Am fost piratat? Aflați dacă încălcarea Equifax vă afectează
Equifax Inc. (EFX) anunțat în sept. 7, 2017 că 143 milioane dintre clienții săi au fost afectați de un hack care a avut loc între mijlocul lunii mai și iulie. Această cifră a crescut la 145,5 milioane în următoarele săptămâni, apoi la 147,9 milioane în martie. 1, 2018, când compania a declarat că a identificat 2,4 milioane de victime suplimentare.
După închiderea pieței în aceeași zi, compania a raportat rezultatele financiare ale trimestrului IV și ale anului întreg. Veniturile companiei în al patrulea trimestru au crescut cu 5% față de anul anterior, la 838,5 milioane de dolari. Venitul net din trimestru a crescut cu 40% de la un an la altul, până la 172,3 milioane de dolari. Veniturile și profiturile pe tot anul au crescut, de asemenea, comparativ cu 2016: veniturile au crescut cu 7%, până la 3,4 miliarde de dolari, în timp ce venitul net a crescut cu 20%, până la 587,3 milioane de dolari. Compania a declarat că hack-ul a costat 26,5 milioane de dolari în al patrulea trimestru și 114,0 milioane de dolari în întregul an, fără plățile asigurărilor. Acțiunile, care s-au închis cu 1,3% în conformitate cu S&P 500, au crescut cu 0,6% la tranzacționarea după orele de lucru la momentul scrierii.
Potrivit lui Equifax, au fost expuse până la 209.000 de numere de carduri de credit ale clienților, iar documentele de dispută legate de 182.000 de consumatori americani - care includ informații personale - au fost compromise. De asemenea, consumatorii britanici au fost afectați de încălcare; este posibil ca unii canadieni să fi fost compromisă. Conform Wall Street Journal, citând o sursă nenumită, 10,9 milioane de americani aveau permis de conducere furat în breșă.
Compania știa despre atac din 29 iulie, dar a așteptat peste o lună pentru a alerta publicul. Pe sept. 20 a fost raportat că Mandiant, FireEye Inc. (FEYE) filială contractată de Equifax, estimează că încălcarea datează de cel puțin 10 martie.
Există puține informații cu privire la sursa atacului, care este investigat de FBI, dar potrivit Bloomberg, similarități cu atacurile anterioare asupra Office of Personnel Management și Anthem Inc. sugerează că atacatorul ar putea fi sponsorizat de stat, poate chinez. Faptul că informațiile clienților Equifax nu au apărut pe piața neagră sugerează, de asemenea, că hackerii nu erau pur și simplu criminali. Bloomberg raportează, de asemenea, că atacatorii au vizat anumite persoane, probabil din cauza bogăției sau valorii lor de informații.
Având în vedere că populația adultă din SUA este de aproximativ 250 de milioane, sunt mari șanse să fiți afectat de încălcare. De asemenea, este posibil să fi fost deja victima unei fraude, deoarece atacul a început în urmă cu aproape șase luni.
Echifax din Atlanta, una dintre cele trei mari agenții de raportare a creditelor de consum - celelalte două sunt Experian PLC (Londra: EXPN) și TransUnion (TRU) - colectează date inclusiv Numere de securitate socială, numerele cardului de credit, numerele permisului de conducere, informațiile privind plata chiriei și utilităților și datele demografice. Deoarece modelul Equifax este în primul rând business-to-business, mulți dintre clienții săi nu știu că datele lor sunt stocate de firmă. În afară de evitarea completă a sistemului financiar și de credit, nu există o modalitate simplă de a renunța la stocarea datelor personale de către Equifax.
Cum să verificați dacă ați fost afectat
Equifax a înființat un site unde puteți verifica dacă informațiile dvs. au fost compromise, oferind numele de familie și ultimele șase cifre ale numărului dvs. de securitate socială. Acest site a făcut obiectul unor critici intense și am eliminat linkul din cauza întrebărilor legate de securitatea acestuia. A fost configurat folosind WordPress, o platformă de blogging de tip raft. Acesta este găzduit într-un domeniu separat de site-ul principal al Equifax. Compania a neglijat să înregistreze adrese URL similare, care ar putea fi utilizate pentru atacuri de phishing; un hacker cu pălărie albă a creat un astfel de site pentru a demonstra un punct, iar un cont oficial Equifax a trimis pe Twitter linkul către site-ul fals. Mai mult de o dată.
