиращи други услуги на Equifax, които той нарече "стандарт".

Подозрително навременните продажби на изпълнителни акции също бяха подложени на проверка: Респ. Ян Шаковски, демократ от Илинойс, каза, че продажбата „не преминава теста за миризма“, но Смит каза, „доколкото ми е известно, те не са знаели“ за нарушението по онова време.

Смит описа нарушението като резултат от човешка грешка и технологичен провал: лицето, отговарящо за осигуряването на корекция на софтуера Apache Struts - който имаше обществено известна уязвимост, която нападателите експлоатираха - не успя да го направи, и скенер, който би предупредил компанията също за тази грешка се провали.

Избухливият отговор на компанията към кризата също беше дошъл за критика: създаването на сайт на WordPress със съмнителен URL адрес, който не успя да защити подобни домейни (и дори насочване на клиенти към един от тези домейни), като не успяват адекватно да обслужват кол центровете и като цяло създават впечатлението, че компанията - която съществува, за да събира, защитава и продава чувствителни данни - е била напълно неподготвена за кибератака бази данни. Rep. Маркуейн Мълин, републиканец от Оклахома, каза на Смит, че отговорът му е трябвало да бъде като пускане на пожарна аларма: „веднага влиза на място“. Смит отговори, че екипът му „го последва протокол. "Няколко представители споменаха, че Смит произнесе реч, описвайки измамата като" огромна възможност "и" огромен, разрастващ се бизнес "през ​​август - след като разбра за нарушение.

Смит отказа да отговори на въпроси относно източника на атаката, включително дали това може да е държавен актьор. Той просто каза, че ФБР провежда разследване. Той защитаваше инвестициите на Equifax в киберсигурността по време на мандата си, казвайки, че когато пристигна преди дванадесет години, практически нямаше инвестиции в защита на данните. Компанията е похарчила четвърт милиард долара и е наела екип от 225 души, за да защити данните на компанията, каза Смит, инвестирайки стандартните за индустрията 10-14% от ИТ бюджета на компанията в киберсигурността.

Някои представители посочиха, че нарушението отваря фундаментални въпроси относно ролята на индустрията за кредитен мониторинг и правата на потребителите. „Ами ако искам да избера нашия Equifax?“ - попита Шаковски. Смит отговори: "Това изисква много по -широко обсъждане на ролята на агенциите за кредитно отчитане." Rep. Тонко, демократ от Ню Йорк, повтори мнението, посочвайки, че той всъщност не е „клиент“, никога не е избирал да прави бизнес с Equifax. „Защо е позволено на тази компания да продължи да съществува?“ попита той. В различни моменти Смит поставя под въпрос стойността на номерата за социално осигуряване като начин за доказване на самоличността и прави неясни препратки към връщането на „властта на потребителя“.

Най -големият въпрос за деня дойде от калифорнийската демократка Дорис Мацуи: "Притежавам ли моите данни?“Смит не можа да отговори.