Ben ik gehackt? Ontdek of de Equifax-inbreuk gevolgen voor u heeft

Equifax Inc. (EFX) aangekondigd op 7 september. 7, 2017 dat 143 miljoen van zijn klanten werden getroffen door een hack die plaatsvond tussen half mei en juli. Dat cijfer werd de volgende weken opgedreven tot 145,5 miljoen, en vervolgens tot 147,9 miljoen op maart. 1 2018, toen het bedrijf zei dat het 2,4 miljoen extra slachtoffers had geïdentificeerd.

Nadat de markt dezelfde dag sloot, rapporteerde het bedrijf financiële resultaten over het vierde kwartaal en het volledige jaar. De inkomsten van het bedrijf in het vierde kwartaal stegen met 5% op jaarbasis tot $ 838,5 miljoen. De nettowinst steeg in het kwartaal met 40% op jaarbasis tot $ 172,3 miljoen. De inkomsten en winst over het hele jaar stegen ook in vergelijking met 2016: de inkomsten stegen met 7% tot $ 3,4 miljard, terwijl de nettowinst met 20% steeg tot $ 587,3 miljoen. Het bedrijf zei dat de hack $ 26,5 miljoen kostte in het vierde kwartaal en $ 114,0 miljoen in het volledige jaar, exclusief verzekeringsuitkeringen. Het aandeel, dat 1,3% sloot in lijn met de S&P 500, is op het moment van schrijven 0,6% gestegen in de handel na sluitingstijd.

Volgens Equifax werden maar liefst 209.000 creditcardnummers van klanten onthuld en waren geschillen met betrekking tot 182.000 Amerikaanse consumenten – waaronder persoonlijke informatie – gecompromitteerd. Britse consumenten zijn ook getroffen door de inbreuk; het is mogelijk dat sommige Canadezen werden gecompromitteerd. Volgens De Wall Street Journal, onder vermelding van een niet nader genoemde bron, waren 10,9 miljoen rijbewijsgegevens van Amerikanen: gestolen in de bres.

Het bedrijf was al sinds 29 juli op de hoogte van de aanval, maar wachtte meer dan een maand om het publiek te waarschuwen. Op sept. 20 het was gemeld dat Mandiant, de FireEye Inc. (FEYE) dochteronderneming gecontracteerd door Equifax, schat de inbreuk tot op heden terug tot ten minste 10 maart.

Er is weinig informatie over de bron van de aanval, die wordt onderzocht door de FBI, maar volgens Bloomberg, overeenkomsten met eerdere aanvallen op het Office of Personnel Management en Anthem Inc. suggereren dat de aanvaller door de staat wordt gesteund, misschien Chinees. Dat de informatie van Equifax-klanten niet op de zwarte markt is verschenen, suggereert ook dat de hackers niet alleen criminelen waren. Bloomberg meldt ook dat de aanvallers zich richtten op specifieke individuen, misschien vanwege hun rijkdom of intelligentiewaarde.

Aangezien de volwassen bevolking van de VS ongeveer 250 miljoen is, is de kans groot dat u door de inbreuk bent getroffen. Het is ook mogelijk dat u al slachtoffer bent van fraude, aangezien de aanval bijna een half jaar geleden begon.

Het in Atlanta gevestigde Equifax, een van de drie grote rapportagebureaus voor consumentenkrediet - de andere twee zijn Experian PLC (Londen: EXPN) en TransUnion (TRU) – verzamelt gegevens waaronder: Burgerservicenummers, creditcardnummers, rijbewijsnummers, huur- en nutsbetalingsinformatie en demografische gegevens. Omdat het model van Equifax voornamelijk business-to-business is, weten veel van zijn klanten niet dat hun gegevens door het bedrijf worden opgeslagen. Afgezien van het volledig vermijden van het financiële en kredietsysteem, is er geen eenvoudige manier om af te zien van het opslaan van persoonlijke gegevens door Equifax.

Hoe te controleren of u getroffen bent?