Equifax a oferit clienților - afectați sau nu - urmând servicii, pe care îl numește TrustedID Premier: copii ale unui raport de credit Equifax, monitorizarea creditului și alerte automate pentru toate cele trei birouri majore de credit, posibilitatea de a bloca accesul terților la raportul dvs. de credit Equifax (cu excepții), monitorizarea numărului de securitate socială și furt de identitate de 1 milion de dolari asigurare. Termenul limită pentru depunerea cererii a fost noi. 21, 2017.
Compania spune că aceste servicii sunt toate gratuite, dar plasarea unui blocaj de securitate pe un fișier de credit nu a fost inițial gratuit - cel puțin nu pentru toată lumea. Când am încercat să îngheț un fișier de credit Equifax în sept. 8, site-ul companiei a declarat că serviciul va costa 3 USD și a solicitat informații despre cardul de credit pentru a procesa plata.
O captură de ecran de la www.freeze.equifax.com (Sept. 8, 2017 la 11:46 a.m. EDT).
În calitate de rezident din New York, am reușit să plasez un blocaj pe fișierul meu Experian gratuit. Site-ul TransUnion nu a reușit să proceseze solicitarea inițial - probabil un simptom al traficului sporit -, dar ulterior mi-a permis să fixez o înghețare gratuită.
Într-o declarație prin e-mail, un purtător de cuvânt al Equifax a declarat pentru Investopedia în sept. 14 că firma renunță la toate taxele pentru înghețarea fișierelor de credit și rambursează automat clienților care au plătit acest lucru după ce hack-ul a fost făcut public. O nouă preocupare - și o scădere clară a securității - a apărut acum în jurul codurilor PIN emise de companie clienților care își înghețaseră rapoartele de credit. Aceste coduri PIN, care permit clienților să dezghețe rapoartele de credit, urmează un model ușor de identificat. Purtătorul de cuvânt a spus că clienții cu aceste coduri PIN defecte trebuie să sune la 866-349-5191 pentru a vorbi cu un agent live.
Dacă ați primit un cod PIN după ce ați raportat hack-ul, al dvs. poate fi unul defect. Nu este ușor să îl rezolvi. Doisprezece apeluri la linie în dimineața din sept. 15 au dat opt semnale ocupate și patru cazuri de liniște totală.
Serviciile TrustedID Premier listele Equifax sunt gratuite gratuit doar un an. Un purtător de cuvânt al Equifax a declarat pentru Investopedia că compania nu solicită informații despre cardul de credit când clienții se înscriu pentru serviciu și că compania nu îl va reînnoi automat sau nu va percepe un taxa. Rata standard a Equifax pentru monitorizarea creditului este de 17 USD pe lună.
Ce trebuie să faceți dacă ați fost afectat
Liz Weston, un scriitor de finanțe personale la NerdWallet, are următoarele sfaturi pentru cei afectați de încălcarea Equifax, pe care a împărtășit-o cu Investopedia într-un e-mail: „Equifax va contacta victimele și le va oferi monitorizarea creditelor. Victimele ar trebui să se asigure că acceptarea monitorizării nu le împiedică să participe la procese sau alte acțiuni pe drum. "
Inițial, pagina Termenilor și condițiilor TrustedID Premier (versiune arhivată) a solicitat, de fapt, utilizatorilor să renunțe la dreptul de a participa la o acțiune colectivă împotriva Equifax: „Prin acordul de a supune cererile dvs. la arbitraj, veți pierde Dreptul dvs. de a introduce sau de a participa la orice acțiune colectivă (fie ca reclamant desemnat sau ca membru al clasei), fie de a participa la orice premii de acțiune colectivă, inclusiv revendicări de grup în cazul în care o clasă nu a fost încă certificată, chiar dacă faptele și circumstanțele pe care se bazează revendicările au avut deja loc sau au existat. "În urma unei reacții adverse, companiei Pagina de întrebări frecvente a fost actualizat pentru a spune că clauza se aplica serviciului TrustedID Premier, nu hack-ului. Începând cu dimineața din sept. 12, condițiile de furnizare a serviciilor nu mai include o clauză de arbitraj.
