Czy zostałem zhakowany? Dowiedz się, czy naruszenie Equifax ma na Ciebie wpływ

Equifax Inc. (EFX) ogłoszono we wrześniu. 7, 2017, że 143 miliony jego klientów zostało dotkniętych włamaniem, które miało miejsce między połową maja a lipcem. Liczba ta wzrosła do 145,5 miliona w kolejnych tygodniach, a następnie do 147,9 miliona w marcu. 1, 2018, kiedy firma poinformowała, że ​​zidentyfikowała 2,4 miliona dodatkowych ofiar.

Po zamknięciu rynku tego samego dnia spółka podała wyniki finansowe za czwarty kwartał i cały rok. Przychody firmy w czwartym kwartale wzrosły o 5% rok do roku do 838,5 mln USD. Zysk netto w tym kwartale wzrósł o 40% rok do roku do 172,3 mln USD. Całoroczne przychody i zyski również wzrosły w porównaniu z 2016 r.: przychody wzrosły o 7% do 3,4 mld USD, a zysk netto wzrósł o 20% do 587,3 mln USD. Firma twierdzi, że włamanie kosztowało ją 26,5 miliona dolarów w czwartym kwartale i 114,0 milionów dolarów w całym roku, bez wypłat z ubezpieczenia. Akcje, które zamknęły się o 1,3% zgodnie z S&P 500, wzrosły o 0,6% w handlu po godzinach w momencie pisania.

Aż 209 000 numerów kart kredytowych klientów zostało ujawnionych, według Equifax, a dokumenty sporu dotyczące 182 000 amerykańskich konsumentów – w tym dane osobowe – zostały naruszone. Brytyjscy konsumenci również ucierpieli w wyniku naruszenia; możliwe, że niektórzy Kanadyjczycy zostali skompromitowani. Według Dziennik Wall Street, powołując się na nienazwane źródło, dane dotyczące praw jazdy 10,9 miliona Amerykanów były skradziony w naruszeniu.

Firma wiedziała o ataku od 29 lipca, ale czekała ponad miesiąc, aby zaalarmować opinię publiczną. We wrześniu. 20 było zgłoszone ten Mandiant, FireEye Inc. (FEYE) spółka zależna zlecona przez Equifax, szacuje, że naruszenie miało miejsce co najmniej 10 marca.

Niewiele jest informacji na temat źródła ataku, które jest badane przez FBI, ale według Bloomberg, podobieństwa do wcześniejszych ataków na Office of Personnel Management i Anthem Inc. sugerują, że atakujący może być sponsorowany przez państwo, być może Chińczyków. Fakt, że informacje klientów Equifax nie pojawiły się na czarnym rynku, sugeruje również, że hakerzy nie byli po prostu przestępcami. Bloomberg informuje również, że napastnicy wzięli na cel konkretne osoby, być może ze względu na ich bogactwo lub wartość wywiadowczą.

Biorąc pod uwagę, że dorosła populacja USA wynosi około 250 milionów, są duże szanse, że doszło do naruszenia. Możliwe też, że padłeś już ofiarą oszustwa, odkąd atak rozpoczął się prawie sześć miesięcy temu.

Equifax z siedzibą w Atlancie, jedna z trzech największych agencji raportowania kredytów konsumenckich – pozostałe dwie to Experian PLC (Londyn: EXPN) i TransUnii (PRAWDA) – zbiera dane m.in Numery ubezpieczenia społecznego, numery kart kredytowych, numery praw jazdy, informacje o opłatach za czynsz i media oraz dane demograficzne. Ponieważ model Equifax dotyczy przede wszystkim współpracy między przedsiębiorstwami, wielu klientów nie zdaje sobie sprawy, że ich dane są przechowywane przez firmę. Oprócz całkowitego uniknięcia systemu finansowego i kredytowego, nie ma prostego sposobu na zrezygnowanie z przechowywania danych osobowych przez Equifax.

Jak sprawdzić, czy zostałeś dotknięty?