Equifax heeft een site waar u kunt controleren of uw informatie is gecompromitteerd door uw achternaam en de laatste zes cijfers van uw burgerservicenummer te geven. Deze site is het onderwerp geweest van hevige kritiek en we hebben de link verwijderd vanwege vragen over de veiligheid ervan. Het is opgezet met WordPress, een kant-en-klaar blogplatform. Het is gehuisvest op een apart domein van de hoofdsite van Equifax. Het bedrijf verzuimde soortgelijke URL's te registreren, die kunnen worden gebruikt voor phishing-aanvallen; een white hat-hacker heeft zo'n site opgezet om een ​​punt te bewijzen, en een officieel Equifax-account tweette de link naar de nepsite. Meerdere keren.

Equifax bood klanten – al dan niet getroffen – de volgende diensten, die het TrustedID Premier noemt: kopieën van een Equifax-kredietrapport, kredietbewaking en geautomatiseerde waarschuwingen voor alle drie de grote kredietbureaus, de mogelijkheid om toegang van derden tot uw Equifax-kredietrapport (met uitzonderingen), bewaking van burgerservicenummers en $ 1 miljoen aan identiteitsdiefstal te blokkeren verzekering. De deadline om te solliciteren was november. 21, 2017.

Het bedrijf zegt dat deze diensten allemaal gratis zijn, maar het was aanvankelijk niet gratis om de beveiliging van een kredietbestand te bevriezen - althans niet voor iedereen. Toen ik op 7 september probeerde een Equifax-kredietbestand te bevriezen. 8, zei de site van het bedrijf dat de service $ 3,00 zou kosten en vroeg om creditcardgegevens om de betaling te verwerken.

Een screenshot van www.freeze.equifax.com (sept. 8, 2017 om 11:46 uur EDT).

Als inwoner van New York kon ik mijn Experian-bestand gratis bevriezen. De site van TransUnion kon het verzoek aanvankelijk niet verwerken - waarschijnlijk een symptoom van toegenomen verkeer - maar stond me later toe om het gratis te blokkeren.

In een verklaring per e-mail vertelde een woordvoerder van Equifax aan Investopedia op 7 september. 14 dat het bedrijf afziet van alle kosten om kredietbestanden te bevriezen en automatisch klanten terugbetaalt die hiervoor hebben betaald nadat de hack openbaar was gemaakt. Er is nu een nieuwe zorg – en een duidelijk gebrek aan beveiliging – ontstaan ​​rond de pincodes die het bedrijf heeft uitgegeven aan klanten die hun kredietrapporten hadden bevroren. Deze pincodes, waarmee klanten kredietrapporten kunnen deblokkeren, volgen een gemakkelijk herkenbaar patroon. De woordvoerder zei dat klanten met deze foutieve pincodes 866-349-5191 moeten bellen om met een live-agent te spreken.

Als je een pincode hebt gekregen nadat je de hack hebt gemeld, is de jouwe mogelijk een van de defecte. Het is niet eenvoudig om het te repareren. Twaalf telefoontjes naar de lijn op de ochtend van september. 15 leverden acht bezetsignalen op en vier gevallen van totale stilte.

De TrustedID Premier-services die Equifax als gratis vermeldt, zijn: alleen een jaar gratis. Een woordvoerder van Equifax vertelde Investopedia dat het bedrijf niet om creditcardgegevens vraagt wanneer klanten zich aanmelden voor de service en dat het bedrijf deze niet automatisch verlengt of kosten in rekening brengt tarief. Het standaardtarief van Equifax voor kredietbewaking is $ 17 per maand.

Wat te doen als u getroffen bent?

Liz Weston, een personal finance-schrijver bij NerdWallet, heeft het volgende advies voor degenen die getroffen zijn door de Equifax-inbreuk: die ze in een e-mail met Investopedia deelde: "Equifax zal contact opnemen met de slachtoffers en hen kredietbewaking aanbieden. Slachtoffers moeten ervoor zorgen dat het akkoord gaan met de monitoring hen niet verhindert om later deel te nemen aan rechtszaken of andere acties."

