Wurde ich gehackt? Finden Sie heraus, ob Sie von der Equifax-Verletzung betroffen sind

Equifax Inc. (EFX) wurde am Sept. November 2017 waren 143 Millionen seiner Kunden von einem Hack betroffen, der sich zwischen Mitte Mai und Juli ereignete. Diese Zahl wurde in den folgenden Wochen auf 145,5 Millionen angehoben, dann auf 147,9 Millionen im März. Januar 2018, als das Unternehmen mitteilte, 2,4 Millionen zusätzliche Opfer identifiziert zu haben.

Nach Börsenschluss am selben Tag gab das Unternehmen die Finanzergebnisse für das vierte Quartal und das Gesamtjahr bekannt. Der Umsatz des Unternehmens stieg im vierten Quartal gegenüber dem Vorjahr um 5 % auf 838,5 Millionen US-Dollar. Der Nettogewinn im Quartal stieg im Jahresvergleich um 40 % auf 172,3 Millionen US-Dollar. Auch im Gesamtjahr stiegen Umsatz und Gewinn im Vergleich zu 2016: Der Umsatz stieg um 7 % auf 3,4 Milliarden US-Dollar, während der Nettogewinn um 20 % auf 587,3 Millionen US-Dollar stieg. Das Unternehmen sagte, der Hack habe es im vierten Quartal 26,5 Millionen US-Dollar und im Gesamtjahr 114,0 Millionen US-Dollar gekostet, abzüglich Versicherungsauszahlungen. Die Aktie, die 1,3% im Einklang mit dem S&P 500 schloss, ist zum Zeitpunkt des Schreibens im nachbörslichen Handel um 0,6% gestiegen.

Laut Equifax wurden bis zu 209.000 Kreditkartennummern von Kunden offengelegt und Streitdokumente im Zusammenhang mit 182.000 US-Verbrauchern – die personenbezogene Daten enthalten – kompromittiert. Auch britische Verbraucher waren von der Verletzung betroffen; Es ist möglich, dass einige Kanadier kompromittiert wurden. Entsprechend Das Wall Street Journal, unter Berufung auf eine ungenannte Quelle, waren die Führerscheindaten von 10,9 Millionen Amerikanern gestohlen im Bruch.

Das Unternehmen wusste seit dem 29. Juli von dem Angriff, wartete jedoch über einen Monat, um die Öffentlichkeit zu alarmieren. Am Sept. 20 war es gemeldet dass Mandiant, die FireEye Inc. (FEYE) einer von Equifax beauftragten Tochtergesellschaft schätzt, dass der Verstoß mindestens auf den 10. März zurückgeht.

Es gibt nur wenige Informationen über die Quelle des Angriffs, der vom FBI untersucht wird, aber laut Bloomberg, Ähnlichkeiten zu früheren Angriffen auf das Office of Personnel Management und Anthem Inc. vermuten, dass der Angreifer staatlich gefördert sein könnte, vielleicht Chinese. Dass die Informationen von Equifax-Kunden nicht auf dem Schwarzmarkt aufgetaucht sind, deutet auch darauf hin, dass die Hacker nicht einfach Kriminelle waren. Bloomberg berichtet auch, dass die Angreifer auf bestimmte Personen abzielten, möglicherweise wegen ihres Reichtums oder ihres Intelligenzwertes.

Angesichts der Tatsache, dass die erwachsene Bevölkerung der USA etwa 250 Millionen beträgt, stehen die Chancen gut, dass Sie von der Sicherheitsverletzung betroffen waren. Es ist auch möglich, dass Sie bereits Opfer eines Betrugs geworden sind, seit der Angriff vor fast sechs Monaten begann.

Equifax mit Sitz in Atlanta, eine der drei großen Verbraucherkreditauskunfteien – die anderen beiden sind Experian PLC (London: EXPN) und TransUnion (TRU) – sammelt Daten einschließlich Sozialversicherungsnummern, Kreditkartennummern, Führerscheinnummern, Informationen zu Miet- und Nebenkostenzahlungen sowie demografische Daten. Da das Modell von Equifax in erster Linie ein Business-to-Business-Modell ist, wissen viele seiner Kunden nicht, dass ihre Daten von der Firma gespeichert werden. Abgesehen von der vollständigen Vermeidung des Finanz- und Kreditsystems gibt es keine einfache Möglichkeit, der Speicherung personenbezogener Daten durch Equifax zu widersprechen.

