Iμουν χακαρισμένος; Μάθετε αν η παραβίαση Equifax σας επηρεάζει

Equifax Inc. (EFX) ανακοινώθηκε τον Σεπτέμβριο 7, 2017 ότι 143 εκατομμύρια από τους πελάτες της επηρεάστηκαν από ένα hack που συνέβη μεταξύ των μέσων Μαΐου και Ιουλίου. Ο αριθμός αυτός αυξήθηκε στα 145,5 εκατομμύρια τις επόμενες εβδομάδες και στη συνέχεια στα 147,9 εκατομμύρια τον Μάρτιο. 1η 2018, όταν η εταιρεία δήλωσε ότι είχε εντοπίσει 2,4 εκατομμύρια επιπλέον θύματα.

Μετά το κλείσιμο της αγοράς την ίδια ημέρα, η εταιρεία ανέφερε οικονομικά αποτελέσματα τέταρτου τριμήνου και ολόκληρου του έτους. Τα έσοδα της εταιρείας για το τέταρτο τρίμηνο αυξήθηκαν 5% σε ετήσια βάση στα 838,5 εκατομμύρια δολάρια. Τα καθαρά έσοδα το τρίμηνο αυξήθηκαν κατά 40% σε ετήσια βάση στα 172,3 εκατομμύρια δολάρια. Τα έσοδα και τα κέρδη για ολόκληρο το έτος αυξήθηκαν επίσης σε σύγκριση με το 2016: τα έσοδα αυξήθηκαν κατά 7% στα 3,4 δισεκατομμύρια δολάρια, ενώ τα καθαρά έσοδα αυξήθηκαν κατά 20% στα 587,3 εκατομμύρια δολάρια. Η εταιρεία δήλωσε ότι η εισβολή του κόστισε 26,5 εκατομμύρια δολάρια το τέταρτο τρίμηνο και 114,0 εκατομμύρια δολάρια ολόκληρο το έτος, καθαρά από ασφαλιστικές πληρωμές. Η μετοχή, η οποία έκλεισε 1,3% σύμφωνα με τον S&P 500, αυξήθηκε κατά 0,6% στις συναλλαγές μετά τις ώρες κατά τη στιγμή της σύνταξης.

Έκθεση έως και 209.000 αριθμών πιστωτικών καρτών πελατών, σύμφωνα με το Equifax, και παραβιάστηκαν έγγραφα διαφοράς που σχετίζονται με 182.000 καταναλωτές των ΗΠΑ - τα οποία περιλαμβάνουν προσωπικές πληροφορίες. Οι Βρετανοί καταναλωτές επηρεάστηκαν επίσης από την παραβίαση. είναι πιθανό ότι κάποιοι Καναδοί παραβιάστηκαν. Σύμφωνα με Η Wall Street Journal, επικαλούμενη ανώνυμη πηγή, 10,9 εκατομμύρια δεδομένα αμερικανικών αδειών οδήγησης ήταν κλεμμένος στην παραβίαση.

Η εταιρεία γνώριζε για την επίθεση από τις 29 Ιουλίου, αλλά περίμενε πάνω από ένα μήνα για να ειδοποιήσει το κοινό. Τον Σεπτέμβριο 20 ήταν έχουν αναφερθεί ότι Mandiant, η FireEye Inc. (FEYE) θυγατρική που έχει συμβληθεί από την Equifax, εκτιμά ότι η παράβαση χρονολογείται τουλάχιστον στις 10 Μαρτίου.

Υπάρχουν λίγες πληροφορίες σχετικά με την πηγή της επίθεσης, η οποία ερευνάται από το FBI, αλλά σύμφωνα με Bloomberg, ομοιότητες με παλαιότερες επιθέσεις στο Office of Personnel Management and Anthem Inc. υποδηλώνουν ότι ο επιτιθέμενος θα μπορούσε να χρηματοδοτηθεί από το κράτος, ίσως κινέζος. Ότι οι πληροφορίες των πελατών της Equifax δεν έχουν εμφανιστεί στη μαύρη αγορά υποδηλώνει επίσης ότι οι χάκερ δεν ήταν απλώς εγκληματίες. Το Bloomberg αναφέρει επίσης ότι οι επιτιθέμενοι στοχοποίησαν συγκεκριμένα άτομα, ίσως λόγω του πλούτου ή της νοημοσύνης τους.

