Better Investing Tips

¿Fui pirateado? Descubra si la infracción de Equifax le afecta

Aug 16, 2021

Noticias

Noticias De La Compañía

0

click fraud protection

Equifax Inc. (EFX) anunciado el sept. El 7 de diciembre de 2017 que 143 millones de sus clientes se vieron afectados por un hack que ocurrió entre mediados de mayo y julio. Esa cifra se elevó a 145,5 millones durante las siguientes semanas, luego a 147,9 millones en marzo. 1 de 2018, cuando la compañía dijo que había identificado 2.4 millones de víctimas adicionales.

Después del cierre del mercado el mismo día, la compañía informó los resultados financieros del cuarto trimestre y del año completo. Los ingresos de la compañía en el cuarto trimestre aumentaron un 5% año tras año a $ 838.5 millones. La utilidad neta en el trimestre aumentó un 40% año tras año a 172,3 millones de dólares. Los ingresos y las ganancias de todo el año también aumentaron en comparación con 2016: los ingresos aumentaron un 7% a $ 3.4 mil millones, mientras que los ingresos netos aumentaron un 20% a $ 587.3 millones. La compañía dijo que el truco le había costado $ 26,5 millones en el cuarto trimestre y $ 114,0 millones en todo el año, neto de pagos de seguros. La acción, que cerró con una caída del 1,3% en línea con el S&P 500, ha subido un 0,6% en las operaciones fuera de horario en el momento de escribir este artículo.

Se expusieron hasta 209,000 números de tarjetas de crédito de clientes, según Equifax, y los documentos de disputa relacionados con 182,000 consumidores estadounidenses, que incluyen información personal, se vieron comprometidos. Los consumidores británicos también se han visto afectados por la infracción; es posible que algunos canadienses se hayan visto comprometidos. De acuerdo a El periodico de Wall Street, citando una fuente no identificada, los datos de las licencias de conducir de 10,9 millones de estadounidenses fueron robado en la brecha.

La compañía sabía del ataque desde el 29 de julio, pero esperó más de un mes para alertar al público. El sept. 20 fue informó que Mandiant, el FireEye Inc. (FEYE) subsidiaria contratada por Equifax, estima que el incumplimiento se remonta al menos al 10 de marzo.

Hay poca información sobre el origen del ataque, que está siendo investigado por el FBI, pero según Bloomberg, similitudes con ataques anteriores a la Oficina de Administración de Personal y Anthem Inc. sugieren que el atacante podría ser patrocinado por el estado, tal vez chino. El hecho de que la información de los clientes de Equifax no haya aparecido en el mercado negro también sugiere que los piratas informáticos no eran simplemente delincuentes. Bloomberg también informa que los atacantes apuntaron a individuos específicos, quizás debido a su riqueza o valor de inteligencia.

Dado que la población adulta de los EE. UU. Es de alrededor de 250 millones, es muy probable que se haya visto afectado por la infracción. También es posible que ya hayas sido víctima de un fraude, desde que comenzó el ataque hace casi seis meses.

Equifax, con sede en Atlanta, una de las tres grandes agencias de informes crediticios del consumidor; las otras dos son Experian PLC (Londres: EXPN) y TransUnion (TRU): Recopila datos que incluyen Números de seguro social, números de tarjetas de crédito, números de licencia de conducir, información de pago de alquiler y servicios públicos, y datos demográficos. Debido a que el modelo de Equifax es principalmente de empresa a empresa, muchos de sus clientes no saben que la empresa almacena sus datos. Además de evitar por completo el sistema financiero y crediticio, no existe una forma sencilla de optar por que Equifax no almacene datos personales.