So überprüfen Sie, ob Sie betroffen waren

Equifax hat ein. eingerichtet Seite? ˅ Hier können Sie überprüfen, ob Ihre Daten kompromittiert wurden, indem Sie Ihren Nachnamen und die letzten sechs Ziffern Ihrer Sozialversicherungsnummer angeben. Diese Site wurde heftig kritisiert und wir haben den Link aufgrund von Sicherheitsfragen entfernt. Es wurde mit WordPress eingerichtet, einer Standard-Blogging-Plattform. Es befindet sich in einer separaten Domain zum Hauptstandort von Equifax. Das Unternehmen hat es versäumt, ähnliche URLs zu registrieren, die für Phishing-Angriffe verwendet werden könnten; Ein White-Hat-Hacker richtete eine solche Site ein, um einen Punkt zu beweisen, und ein offizieller Equifax-Account twitterte den Link zu der gefälschten Site. Mehr als einmal.

Equifax bot Kunden – betroffen oder nicht – die folgende Dienstleistungen, das TrustedID Premier genannt wird: Kopien einer Equifax-Kreditauskunft, Kreditüberwachung und automatische Benachrichtigungen für alle drei großen Kreditauskunfteien, die Möglichkeit, den Zugriff Dritter auf Ihre Equifax-Kreditauskunft (mit Ausnahmen), Überwachung der Sozialversicherungsnummer und Identitätsdiebstahl in Höhe von 1 Million US-Dollar zu blockieren Versicherung. Die Bewerbungsfrist endete im November. 21, 2017.

Das Unternehmen sagt, dass diese Dienste alle kostenlos sind, aber das Einfrieren einer Kreditdatei war zunächst nicht kostenlos – zumindest nicht für alle. Als ich im September versuchte, eine Equifax-Gutschriftsdatei einzufrieren. 8 sagte die Website des Unternehmens, dass der Service 3,00 US-Dollar kosten würde, und fragte nach Kreditkarteninformationen, um die Zahlung abzuwickeln.

Ein Screenshot von www.freeze.equifax.com (Sept. 8, 2017 um 11:46 Uhr EDT).

Als Einwohner von New York konnte ich meine Experian-Datei kostenlos einfrieren. Die Website von TransUnion konnte die Anfrage zunächst nicht bearbeiten – wahrscheinlich ein Symptom für erhöhten Datenverkehr –, aber später konnte ich eine kostenlose Sperre platzieren.

In einer E-Mail-Erklärung sagte ein Equifax-Sprecher gegenüber Investopedia im September. 14, dass das Unternehmen auf alle Gebühren für das Einfrieren von Kreditdateien verzichtet und Kunden, die dies bezahlt haben, nach der Veröffentlichung des Hacks automatisch zurückerstattet. Eine neue Sorge – und ein deutlicher Sicherheitsmangel – ist nun rund um die PINs aufgetreten, die das Unternehmen an Kunden ausgegeben hat, die ihre Kreditauskünfte eingefroren hatten. Diese PINs, mit denen Kunden Kreditauskünfte freigeben können, folgen einem leicht identifizierbaren Muster. Der Sprecher sagte, dass Kunden mit diesen fehlerhaften PINs 866-349-5191 anrufen müssen, um mit einem Live-Agenten zu sprechen.

Wenn Sie nach der Meldung des Hacks eine PIN erhalten haben, ist Ihre möglicherweise eine der fehlerhaften. Das reparieren zu lassen ist nicht einfach. Zwölf Anrufe auf die Leitung am Morgen des Septembers. 15 ergaben acht Besetztzeichen und vier Fälle von totaler Stille.

Die TrustedID Premier-Dienste, die Equifax als kostenlos auflistet, sind nur ein Jahr kostenlos. Ein Equifax-Sprecher sagte gegenüber Investopedia, dass das Unternehmen nicht nach Kreditkarteninformationen fragt wenn sich Kunden für den Service anmelden und das Unternehmen ihn nicht automatisch verlängert oder eine Gebühr berechnet Gebühr. Der Standardtarif von Equifax für die Kreditüberwachung beträgt 17 USD pro Monat.

Was tun, wenn Sie betroffen waren

Liz Weston, eine Autorin für persönliche Finanzen bei NerdWallet, hat die folgenden Ratschläge für diejenigen, die von der Equifax-Verletzung betroffen sind: die sie Investopedia in einer E-Mail mitteilte: „Equifax wird sich an die Opfer wenden und ihnen Kreditüberwachung anbieten. Opfer sollten sicherstellen, dass die Zustimmung zur Überwachung sie nicht daran hindert, sich an Klagen oder anderen Aktionen zu beteiligen."