Δεδομένου ότι ο ενήλικος πληθυσμός των ΗΠΑ είναι περίπου 250 εκατομμύρια, οι πιθανότητες είναι καλές ότι επηρεαστήκατε από την παραβίαση. Είναι επίσης πιθανό να έχετε ήδη πέσει θύμα απάτης, από τότε που ξεκίνησε η επίθεση σχεδόν πριν από έξι μήνες.

Η Equifax με έδρα την Ατλάντα, ένας από τους τρεις μεγάλους οργανισμούς αναφοράς καταναλωτικών πιστώσεων-οι άλλοι δύο είναι η Experian PLC (Λονδίνο: EXPN) και TransUnion (TRU) - συλλέγει δεδομένα συμπεριλαμβανομένων Αριθμοί κοινωνικής ασφάλισης, αριθμούς πιστωτικών καρτών, αριθμούς αδειών οδήγησης, στοιχεία πληρωμής ενοικίου και κοινής ωφέλειας και δημογραφικά δεδομένα. Επειδή το μοντέλο της Equifax είναι κυρίως επιχειρηματικό, πολλοί από τους πελάτες του δεν γνωρίζουν ότι τα δεδομένα τους αποθηκεύονται από την εταιρεία. Εκτός από την πλήρη αποφυγή του χρηματοπιστωτικού και πιστωτικού συστήματος, δεν υπάρχει κανένας απλός τρόπος για να εξαιρεθείτε από την αποθήκευση προσωπικών δεδομένων από την Equifax.

Πώς να ελέγξετε εάν επηρεαστήκατε

Η Equifax έχει δημιουργήσει ένα ιστοσελίδα όπου μπορείτε να ελέγξετε εάν τα στοιχεία σας παραβιάστηκαν δίνοντας το επώνυμό σας και τα τελευταία έξι ψηφία του αριθμού σας Κοινωνικής Ασφάλισης. Αυτός ο ιστότοπος έχει γίνει αντικείμενο έντονης κριτικής και καταργήσαμε τον σύνδεσμο λόγω ερωτήσεων σχετικά με την ασφάλειά του. Δημιουργήθηκε χρησιμοποιώντας το WordPress, μια πλατφόρμα ιστολογίου εκτός ράφι. Βρίσκεται σε ξεχωριστό τομέα στην κύρια τοποθεσία του Equifax. Η εταιρεία αγνόησε να καταχωρήσει παρόμοιες διευθύνσεις URL, οι οποίες θα μπορούσαν να χρησιμοποιηθούν για επιθέσεις ηλεκτρονικού ψαρέματος. ένας χάκερ του λευκού καπέλου δημιούργησε έναν τέτοιο ιστότοπο για να αποδείξει ένα νόημα και ένας επίσημος λογαριασμός Equifax έστειλε μέσω Twitter τον σύνδεσμο προς τον ψεύτικο ιστότοπο. Περισσότερες από μία φορές.

Η Equifax προσέφερε στους πελάτες - επηρεασμένους ή μη - το ακόλουθες υπηρεσίες, το οποίο ονομάζει TrustedID Premier: αντίγραφα πιστωτικής έκθεσης Equifax, παρακολούθηση πιστώσεων και αυτοματοποιημένες ειδοποιήσεις και για τα τρία μεγάλα πιστωτικά γραφεία, δυνατότητα αποκλεισμού της πρόσβασης τρίτων στην πιστωτική σας έκθεση Equifax (με εξαιρέσεις), παρακολούθηση αριθμού κοινωνικής ασφάλισης και κλοπή ταυτότητας 1 εκατομμυρίου δολαρίων ΑΣΦΑΛΙΣΗ. Η προθεσμία υποβολής αιτήσεων ήταν η Νοέμβριος. 21, 2017.

Η εταιρεία λέει ότι όλες αυτές οι υπηρεσίες είναι δωρεάν, αλλά η τοποθέτηση παγώματος ασφαλείας σε ένα πιστωτικό αρχείο δεν ήταν αρχικά δωρεάν - τουλάχιστον όχι για όλους. Όταν προσπάθησα να παγώσω ένα πιστωτικό αρχείο Equifax στις 9 Σεπτεμβρίου. 8, ο ιστότοπος της εταιρείας ανέφερε ότι η υπηρεσία θα κοστίσει $ 3,00 και ζήτησε πληροφορίες πιστωτικής κάρτας για την επεξεργασία της πληρωμής.