Cómo comprobar si se vio afectado

Equifax ha creado una sitio donde puede verificar si su información se vio comprometida dando su apellido y los últimos seis dígitos de su número de Seguro Social. Este sitio ha sido objeto de intensas críticas y hemos eliminado el enlace debido a preguntas sobre su seguridad. Se configuró utilizando WordPress, una plataforma de blogs lista para usar. Está alojado en un dominio separado del sitio principal de Equifax. La empresa no registró URL similares, que podrían utilizarse para ataques de phishing; un hacker de sombrero blanco creó un sitio de este tipo para demostrar un punto, y una cuenta oficial de Equifax tuiteó el enlace al sitio falso. Mas de una vez.

Equifax ofreció a los clientes, afectados o no, la siguientes servicios, que llama TrustedID Premier: copias de un informe crediticio de Equifax, monitoreo de crédito y alertas automáticas para las tres principales agencias de crédito, el capacidad para bloquear el acceso de terceros a su informe crediticio de Equifax (con excepciones), monitoreo del número de Seguro Social y $ 1 millón en robo de identidad seguro. La fecha límite para presentar la solicitud fue el de noviembre. 21, 2017.

La compañía dice que todos estos servicios son gratuitos, pero la congelación de seguridad en un archivo de crédito no fue inicialmente gratis, al menos no para todos. Cuando intenté congelar un archivo de crédito de Equifax en septiembre. El 8 de enero, el sitio de la compañía dijo que el servicio costaría $ 3.00 y solicitó información de la tarjeta de crédito para procesar el pago.

Una captura de pantalla de www.freeze.equifax.com (Sept. 8, 2017 a las 11:46 a.m.EDT).

Como residente de Nueva York, pude congelar mi archivo de Experian de forma gratuita. El sitio de TransUnion no pudo procesar la solicitud inicialmente, probablemente un síntoma de un aumento del tráfico, pero luego me permitió congelarlo sin cargo.

En una declaración enviada por correo electrónico, un portavoz de Equifax le dijo a Investopedia en septiembre. 14 que la empresa está renunciando a todos los cargos para congelar los archivos de crédito y reembolsa automáticamente a los clientes que pagaron por hacerlo después de que el hack se hizo público. Ahora ha surgido una nueva preocupación, y una clara falta de seguridad, en torno a los PIN que la empresa emitió a los clientes que habían congelado sus informes crediticios. Estos PIN, que permiten a los clientes descongelar informes de crédito, siguen un patrón fácilmente identificable. El portavoz dijo que los clientes con estos PIN defectuosos deben llamar al 866-349-5191 para hablar con un agente en vivo.

Si obtuvo un PIN después de denunciar el hack, el suyo puede ser uno de los defectuosos. Tenerlo arreglado no es fácil. Doce llamadas a la línea en la mañana del sept. 15 arrojaron ocho señales de ocupado y cuatro instancias de silencio total.

Los servicios TrustedID Premier que Equifax enumera como complementarios son solo gratis por un año. Un portavoz de Equifax le dijo a Investopedia que la compañía no solicita información de la tarjeta de crédito. cuando los clientes se registran en el servicio y que la empresa no lo renovará automáticamente ni cobrará una tarifa. La tasa estándar de Equifax para el monitoreo de crédito es de $ 17 por mes.

Qué hacer si se ve afectado

Liz Weston, redactora de finanzas personales de NerdWallet, tiene los siguientes consejos para los afectados por la violación de Equifax: que compartió con Investopedia en un correo electrónico: "Equifax se comunicará con las víctimas y les ofrecerá monitoreo de crédito. Las víctimas deben asegurarse de que aceptar el monitoreo no les impida participar en demandas u otras acciones en el futuro ".

Inicialmente, la página de términos de servicio de TrustedID Premier (versión archivada) de hecho exigió a los usuarios que renunciaran a su derecho a unirse a una demanda colectiva contra Equifax: "Al dar su consentimiento para someter sus reclamaciones a arbitraje, perderá Su derecho a presentar o participar en cualquier acción de clase (ya sea como demandante designado o miembro de la clase) o de participar en cualquier laudo de acción de clase, incluidas las reclamaciones de clase. donde una clase aún no ha sido certificada, incluso si los hechos y circunstancias en los que se basan las Reclamaciones ya ocurrieron o existieron ". empresa Página de preguntas frecuentes se actualizó para decir que la cláusula se aplicaba al servicio TrustedID Premier, no al truco. A partir de la mañana del sept. 12, los términos de servicio ya no incluye una cláusula de arbitraje.