Equifax utworzył Strona gdzie możesz sprawdzić, czy Twoje dane zostały naruszone, podając swoje nazwisko i sześć ostatnich cyfr numeru ubezpieczenia społecznego. Ta witryna była przedmiotem ostrej krytyki i usunęliśmy link ze względu na pytania dotyczące jej bezpieczeństwa. Został skonfigurowany za pomocą WordPressa, gotowej platformy blogowej. Znajduje się w oddzielnej domenie do głównej witryny Equifax. Firma zaniedbała zarejestrowanie podobnych adresów URL, które mogłyby zostać wykorzystane do ataków phishingowych; jeden biały haker założył właśnie taką witrynę, aby udowodnić swoją rację, a oficjalne konto Equifax opublikowało na Twitterze link do fałszywej witryny. Więcej niż raz.

Equifax oferował klientom — dotkniętym lub nie — następujące usługi, który nazywa TrustedID Premier: kopie raportu kredytowego Equifax, monitorowanie kredytu i automatyczne alerty dla wszystkich trzech głównych biur kredytowych, możliwość zablokowania dostępu stron trzecich do raportu kredytowego Equifax (z wyjątkami), monitorowania numeru ubezpieczenia społecznego i 1 miliona dolarów kradzieży tożsamości ubezpieczenie. Termin składania wniosków upłynął w listopadzie. 21, 2017.

Firma twierdzi, że wszystkie te usługi są bezpłatne, ale zamrożenie pliku kredytowego nie było początkowo bezpłatne – przynajmniej nie dla wszystkich. Kiedy próbowałem zamrozić plik kredytowy Equifax we wrześniu. 8, na stronie firmy podano, że usługa będzie kosztować 3,00 USD i poproszono o podanie danych karty kredytowej w celu przetworzenia płatności.

Zrzut ekranu z www.freeze.equifax.com (wrzesień 8, 2017 o 11:46 EDT).

Jako mieszkaniec Nowego Jorku mogłem bezpłatnie zamrozić mój plik Experian. Witryna TransUnion początkowo nie była w stanie przetworzyć żądania – prawdopodobnie objaw zwiększonego ruchu – ale później pozwoliła mi na bezpłatne zawieszenie.

W oświadczeniu przesłanym e-mailem rzecznik Equifax powiedział Investopedii we wrześniu. 14, że firma zrzeka się wszelkich opłat za zamrożenie plików kredytowych i automatycznie zwraca pieniądze klientom, którzy za to zapłacili po upublicznieniu włamania. Nowy problem – i wyraźny brak bezpieczeństwa – pojawił się teraz w związku z kodami PIN, które firma wydała klientom, którzy zamrozili swoje raporty kredytowe. Te kody PIN, które umożliwiają klientom odblokowanie raportów kredytowych, są zgodne z łatwym do zidentyfikowania wzorem. Rzecznik powiedział, że klienci z tymi wadliwymi kodami PIN muszą zadzwonić pod numer 866-349-5191, aby porozmawiać z agentem na żywo.

Jeśli otrzymałeś kod PIN po zgłoszeniu włamania, Twój może być jednym z wadliwych. Naprawienie tego nie jest łatwe. Dwanaście telefonów na linię rano we wrześniu. 15 dało osiem sygnałów zajętości i cztery przypadki całkowitej ciszy.

Usługi TrustedID Premier, które Equifax wymienia jako dodatkowe, są tylko za darmo przez rok. Rzecznik Equifax powiedział Investopedii, że firma nie prosi o informacje o karcie kredytowej gdy klienci zarejestrują się w usłudze, a firma nie odnowi jej automatycznie ani nie obciąży opłata. Standardowa stawka Equifax za monitorowanie kredytu wynosi 17 USD miesięcznie.

Co zrobić, jeśli zostałeś dotknięty?

Liz Weston, pisarka finansów osobistych w NerdWallet, ma następujące porady dla osób dotkniętych naruszeniem Equifax: którą podzieliła się z Investopedią w e-mailu: „Equifax skontaktuje się z ofiarami i zaoferuje im monitorowanie kredytu. Ofiary powinny upewnić się, że zgoda na monitorowanie nie przeszkodzi im w przyłączeniu się do procesów sądowych lub innych działań w przyszłości”.