Μια οθόνη που αρπάζει από www.freeze.equifax.com (Σεπτέμβριος 8, 2017 στις 11:46 π.μ. EDT).

Ως κάτοικος της Νέας Υόρκης, μπόρεσα να τοποθετήσω ένα πάγωμα στο αρχείο Experian μου δωρεάν. Ο ιστότοπος της TransUnion δεν μπόρεσε να επεξεργαστεί το αίτημα αρχικά - πιθανότατα ένα σύμπτωμα αυξημένης επισκεψιμότητας - αλλά αργότερα μου επέτρεψε να κάνω ένα πάγωμα δωρεάν.

Σε δήλωση μέσω ηλεκτρονικού ταχυδρομείου, εκπρόσωπος της Equifax είπε στην Investopedia στις 7 Σεπτεμβρίου. 14 ότι η εταιρεία παραιτείται από όλες τις χρεώσεις για το πάγωμα των πιστωτικών αρχείων και επιστρέφει αυτόματα στους πελάτες που πλήρωσαν για να το κάνουν μετά τη δημοσιοποίηση του hack. Μια νέα ανησυχία - και σαφές σφάλμα ασφάλειας - έχει δημιουργηθεί τώρα γύρω από τα PIN που η εταιρεία εξέδωσε σε πελάτες που είχαν παγώσει τις πιστωτικές τους αναφορές. Αυτοί οι κωδικοί PIN, που επιτρέπουν στους πελάτες να ξεπαγώσουν τις πιστωτικές αναφορές, ακολουθούν ένα εύκολα αναγνωρίσιμο μοτίβο. Ο εκπρόσωπος είπε ότι οι πελάτες με αυτούς τους ελαττωματικούς κωδικούς PIN πρέπει να καλέσουν στο 866-349-5191 για να μιλήσουν σε έναν ζωντανό αντιπρόσωπο.

Εάν πήρατε ένα PIN μετά την αναφορά του hack, το δικό σας μπορεί να είναι ένα από τα ελαττωματικά. Το να το διορθώσετε δεν είναι εύκολο. Δώδεκα κλήσεις στη γραμμή το πρωί του Σεπτεμβρίου. Το 15 έδωσε οκτώ απασχολημένα σήματα και τέσσερις περιπτώσεις απόλυτης σιωπής.

Οι υπηρεσίες TrustedID Premier Equifax αναφέρονται ως δωρεάν δωρεάν μόνο για ένα χρόνο. Εκπρόσωπος της Equifax δήλωσε στην Investopedia ότι η εταιρεία δεν ζητά στοιχεία πιστωτικής κάρτας όταν οι πελάτες εγγραφούν για την υπηρεσία και ότι η εταιρεία δεν θα την ανανεώσει αυτόματα ούτε θα χρεώσει α τέλη. Το κανονικό επιτόκιο της Equifax για την παρακολούθηση της πίστωσης είναι $ 17 το μήνα.

Τι να κάνετε αν επηρεαστείτε

Η Λιζ Γουέστον, συγγραφέας προσωπικών οικονομικών στο NerdWallet, έχει τις ακόλουθες συμβουλές για όσους επηρεάζονται από την παραβίαση του Equifax, το οποίο μοιράστηκε με την Investopedia σε ένα email: «Η Equifax θα επικοινωνήσει με τα θύματα και θα τους προσφέρει πιστωτική παρακολούθηση. Τα θύματα πρέπει να βεβαιωθούν ότι η συμφωνία με την παρακολούθηση δεν τους εμποδίζει να συμμετάσχουν σε αγωγές ή άλλες ενέργειες στο δρόμο ».