Weston spune că clienții afectați ar trebui să ia în considerare înghețarea rapoartelor de credit la toate cele trei birouri majore. După cum sa menționat mai sus, birourile de credit pot percepe taxe pentru inițierea înghețului. Este posibil să fiți taxat și pentru deblocarea conturilor atunci când aveți nevoie de o verificare a creditului (de exemplu, pentru a solicita serviciul de telefonie mobilă). Aceste taxe sunt în general mai mici de 10 USD, dar se pot adăuga. Weston observă că o altă opțiune este să plasați o alertă de fraudă în rapoartele dvs. de credit la cele trei birouri de credit.
Răspunsul lui Equifax
Președintele și CEO-ul de atunci al Equifax, Richard Smith, a declarat după hack că este „în mod clar o dezamăgire incident pentru compania noastră și unul care lovește inima a ceea ce suntem și a ceea ce facem. "El a renunțat pe sept. 26 și nu vor primi bonus pentru 2017. Plecarea sa i-a urmat pe cele ale ofițerului șef de securitate Susan Mauldin și ale ofițerului șef de informații David Webb în sept. 14.
La câteva zile după ce compania a descoperit hack-ul intern - și înainte ca încălcarea să fie dezvăluită publicului - directorul financiar al Equifax, John Gamble, președintele său pentru soluții pentru forța de muncă, Rodolfo Ploder, și președintele său pentru soluții de informații din SUA, Joseph Loughran, și-au vândut acțiunile Equifax. Equifax a declarat într-o declarație că directorii nu știau despre încălcare atunci când și-au vândut acțiunile. Gamble, Ploder și Loughran în mod colectiv câștigat aproape 1,8 milioane de dolari din vânzări.
Începând cu februarie 28, acțiunile Equifax au scăzut cu 20,1% de la închiderea sa din sept. 7 (înainte de anunțarea hack-ului) la 113,00 USD. După mai multe întârzieri, Equifax spune că va raporta câștigurile din al patrulea trimestru după închiderea din martie. 1.
Să înceapă procesele
Reuters a raportat în sept. 11 că peste 30 de procese - multe dintre ele în căutarea unei acțiuni colective - au fost intentate împotriva Equifax în instanțele americane. Mai mulți pretind încălcări ale legii valorilor mobiliare; alții acuză TrustedID că a oferit servicii costisitoare clienților care au fost afectați de încălcarea datelor. Cinci rezidenți din Utah au dat în judecată compania în fața instanței judecătorești din SUA pentru eșecul protejării datelor sensibile ale clienților. Procesul solicită despăgubiri bănești de 5 miliarde de dolari și impunerea unor standarde industriale mai stricte.
Câțiva clienți afectați iau o cale mai puțin tradițională în căutarea recursului de la Equifax. The DoNotPay chatbot oferă asistență în depunerea unei plângeri în instanțele de stat pentru reclamații mici, unde sancțiunile maxime variază între 2.500 și 25.000 de dolari. Botul poate genera doar documente pentru un proces, nu îl poate depune sau nu poate apărea în instanță, potrivit Verge.
Avocatul american FBI și cu sediul în Atlanta, John Horn, au anunțat o anchetă penală asupra încălcării în sept. 18. Biroul pentru protecția financiară a consumatorilor și 34 de procurori generali ai statului efectuează anchete.