Początkowo strona warunków korzystania z usługi TrustedID Premier (wersja archiwalna) w rzeczywistości wymagał od użytkowników zrzeczenia się prawa do przyłączenia się do pozwu zbiorowego przeciwko Equifax: „Wyrażając zgodę na złożenie swoich roszczeń do arbitrażu, przepadniesz Twoje prawo do wniesienia lub uczestniczenia w jakimkolwiek pozwie zbiorowym (jako nazwany powód lub członek grupy) lub do udziału w jakichkolwiek nagrodach z pozwu zbiorowego, w tym roszczeniach zbiorowych gdy klasa nie została jeszcze certyfikowana, nawet jeśli fakty i okoliczności, na których opierają się roszczenia, już wystąpiły lub istniały”. firmy Strona FAQ został zaktualizowany, aby powiedzieć, że klauzula dotyczy usługi TrustedID Premier, a nie włamania. Od rana września. 12, warunki korzystania z usługi! już nie obejmują klauzula arbitrażowa.

Weston twierdzi, że klienci, których to dotyczy, powinni rozważyć zamrożenie swoich raportów kredytowych we wszystkich trzech głównych biurach. Jak wspomniano powyżej, biura kredytowe mogą pobierać opłaty za zainicjowanie tego zamrożenia. Możesz również zostać obciążony opłatą za odblokowanie kont, gdy będziesz potrzebować sprawdzenia zdolności kredytowej (na przykład w celu ubiegania się o usługę telefonii komórkowej). Opłaty te wynoszą zazwyczaj mniej niż 10 USD, ale mogą się sumować. Weston zauważa, że ​​inną opcją jest umieszczenie ostrzeżenia o oszustwie w swoich raportach kredytowych w trzech biurach kredytowych.

Odpowiedź Equifax

Ówczesny prezes i dyrektor generalny Equifax, Richard Smith, powiedział po włamaniu, że było to „wyraźnie rozczarowujące incydent dla naszej firmy i taki, który uderza w samo serce tego, kim jesteśmy i co robimy”. Zrezygnował we wrześniu. 26 i nie otrzyma premii za 2017 rok. Jego odejście nastąpiło we wrześniu po odejściu głównego oficera bezpieczeństwa Susan Mauldin i głównego oficera ds. informacji Davida Webba. 14.

Kilka dni po tym, jak firma wykryła włamanie wewnętrznie – i zanim włamanie zostało ujawnione opinii publicznej – dyrektor finansowy Equifax, John Gamble, jego prezes ds. rozwiązań dla siły roboczej Rodolfo Ploder, oraz jego prezes ds. rozwiązań informatycznych w USA Joseph Loughran sprzedali swoje akcje Equifax. Equifax powiedział w oświadczeniu, że dyrektorzy nie wiedzieli o naruszeniu, kiedy sprzedawali swoje akcje. Gamble, Ploder i Loughran wspólnie zarobione prawie 1,8 miliona dolarów ze sprzedaży.

Od lutego 28, akcje Equifax spadły o 20,1% w porównaniu z zamknięciem we wrześniu. 7 (przed ogłoszeniem włamania) do 113 USD. Po kilku opóźnieniach, Equifax zapowiada, że ​​po zamknięciu w marcu poinformuje o zyskach za czwarty kwartał. 1.

Niech procesy sądowe się rozpoczną

Reuters poinformował we wrześniu. 11, że ponad 30 pozwów – wiele z nich domaga się pozwu zbiorowego – zostało wniesionych przeciwko Equifax w sądach amerykańskich. Kilka osób twierdzi, że doszło do naruszenia prawa dotyczącego papierów wartościowych; inni oskarżają TrustedID o oferowanie kosztownych usług klientom, których dotyczyło naruszenie danych. Pięciu mieszkańców stanu Utah pozwało firmę w sądzie okręgowym USA za brak ochrony poufnych danych klientów. Pozew domaga się odszkodowania pieniężnego w wysokości 5 miliardów dolarów i nałożenia surowszych standardów branżowych.

Kilku klientów, których to dotyczy, wybiera mniej tradycyjną drogę, szukając możliwości skorzystania z Equifax. ten Chatbot DoNotPay zapewnia pomoc w złożeniu skargi w stanowych sądach ds. drobnych roszczeń, w których maksymalne kary wynoszą od 2500 do 25 000 USD. Bot może tylko generować papierkową robotę do pozwu, a nie składać go ani nie stawać w sądzie, zgodnie z Pogranicze.

FBI i amerykański prokurator John Horn z siedzibą w Atlancie ogłosiły śledztwo w sprawie naruszenia we wrześniu. 18. Dochodzenie prowadzi Biuro Ochrony Finansowej Konsumentów oraz 34 stanowych prokuratorów generalnych.