Αρχικά, η σελίδα των όρων παροχής υπηρεσιών του TrustedID Premier (αρχειοθετημένη έκδοση) στην πραγματικότητα απαίτησε από τους χρήστες να παραιτηθούν από το δικαίωμά τους να συμμετάσχουν σε μια αγωγή κατηγορίας εναντίον της Equifax: "Συμφωνώντας να υποβάλετε τις αξιώσεις σας σε διαιτησία, θα καταπέσετε Το δικαίωμά σας να ασκήσετε ή να συμμετάσχετε σε οποιαδήποτε κατηγορία (είτε ως ενάγων είτε ως μέλος τάξης) ή να συμμετάσχετε σε οποιεσδήποτε βραβεύσεις κατηγορίας, συμπεριλαμβανομένων των αξιώσεων τάξης όταν μια τάξη δεν έχει ακόμη πιστοποιηθεί, ακόμη και αν τα γεγονότα και οι συνθήκες στις οποίες βασίζονται οι αξιώσεις έχουν ήδη συμβεί ή υπήρχαν. "Μετά από αντίδραση, της εταιρείας Σελίδα FAQ ενημερώθηκε για να πει ότι η ρήτρα ισχύει για την υπηρεσία TrustedID Premier και όχι για το hack. Από το πρωί του Σεπτέμβρη 12, τους όρους παροχής υπηρεσιών δεν περιλαμβάνει πλέον ρήτρα διαιτησίας.

Ο Weston λέει ότι οι επηρεασμένοι πελάτες πρέπει να εξετάσουν το πάγωμα των πιστωτικών τους εκθέσεων και στα τρία μεγάλα γραφεία. Όπως αναφέρθηκε παραπάνω, τα πιστωτικά γραφεία ενδέχεται να χρεώσουν τέλη για την έναρξη του παγώματος. Ενδέχεται επίσης να χρεωθείτε για το ξεπάγωμα λογαριασμών όταν χρειάζεστε έναν πιστωτικό έλεγχο (για να υποβάλετε αίτηση για υπηρεσία κινητού τηλεφώνου, για παράδειγμα). Αυτά τα τέλη είναι γενικά μικρότερα από $ 10, αλλά μπορούν να αθροιστούν. Ο Weston σημειώνει ότι μια άλλη επιλογή είναι να τοποθετήσετε μια ειδοποίηση απάτης στις πιστωτικές σας εκθέσεις στα τρία πιστωτικά γραφεία.

Η απάντηση του Equifax

Ο τότε πρόεδρος και διευθύνων σύμβουλος της Equifax, Ρίτσαρντ Σμιθ, δήλωσε μετά το hack ότι ήταν «σαφώς απογοητευτικό περιστατικό για την εταιρεία μας και ένα που χτυπά την καρδιά του ποιοι είμαστε και τι κάνουμε. "Παραιτήθηκε τον Σεπτέμβριο 26 και δεν θα λάβουν μπόνους για το 2017. Η αναχώρησή του ακολούθησε εκείνες του επικεφαλής αξιωματικού ασφαλείας Susan Mauldin και του επικεφαλής πληροφοριών David Webb στις 7 Σεπτεμβρίου. 14.

Λίγες ημέρες αφότου η εταιρεία αποκάλυψε το χάκα εσωτερικά - και πριν αποκαλυφθεί η παραβίαση στο κοινό - ο επικεφαλής οικονομικός διευθυντής της Equifax John Ο Gamble, ο πρόεδρός του σε λύσεις εργατικού δυναμικού Rodolfo Ploder και ο πρόεδρός του στις λύσεις πληροφοριών των ΗΠΑ Joseph Loughran πούλησαν τις μετοχές τους Equifax. Η Equifax ανέφερε σε δήλωσή της ότι τα στελέχη δεν γνώριζαν για την παραβίαση όταν πούλησαν τις μετοχές τους. Gamble, Ploder και Loughran συλλογικά κερδηθείς σχεδόν 1,8 εκατομμύρια δολάρια από τις πωλήσεις.

Από τον Φεβρουάριο 28, η μετοχή της Equifax μειώθηκε κατά 20,1% από το κλείσιμό της στις 9 Σεπτεμβρίου. 7 (πριν ανακοινωθεί το hack) στα 113,00 $. Μετά από αρκετές καθυστερήσεις, η Equifax λέει ότι θα αναφέρει τα κέρδη του τέταρτου τριμήνου μετά το κλείσιμο του Μαρτίου. 1.