Weston dice que los clientes afectados deberían considerar congelar sus informes crediticios en las tres oficinas principales. Como se mencionó anteriormente, las agencias de crédito pueden cobrar tarifas por iniciar esa congelación. También se le puede cobrar por descongelar cuentas cuando necesite una verificación de crédito (para solicitar el servicio de telefonía celular, por ejemplo). Estas tarifas son generalmente menos de $ 10, pero pueden acumularse. Weston señala que otra opción es colocar una alerta de fraude en sus informes crediticios en las tres agencias de informes crediticios.

Respuesta de Equifax

El entonces presidente y director ejecutivo de Equifax, Richard Smith, dijo después del ataque que era "claramente decepcionante incidente para nuestra empresa, y que afecta al corazón de quiénes somos y qué hacemos ". el sept. 26 y no recibirá un bono para 2017. Su partida siguió a las de la jefa de seguridad Susan Mauldin y el jefe de información David Webb el 16 de septiembre. 14.

Unos días después de que la compañía descubriera el hackeo internamente, y antes de que se revelara al público la infracción, el director financiero de Equifax, John Gamble, su presidente de soluciones para la fuerza laboral, Rodolfo Ploder, y su presidente de soluciones de información de EE. UU., Joseph Loughran, vendieron sus acciones de Equifax. Equifax dijo en un comunicado que los ejecutivos no sabían sobre la violación cuando vendieron sus acciones. Gamble, Ploder y Loughran colectivamente ganado casi $ 1.8 millones de las ventas.

A partir de febrero. El 28 de septiembre, las acciones de Equifax han caído un 20,1% desde su cierre el 28 de septiembre. 7 (antes de que se anunciara el truco) a 113,00 dólares. Después de varios retrasos, Equifax dice que informará las ganancias del cuarto trimestre después del cierre de marzo. 1.

Que comiencen las demandas

Reuters informó el sept. 11 que se han presentado más de 30 demandas, muchas de las cuales buscan acciones colectivas, contra Equifax en los tribunales de EE. UU. Varios alegan violaciones de la ley de valores; otros acusan a TrustedID de ofrecer servicios costosos a los clientes que se vieron afectados por la violación de datos. Cinco residentes de Utah demandaron a la compañía en el Tribunal de Distrito de los EE. UU. Por no proteger los datos confidenciales de los clientes. La demanda busca daños monetarios de $ 5 mil millones y la imposición de estándares industriales más estrictos.

Algunos clientes afectados están tomando una ruta menos tradicional al buscar recursos de Equifax. El Chatbot DoNotPay brinda asistencia para presentar una queja en los tribunales estatales de reclamos menores, donde las sanciones máximas oscilan entre $ 2,500 y $ 25,000. El bot solo puede generar papeleo para una demanda, no presentarla ni comparecer ante el tribunal, según el borde.

El FBI y el fiscal federal con sede en Atlanta, John Horn, anunciaron una investigación criminal sobre la infracción el 2 de septiembre. 18. La Oficina de Protección Financiera del Consumidor y 34 fiscales generales estatales están realizando investigaciones.

El Sr. Smith va a Washington

El oct. 3 El ex director ejecutivo Richard Smith testificó ante el subcomité de Protección al Consumidor y Comercio Digital de la Cámara de Representantes. Se disculpó varias veces por la falla de Equifax en proteger los datos del consumidor y enfrentó preguntas sobre una variedad de problemas relacionados con la violación y la respuesta de Equifax. Las acciones de la compañía subieron luego del testimonio, pero se mantuvieron muy por debajo de los niveles en los que se negociaban antes de que se revelara el hack.