Domnul Smith merge la Washington
Pe oct. 3 fostul CEO Richard Smith a depus mărturie în fața subcomitetului House Digital Commerce and Consumer Protection. El și-a cerut scuze de mai multe ori pentru eșecul Equifax de a proteja datele consumatorilor și s-a confruntat cu întrebări cu privire la o serie de probleme legate de încălcare și răspunsul Equifax. Acțiunile companiei au crescut în urma mărturiei, dar au rămas cu mult sub nivelurile la care se tranzacționa înainte de dezvăluirea hack-ului.
Ca răspuns la întrebările referitoare la controversata clauză de arbitraj care a fost inițial inclusă în termenii și condițiile TrustedID Premier, Smith a spus că clauza „boilerplate” este nu a intenționat niciodată să se aplice încălcării și a numit includerea ei o „greșeală”. El nu ar spune același lucru din clauzele similare care guvernează alte servicii Equifax, pe care le-a numit "standard."
Vânzările de titluri executive temporizate suspect au fost, de asemenea, supuse controlului: Rep. Jan Schakowsky, democrat din Illinois, a declarat că vânzarea „nu trece testul mirosului”, dar Smith a afirmat, „din câte știu eu, ei nu știau” despre breșă la acea vreme.
Smith a descris încălcarea ca rezultat al unei erori umane și a unei defecțiuni tehnologice: persoana responsabilă de asigurarea corecției software-ului Apache Struts - care a avut o vulnerabilitate cunoscută public pe care atacatorii au exploatat - nu a reușit să o facă, și un scaner care ar fi alertat compania de acea eroare a eșuat.
Răspunsul rapid al companiei la criză a venit și pentru critici: crearea unui site WordPress cu o adresă URL suspectă, nereușind să securizeze domenii similare (și chiar direcționarea clienților către unul dintre acele domenii), nereușind să ofere personal în mod adecvat centrelor de apeluri și, în general, creând impresia că compania - care există pentru a colecta, securiza și vinde date sensibile - nu era complet pregătită pentru un atac cibernetic asupra baze de date. Reprezentant. Markwayne Mullin, un republican din Oklahoma, i-a spus lui Smith că răspunsul său ar fi trebuit să tragă o alarmă de incendiu: „intră imediat în loc”. Smith a răspuns că echipa sa „a urmat protocol. "Câțiva reprezentanți au menționat că Smith a susținut un discurs în care a descris frauda drept o" oportunitate imensă "și o" afacere masivă, în creștere "în august - după ce a aflat despre încălcare.
Smith a refuzat să răspundă la întrebări despre sursa atacului, inclusiv dacă acesta ar putea fi un actor de stat. El a spus pur și simplu că FBI conduce o anchetă. El a apărat investițiile Equifax în securitate cibernetică în timpul mandatului său, spunând că atunci când a ajuns în urmă cu doisprezece ani, practic nu existau investiții în protecția datelor. Compania a cheltuit un sfert de miliard de dolari și a angajat o echipă de 225 de persoane pentru a asigura datele companiei, a spus Smith, investind standardul industrial 10-14% din bugetul IT al companiei în securitate cibernetică.
Unii reprezentanți au indicat că încălcarea a deschis întrebări fundamentale cu privire la rolul industriei de monitorizare a creditelor și la drepturile consumatorilor. "Ce se întâmplă dacă vreau să optăm pentru Equifax?" Întrebă Schakowski. Smith a răspuns: „Aceasta necesită o discuție mult mai largă cu privire la rolul agențiilor de raportare a creditelor”. Reprezentant. Tonko, democrat din New York, a făcut ecou sentimentului, subliniind că el nu este cu adevărat un „client”, care nu a ales niciodată să facă afaceri cu Equifax. "De ce i se permite acestei companii să existe în continuare?" el a intrebat. În diferite puncte, Smith a pus la îndoială valoarea numerelor de securitate socială ca o modalitate de a dovedi identitatea și a făcut referiri vagi la acordarea „puterii înapoi consumatorului”.
Cea mai mare întrebare a zilei a venit de la democratul californian Doris Matsui: "Dețin datele mele?„Smith nu a putut răspunde.