Ας αρχίσουν οι αγωγές

Το Reuters ανέφερε τον Σεπτέμβριο. 11 ότι περισσότερες από 30 αγωγές - πολλές από τις οποίες ζητούν ταξική αγωγή - έχουν κατατεθεί εναντίον της Equifax στα αμερικανικά δικαστήρια. Αρκετοί ισχυρίζονται παραβιάσεις της νομοθεσίας περί κινητών αξιών. άλλοι κατηγορούν το TrustedID για την παροχή δαπανηρών υπηρεσιών σε πελάτες που επηρεάστηκαν από την παραβίαση δεδομένων. Πέντε κάτοικοι της Γιούτα μήνυσαν την εταιρεία στο Επαρχιακό Δικαστήριο των ΗΠΑ για αδυναμία προστασίας των ευαίσθητων δεδομένων των πελατών. Η αγωγή επιδιώκει χρηματική αποζημίωση 5 δισεκατομμυρίων δολαρίων και την επιβολή αυστηρότερων βιομηχανικών προτύπων.

Μερικοί επηρεασμένοι πελάτες ακολουθούν μια λιγότερο παραδοσιακή διαδρομή αναζητώντας βοήθεια από την Equifax. ο Chatbot DoNotPay παρέχει βοήθεια για την υποβολή καταγγελίας στα κρατικά δικαστήρια μικροδιαφορών, όπου οι μέγιστες ποινές κυμαίνονται από $ 2.500 έως $ 25.000. Το bot μπορεί να δημιουργήσει έγγραφα μόνο για αγωγή, όχι να το καταθέσει ή να εμφανιστεί στο δικαστήριο, σύμφωνα με το χείλος.

Το FBI και ο Αμερικανός εισαγγελέας με έδρα την Ατλάντα, Τζον Χορν, ανακοίνωσαν ποινική έρευνα για την παραβίαση στις 9 Σεπτεμβρίου. 18. Το Γραφείο Οικονομικής Προστασίας Καταναλωτή και 34 γενικοί εισαγγελείς διεξάγουν έρευνες.

Ο κύριος Σμιθ πηγαίνει στην Ουάσινγκτον

Τον Οκτώβριο 3 ο πρώην διευθύνων σύμβουλος Richard Smith κατέθεσε ενώπιον της υποεπιτροπής House House Commerce and Consumer Protection. Ζήτησε συγγνώμη πολλές φορές για την αποτυχία της Equifax να προστατεύσει τα δεδομένα των καταναλωτών και αντιμετώπισε ερωτήσεις σχετικά με μια σειρά ζητημάτων που σχετίζονται με την παραβίαση και την απάντηση της Equifax. Η μετοχή της εταιρείας αυξήθηκε μετά τη μαρτυρία, αλλά παρέμεινε αρκετά κάτω από τα επίπεδα που διαπραγματεύονταν πριν αποκαλυφθεί το hack.

Σε απάντηση ερωτήσεων σχετικά με την αμφιλεγόμενη ρήτρα διαιτησίας που συμπεριλήφθηκε αρχικά στους όρους παροχής υπηρεσιών του TrustedID Premier, ο Smith είπε ότι η ρήτρα "boilerplate" ήταν ποτέ δεν σκόπευε να εφαρμοστεί στην παράβαση και χαρακτήρισε τη συμπερίληψή της «λάθος». Δεν θα έλεγε το ίδιο για παρόμοιες ρήτρες που διέπουν άλλες υπηρεσίες Equifax, τις οποίες ονόμασε "πρότυπο."

Οι ύποπτα χρονομετρημένες πωλήσεις μετοχών εκτελέστηκαν επίσης υπό έλεγχο: Rep. Ο Γιαν Σκακόφσκι, Δημοκρατικός στο Ιλινόις, είπε ότι η πώληση "δεν περνάει το τεστ μυρωδιάς", αλλά ο Σμιθ είπε ", από όσο γνωρίζω, δεν γνώριζαν" για την παραβίαση εκείνη τη στιγμή.

Ο Σμιθ περιέγραψε την παραβίαση ως αποτέλεσμα ανθρώπινου λάθους και τεχνολογικής αποτυχίας: το άτομο που είναι υπεύθυνο να φροντίσει να διορθώσει το λογισμικό Apache Struts - που είχε μια ευρέως γνωστή ευπάθεια που εκμεταλλεύτηκαν οι επιτιθέμενοι - απέτυχε να το κάνει και ένας σαρωτής που θα ειδοποιούσε την εταιρεία για αυτό το σφάλμα επίσης απέτυχε.