Aanvankelijk was de servicevoorwaardenpagina van TrustedID Premier (gearchiveerde versie) eiste in feite dat gebruikers afstand deden van hun recht om deel te nemen aan een collectieve rechtszaak tegen Equifax: "Door ermee in te stemmen om uw claims voor te leggen aan arbitrage, verliest u Uw recht om een ​​groepsvordering in te stellen of eraan deel te nemen (hetzij als een genoemde eiser of een groepslid) of om te delen in een groepsvordering, inclusief groepsvorderingen waar een klasse nog niet is gecertificeerd, zelfs als de feiten en omstandigheden waarop de Claims zijn gebaseerd al hebben plaatsgevonden of bestonden." van het bedrijf pagina met veelgestelde vragen werd bijgewerkt om te zeggen dat de clausule van toepassing was op de TrustedID Premier-service, niet op de hack. Vanaf de ochtend van sept. 12, de servicevoorwaarden: niet langer opnemen een arbitragebeding.

Weston zegt dat getroffen klanten zouden moeten overwegen om hun kredietrapporten bij alle drie de grote bureaus te bevriezen. Zoals hierboven vermeld, kunnen kredietbureaus kosten in rekening brengen voor het initiëren van die bevriezing. Er kunnen ook kosten in rekening worden gebracht voor het deblokkeren van accounts wanneer u een kredietcontrole nodig hebt (bijvoorbeeld om een ​​mobiele telefoonservice aan te vragen). Deze kosten zijn over het algemeen minder dan $ 10, maar ze kunnen oplopen. Weston merkt op dat een andere optie is om een ​​fraudewaarschuwing te plaatsen op uw kredietrapporten bij de drie kredietbureaus.

Equifax's reactie

De toenmalige voorzitter en CEO van Equifax, Richard Smith, zei na de hack dat het "duidelijk teleurstellend" was incident voor ons bedrijf, en een die de kern raakt van wie we zijn en wat we doen." Hij trad af op sept. 26 en ontvangt voor 2017 geen bonus. Zijn vertrek volgde op dat van Chief Security Officer Susan Mauldin en Chief Information Officer David Webb op 2 september. 14.

Een paar dagen nadat het bedrijf de hack intern had ontdekt – en voordat de inbreuk aan het publiek werd onthuld – zei de financieel directeur van Equifax, John Gamble, de president van personeelsoplossingen Rodolfo Ploder, en de president van de Amerikaanse informatieoplossingen, Joseph Loughran, hebben hun Equifax-aandelen verkocht. Equifax zei in een verklaring dat de leidinggevenden niet op de hoogte waren van de inbreuk toen ze hun aandelen verkochten. Gamble, Ploder en Loughran samen verdiend bijna $ 1,8 miljoen van de verkoop.

Vanaf febr. Op 28 september is het aandeel Equifax met 20,1% gedaald ten opzichte van het slot op september. 7 (voordat de hack werd aangekondigd) tot $ 113,00. Na verschillende vertragingen zegt Equifax dat het de winst voor het vierde kwartaal na sluiting op maart zal rapporteren. 1.

Laat de rechtszaken beginnen

Reuters meldde op september. 11 dat er meer dan 30 rechtszaken - waarvan vele met class action - zijn ingediend tegen Equifax bij Amerikaanse rechtbanken. Verscheidene beweren schendingen van de effectenwetgeving; anderen beschuldigen TrustedID van het aanbieden van dure diensten aan klanten die getroffen zijn door het datalek. Vijf inwoners van Utah hebben het bedrijf voor de rechtbank in de VS aangeklaagd wegens het niet beschermen van de gevoelige gegevens van klanten. De rechtszaak eist een geldelijke schadevergoeding van $ 5 miljard en het opleggen van strengere industrienormen.

Een paar getroffen klanten nemen een minder traditionele route om verhaal te halen bij Equifax. De DoNotPay-chatbot biedt hulp bij het indienen van een klacht bij rechtbanken voor geringe vorderingen, waar de maximale straffen variëren van $ 2.500 tot $ 25.000. De bot kan alleen papierwerk genereren voor een rechtszaak, niet echt indienen of voor de rechtbank verschijnen, volgens de rand.

De FBI en de in Atlanta gevestigde Amerikaanse procureur John Horn kondigden op 10 september een strafrechtelijk onderzoek aan naar de inbreuk. 18. Het Consumer Financial Protection Bureau en 34 procureurs-generaal van de staat doen onderzoek.