Die Seite mit den Nutzungsbedingungen von TrustedID Premier (archivierte Version) verlangte von den Nutzern tatsächlich, auf ihr Recht zu verzichten, einer Sammelklage gegen Equifax beizutreten: Ihr Recht, eine Sammelklage einzureichen oder daran teilzunehmen (ob als namentlich genannter Kläger oder ein Sammelkläger) oder an Sammelklagen, einschließlich Sammelklagen, teilzunehmen wenn eine Klasse noch nicht zertifiziert wurde, selbst wenn die Tatsachen und Umstände, auf denen die Ansprüche beruhen, bereits eingetreten oder vorhanden waren." Nach einer Gegenreaktion wird die des Unternehmens FAQ-Seite wurde aktualisiert, um zu sagen, dass die Klausel für den TrustedID Premier-Dienst gilt, nicht für den Hack. Ab dem Morgen des Sept. 12, die Nutzungsbedingungen nicht mehr enthalten eine Schiedsklausel.

Weston sagt, dass betroffene Kunden erwägen sollten, ihre Kreditauskünfte bei allen drei großen Büros einzufrieren. Wie oben erwähnt, können Kreditauskunfteien Gebühren für die Einleitung dieser Sperrung erheben. Es kann auch sein, dass Ihnen das Aufheben der Sperrung von Konten in Rechnung gestellt wird, wenn Sie eine Bonitätsprüfung benötigen (z. B. um einen Mobilfunkdienst zu beantragen). Diese Gebühren betragen in der Regel weniger als 10 US-Dollar, können sich aber summieren. Weston weist darauf hin, dass eine weitere Möglichkeit darin besteht, eine Betrugswarnung für Ihre Kreditauskünfte bei den drei Kreditauskunfteien zu platzieren.

Antwort von Equifax

Der damalige Vorsitzende und CEO von Equifax, Richard Smith, sagte nach dem Hack, dass es "eindeutig enttäuschend" war Vorfall für unser Unternehmen, und einer, der uns ins Herz trifft und was wir tun." Er trat zurück am Sept. 26 und erhalten für 2017 keinen Bonus. Sein Weggang folgte dem der Chief Security Officer Susan Mauldin und des Chief Information Officer David Webb im September. 14.

Ein paar Tage, nachdem das Unternehmen den Hack intern aufgedeckt hatte – und bevor der Verstoß der Öffentlichkeit bekannt wurde – wurde der Finanzvorstand von Equifax, John Gamble, sein Präsident für Personallösungen Rodolfo Ploder und sein Präsident für US-Informationslösungen Joseph Loughran verkauften ihre Equifax-Aktien. Equifax sagte in einer Erklärung, dass die Führungskräfte nichts von dem Verstoß wussten, als sie ihre Aktien verkauften. Gamble, Ploder und Loughran zusammen verdient fast 1,8 Millionen US-Dollar aus dem Verkauf.

Ab Februar 28, die Equifax-Aktie ist seit ihrem Handelsschluss am September um 20,1% gefallen. 7 (bevor der Hack angekündigt wurde) auf 113,00 $. Nach mehreren Verzögerungen kündigt Equifax an, die Ergebnisse des vierten Quartals nach Handelsschluss am März bekannt zu geben. 1.

Lassen Sie die Klagen beginnen

Reuters berichtete im September. 11, dass mehr als 30 Klagen – viele davon mit Sammelklagen – gegen Equifax bei US-Gerichten eingereicht wurden. Mehrere behaupten, das Wertpapierrecht verletzt zu haben; andere werfen TrustedID vor, Kunden, die von der Datenschutzverletzung betroffen waren, kostspielige Dienste anzubieten. Fünf Einwohner von Utah haben das Unternehmen vor dem US-Bezirksgericht verklagt, weil sie die sensiblen Daten ihrer Kunden nicht geschützt haben. Die Klage fordert einen Schadensersatz in Höhe von 5 Milliarden US-Dollar und die Auferlegung strengerer Industriestandards.

Einige betroffene Kunden gehen einen weniger traditionellen Weg, um Regress bei Equifax zu suchen. Das DoNotPay-Chatbot bietet Unterstützung bei der Einreichung einer Beschwerde vor staatlichen Gerichten für geringfügige Forderungen, bei denen die Höchststrafen zwischen 2.500 und 25.000 US-Dollar liegen. Der Bot kann nur Unterlagen für eine Klage erstellen, sie nicht tatsächlich einreichen oder vor Gericht erscheinen, so der Rand.

Das FBI und der in Atlanta ansässige US-Staatsanwalt John Horn kündigten im September eine strafrechtliche Untersuchung des Verstoßes an. 18. Das Consumer Financial Protection Bureau und 34 Generalstaatsanwälte führen Ermittlungen durch.