Η επιθετική απάντηση της εταιρείας στην κρίση ήρθε επίσης για κριτική: δημιουργία ενός ιστότοπου WordPress με ύποπτη διεύθυνση URL, αποτυχία ασφάλειας παρόμοιους τομείς (ακόμη και την κατεύθυνση των πελατών σε έναν από αυτούς τους τομείς), την αποτυχία επαρκούς στελέχωσης τηλεφωνικών κέντρων και γενικά τη δημιουργία εντύπωση ότι η εταιρεία - η οποία υπάρχει για τη συλλογή, την εξασφάλιση και την πώληση ευαίσθητων δεδομένων - ήταν εντελώς απροετοίμαστη για κυβερνοεπίθεση βάσεις δεδομένων. Μαλλομέταξο ύφασμα. Ο Markwayne Mullin, ένας Ρεπουμπλικανός της Οκλαχόμα, είπε στον Smith ότι η απάντησή του θα ήταν σαν να τραβούσε συναγερμό πυρκαγιάς: "μπαίνει αμέσως στη θέση του". Ο Σμιθ απάντησε ότι η ομάδα του «ακολούθησε πρωτόκολλο. "Αρκετοί εκπρόσωποι ανέφεραν ότι ο Σμιθ έδωσε μια ομιλία περιγράφοντας την απάτη ως" τεράστια ευκαιρία "και" μαζική, αναπτυσσόμενη επιχείρηση "τον Αύγουστο - αφού γνώριζε αθέτηση.

Ο Σμιθ αρνήθηκε να απαντήσει σε ερωτήσεις σχετικά με την πηγή της επίθεσης, συμπεριλαμβανομένου του κατά πόσο μπορεί να πρόκειται για κρατικό παράγοντα. Είπε απλά ότι το FBI διεξάγει έρευνα. Υπερασπίστηκε τις επενδύσεις της Equifax στην κυβερνοασφάλεια κατά τη διάρκεια της θητείας του, λέγοντας ότι όταν έφτασε πριν από δώδεκα χρόνια, ουσιαστικά δεν υπήρξε επένδυση στην προστασία δεδομένων. Η εταιρεία ξόδεψε ένα τέταρτο δισεκατομμύριο δολάρια και προσέλαβε μια ομάδα 225 ατόμων για να εξασφαλίσει τα δεδομένα της εταιρείας, είπε ο Smith, επενδύοντας το βιομηχανικό πρότυπο 10-14% του προϋπολογισμού πληροφορικής της εταιρείας στην ασφάλεια στον κυβερνοχώρο.

Ορισμένοι αντιπρόσωποι ανέφεραν ότι η παραβίαση άνοιξε θεμελιώδη ερωτήματα σχετικά με το ρόλο της βιομηχανίας παρακολούθησης της πίστωσης και τα δικαιώματα των καταναλωτών. "Τι γίνεται αν θέλω να επιλέξω το Equifax;" Ρώτησε ο Σκακόφσκι. Ο Smith απάντησε, "αυτό απαιτεί μια πολύ ευρύτερη συζήτηση σχετικά με το ρόλο των οργανισμών αναφοράς πιστώσεων". Μαλλομέταξο ύφασμα. Ο Τόνκο, δημοκράτης της Νέας Υόρκης, απηχεί το συναίσθημα, επισημαίνοντας ότι δεν είναι πραγματικά «πελάτης», αφού δεν επέλεξε ποτέ να κάνει επιχειρήσεις με την Equifax. "Γιατί επιτρέπεται σε αυτήν την εταιρεία να συνεχίσει να υπάρχει;" ρώτησε. Σε διάφορα σημεία, ο Σμιθ αμφισβήτησε την αξία των αριθμών Κοινωνικής Ασφάλισης ως τρόπο απόδειξης της ταυτότητάς του και έκανε αόριστες αναφορές στο να δοθεί «δύναμη πίσω στον καταναλωτή».

Η μεγαλύτερη ερώτηση της ημέρας προήλθε από τη Δημοκρατική Καλιφόρνια Ντόρις Μάτσουι: "Είμαι κάτοχος των δεδομένων μου;«Ο Σμιθ δεν μπορούσε να απαντήσει.