En respuesta a preguntas sobre la controvertida cláusula de arbitraje que se incluyó inicialmente en los términos de servicio de TrustedID Premier, Smith dijo que la cláusula "estándar" era nunca tuvo la intención de aplicarse a la infracción y calificó su inclusión como un "error". No diría lo mismo de cláusulas similares que rigen otros servicios de Equifax, a las que llamó "estándar."

Las ventas de acciones de ejecutivos sospechosamente sincronizadas también fueron objeto de escrutinio: Rep. Jan Schakowsky, un demócrata de Illinois, dijo que la venta "no pasa la prueba del olfato", pero Smith afirmó que "hasta donde yo sé, no sabían" sobre la infracción en ese momento.

Smith describió la brecha como resultado de un error humano y una falla tecnológica: la persona a cargo de asegurarse de parchear el software Apache Struts - que tenía una vulnerabilidad públicamente conocida que explotaron los atacantes, no lo hizo, y un escáner que habría alertado a la empresa de ese error también fallido.

La respuesta inestable de la compañía a la crisis también fue objeto de críticas: configurar un sitio de WordPress con una URL sospechosa, no asegurar dominios similares (e incluso dirigiendo a los clientes a uno de esos dominios), sin dotar de personal adecuado a los centros de llamadas y, en general, creando el impresión de que la empresa, que existe para recopilar, proteger y vender datos confidenciales, no estaba preparada en absoluto para un ciberataque en su bases de datos. Reps. Markwayne Mullin, un republicano de Oklahoma, le dijo a Smith que su respuesta debería haber sido como activar una alarma de incendio: "se pone inmediatamente en su lugar". Smith respondió que su equipo "siguió ". Varios representantes mencionaron que Smith pronunció un discurso en el que describió el fraude como una" gran oportunidad "y un" negocio masivo y en crecimiento "en agosto, después de saber sobre el incumplimiento.

Smith se negó a responder preguntas sobre la fuente del ataque, incluso si podría ser un actor estatal. Dijo simplemente que el FBI está llevando a cabo una investigación. Defendió las inversiones de Equifax en ciberseguridad durante su mandato, diciendo que cuando llegó hace doce años, prácticamente no había inversión en protección de datos. La compañía gastó 250 millones de dólares y contrató a un equipo de 225 personas para proteger los datos de la compañía, dijo Smith, invirtiendo el estándar de la industria del 10-14% del presupuesto de TI de la compañía en ciberseguridad.

Algunos representantes indicaron que la violación ha abierto preguntas fundamentales sobre el papel de la industria de monitoreo de crédito y los derechos de los consumidores. "¿Qué pasa si quiero optar por Equifax?" Preguntó Schakowski. Smith respondió, "eso requiere una discusión mucho más amplia sobre el papel de las agencias de informes crediticios". Reps. Tonko, un demócrata de Nueva York, se hizo eco del sentimiento y señaló que él no es realmente un "cliente", ya que nunca eligió hacer negocios con Equifax. "¿Por qué se permite que esta empresa siga existiendo?" preguntó. En varios puntos, Smith cuestionó el valor de los números de Seguro Social como una forma de probar la identidad e hizo vagas referencias a devolver "poder al consumidor".

La pregunta más importante del día vino de la demócrata de California Doris Matsui: "¿Soy dueño de mis datos?Smith no pudo responder.

Ganancias de Boeing: lo que sucedió con BA

Conclusiones claveBoeing entregó 79 aviones comerciales en el segundo trimestre, sin las estimac...

Lee mas

Ganancias de Amazon: qué buscar en AMZN

Ganancias de Amazon: qué buscar en AMZN

Conclusiones claveLos analistas estiman EPS de $ 12.47 vs. $ 10.30 en el segundo trimestre del a...

Lee mas

Ganancias de Amazon: qué sucedió con AMZN

Conclusiones claveLos ingresos de Amazon Web Services (AWS) superaron las expectativas de los an...

Lee mas

stories ig