Mr. Smith geht nach Washington

Am Okt. 3 der ehemalige CEO Richard Smith sagte vor dem Unterausschuss für digitalen Handel und Verbraucherschutz des Hauses aus. Er entschuldigte sich mehrmals für das Versäumnis von Equifax, Verbraucherdaten zu schützen, und stellte sich Fragen zu einer Reihe von Problemen im Zusammenhang mit dem Verstoß und der Reaktion von Equifax. Die Aktie des Unternehmens stieg nach der Aussage, blieb aber deutlich unter dem Niveau, das vor der Offenlegung des Hacks gehandelt wurde.

Auf Fragen zu der umstrittenen Schiedsklausel, die ursprünglich in den Nutzungsbedingungen von TrustedID Premier enthalten war, sagte Smith, die „Boilerplate“-Klausel sei beabsichtigte nie, auf den Verstoß zuzutreffen, und nannte seine Aufnahme einen "Fehler". Er würde nicht dasselbe von ähnlichen Klauseln sagen, die andere Equifax-Dienste regeln, die er nannte "Standard."

Auch der Verkauf von Aktien von Führungskräften mit verdächtigem Zeitpunkt wurde unter die Lupe genommen: Rep. Jan Schakowsky, ein Demokrat aus Illinois, sagte, der Verkauf „besteht den Geruchstest nicht“, aber Smith behauptete, „nach meinem besten Wissen wussten sie nichts“ von dem Verstoß zu dieser Zeit.

Smith beschrieb die Verletzung als Ergebnis menschlichen Versagens und eines technologischen Versagens: die Person, die dafür verantwortlich ist, die Apache Struts-Software zu patchen – die eine öffentlich bekannte Schwachstelle aufwies, die die Angreifer ausnutzten – dies nicht taten, und ein Scanner, der das Unternehmen ebenfalls auf diesen Fehler aufmerksam gemacht hätte gescheitert.

Auch die hartnäckige Reaktion des Unternehmens auf die Krise wurde kritisiert: Die Einrichtung einer WordPress-Site mit einer verdächtigen URL, die nicht sicher ist ähnliche Domänen (und sogar die Weiterleitung von Kunden an eine dieser Domänen), die unzureichende Besetzung von Callcentern und die allgemeine Schaffung der den Eindruck, dass das Unternehmen, das zum Sammeln, Sichern und Verkaufen sensibler Daten existiert, auf einen Cyberangriff auf seine völlig unvorbereitet war Datenbanken. Repräsentant Markwayne Mullin, ein Republikaner aus Oklahoma, sagte zu Smith, seine Reaktion hätte wie das Auslösen eines Feueralarms sein sollen: "Es wird sofort eingesetzt." Smith antwortete, dass sein Team "folgte" Protokoll Bruch.

Smith lehnte es ab, Fragen zur Quelle des Angriffs zu beantworten, einschließlich der Frage, ob es sich um einen staatlichen Akteur handeln könnte. Er sagte lediglich, dass das FBI eine Untersuchung durchführt. Er verteidigte die Investitionen von Equifax in die Cybersicherheit während seiner Amtszeit und sagte, dass es bei seiner Ankunft vor zwölf Jahren praktisch keine Investitionen in den Datenschutz gegeben habe. Das Unternehmen gab eine viertel Milliarde Dollar aus und stellte ein 225-köpfiges Team ein, um die Daten des Unternehmens zu sichern, sagte Smith und investierte die branchenüblichen 10-14% des IT-Budgets des Unternehmens in Cybersicherheit.

Einige Vertreter gaben an, dass der Verstoß grundlegende Fragen zur Rolle der Kreditüberwachungsbranche und zu den Verbraucherrechten aufgeworfen hat. "Was ist, wenn ich Equifax wählen möchte?" fragte Schakowski. Smith antwortete, "das erfordert eine viel breitere Diskussion über die Rolle von Kreditauskunfteien." Repräsentant Tonko, ein New Yorker Demokrat, stimmte dieser Meinung zu und wies darauf hin, dass er kein wirklicher "Kunde" ist, da er sich nie entschieden hat, mit Equifax Geschäfte zu machen. "Warum darf dieses Unternehmen weiter existieren?" er hat gefragt. An verschiedenen Stellen stellte Smith den Wert von Sozialversicherungsnummern als Möglichkeit zum Identitätsnachweis in Frage und machte vage Hinweise darauf, "dem Verbraucher Macht zurückzugeben".

Die größte Frage des Tages kam von der kalifornischen Demokratin Doris Matsui: "Besitze ich meine Daten?„Schmied konnte nicht antworten.