Pan Smith jedzie do Waszyngtonu

W październiku 3 były dyrektor generalny Richard Smith zeznawał przed podkomisją House Digital Commerce and Consumer Protection. Wielokrotnie przepraszał za niepowodzenie Equifax w ochronie danych konsumentów i miał pytania dotyczące szeregu problemów związanych z naruszeniem i reakcją Equifax. Akcje firmy wzrosły po zeznaniach, ale pozostały znacznie poniżej poziomów, na których handlowano przed ujawnieniem włamania.

W odpowiedzi na pytania dotyczące kontrowersyjnej klauzuli arbitrażowej, która początkowo była zawarta w warunkach korzystania z usługi TrustedID Premier, Smith powiedział, że klauzula „boilerplate” była nigdy nie zamierzał odnosić się do naruszenia i nazwał jego włączenie „błędem”. Nie powiedziałby tego samego o podobnych klauzulach regulujących inne usługi Equifax, które nazwał "standard."

Analizie poddano również sprzedaż akcji kierowniczych w podejrzanym czasie: Rep. Jan Schakowsky, demokrata z Illinois, powiedział, że sprzedaż „nie przechodzi testu zapachowego”, ale Smith zapewnił, że „według mojej najlepszej wiedzy nie wiedzieli” o naruszeniu w tamtym czasie.

Smith opisał naruszenie jako wynik błędu ludzkiego i technologicznego niepowodzenia: osoba odpowiedzialna za aktualizację oprogramowania Apache Struts – który miał publicznie znaną lukę, którą wykorzystali atakujący – nie zrobił tego, a skaner, który również zaalarmowałby firmę o tym błędzie przegrany.

Krytyka spotkała się również z nieudolną odpowiedzią firmy na kryzys: utworzenie witryny WordPress z podejrzanym adresem URL, brak zabezpieczenia podobne domeny (a nawet kierowanie klientów do jednej z tych domen), nieodpowiednie obsadzanie call center i generalnie tworzenie wrażenie, że firma – która istnieje po to, by zbierać, zabezpieczać i sprzedawać wrażliwe dane – była całkowicie nieprzygotowana na cyberatak na swoje bazy danych. Reprezentant. Markwayne Mullin, republikanin z Oklahomy, powiedział Smithowi, że jego reakcja powinna przypominać uruchomienie alarmu przeciwpożarowego: „od razu włącza się”. Smith odpowiedział, że jego zespół „podążał” Kilku przedstawicieli wspomniało, że Smith wygłosił w sierpniu przemówienie opisujące oszustwo jako „ogromną szansę” i „ogromny, rozwijający się biznes” – po tym, jak dowiedział się o naruszenie.

Smith odmówił odpowiedzi na pytania dotyczące źródła ataku, w tym tego, czy może to być podmiot państwowy. Powiedział po prostu, że FBI prowadzi śledztwo. Podczas swojej kadencji bronił inwestycji Equifax w cyberbezpieczeństwo, mówiąc, że kiedy przybył dwanaście lat temu, praktycznie nie było inwestycji w ochronę danych. Firma wydała ćwierć miliarda dolarów i zatrudniła 225-osobowy zespół do zabezpieczenia danych firmy, powiedział Smith, inwestując 10-14% budżetu informatycznego firmy na cyberbezpieczeństwo.

Niektórzy przedstawiciele wskazywali, że naruszenie to wywołało fundamentalne pytania dotyczące roli branży monitorowania kredytów i praw konsumentów. „A jeśli zechcę wybrać nasz Equifax?” - spytał Schakowski. Smith odpowiedział, że „wymaga to znacznie szerszej dyskusji na temat roli agencji sporządzających raporty kredytowe”. Reprezentant. Tonko, demokrata z Nowego Jorku, powtórzył ten sentyment, wskazując, że tak naprawdę nie jest „klientem”, ponieważ nigdy nie zdecydował się na robienie interesów z Equifax. "Dlaczego ta firma może dalej istnieć?" on zapytał. W różnych momentach Smith kwestionował wartość numerów ubezpieczenia społecznego jako sposobu potwierdzania tożsamości i niejasno wspominał o „przywróceniu władzy konsumentowi”.

Największe pytanie dnia wyszło od kalifornijskiej demokratki Doris Matsui: „Czy jestem właścicielem moich danych?Smith nie mógł odpowiedzieć.