De heer Smith gaat naar Washington

Op okt. 3 voormalig CEO Richard Smith getuigde voor de subcommissie House Digital Commerce and Consumer Protection. Hij verontschuldigde zich meerdere keren voor het falen van Equifax om consumentengegevens te beschermen en kreeg vragen over een reeks problemen met betrekking tot de inbreuk en de reactie van Equifax. De aandelen van het bedrijf stegen na de getuigenis, maar bleven ruim onder het niveau waarop het werd verhandeld voordat de hack werd onthuld.

In antwoord op vragen over de controversiële arbitrageclausule die aanvankelijk was opgenomen in de servicevoorwaarden van TrustedID Premier, zei Smith dat de "boilerplate"-clausule nooit bedoeld om van toepassing te zijn op de inbreuk en noemde de opname ervan een "fout". Hij zou niet hetzelfde zeggen van soortgelijke clausules die gelden voor andere Equifax-diensten, die hij noemde: "standaard."

Verdacht getimede verkoop van executive aandelen kwam ook onder de loep: Rep. Jan Schakowsky, een democraat uit Illinois, zei dat de verkoop "de geurtest niet doorstaat", maar Smith beweerde dat "voor zover ik weet, ze destijds niet wisten" van de inbreuk.

Smith beschreef de inbreuk als het resultaat van een menselijke fout en een technologisch falen: de persoon die ervoor moet zorgen dat de Apache Struts-software wordt gepatcht - die een algemeen bekende kwetsbaarheid had die de aanvallers uitbuitten – deed dit niet, en een scanner die het bedrijf ook op die fout zou hebben gewezen mislukt.

De rake reactie van het bedrijf op de crisis kreeg ook kritiek: het opzetten van een WordPress-site met een verdachte URL, vergelijkbare domeinen (en zelfs klanten doorverwijzen naar een van die domeinen), het niet adequaat bemannen van callcenters en in het algemeen het creëren van de indruk dat het bedrijf – dat bestaat om gevoelige gegevens te verzamelen, te beveiligen en te verkopen – totaal niet voorbereid was op een cyberaanval op zijn databanken. Rep. Markwayne Mullin, een Republikein uit Oklahoma, vertelde Smith dat zijn reactie had moeten zijn als het trekken van een brandalarm: "het gaat meteen op zijn plaats." Smith antwoordde dat zijn team "volgde" protocol." Verschillende vertegenwoordigers zeiden dat Smith in augustus een toespraak hield waarin fraude werd beschreven als een "enorme kans" en een "enorme, groeiende onderneming", nadat hij op de hoogte was van de inbreuk.

Smith weigerde vragen te beantwoorden over de bron van de aanval, inclusief of het een statelijke actor zou kunnen zijn. Hij zei eenvoudig dat de FBI een onderzoek voert. Hij verdedigde de investeringen van Equifax in cyberbeveiliging tijdens zijn ambtstermijn en zei dat toen hij twaalf jaar geleden arriveerde, er praktisch geen investering in gegevensbescherming was. Het bedrijf gaf een kwart miljard dollar uit en huurde een team van 225 personen in om de bedrijfsgegevens te beveiligen, zei Smith, en investeerde de industriestandaard 10-14% van het IT-budget van het bedrijf in cyberbeveiliging.

Sommige vertegenwoordigers gaven aan dat de inbreuk fundamentele vragen heeft doen rijzen over de rol van de kredietbewakingsindustrie en de rechten van consumenten. "Wat als ik wil kiezen voor Equifax?" vroeg Schakowski. Smith antwoordde: "dat vereist een veel bredere discussie over de rol van kredietinformatiebureaus." Rep. Tonko, een democraat uit New York, herhaalde het sentiment en wees erop dat hij niet echt een 'klant' is, omdat hij er nooit voor heeft gekozen om zaken te doen met Equifax. "Waarom mag dit bedrijf blijven bestaan?" hij vroeg. Op verschillende punten zette Smith vraagtekens bij de waarde van burgerservicenummers als een manier om identiteit te bewijzen en maakte hij vage verwijzingen naar het geven van "macht terug aan de consument".

De grootste vraag van de dag kwam van de Californische democraat Doris Matsui: "Ben ik eigenaar van mijn gegevens?’ Smit kon geen antwoord geven.