Ali so me vdrli? Ugotovite, ali vas kršitev Equifaxa prizadene
Equifax Inc. (EFX), objavljeno septembra. 7, 2017, da je vdor, ki se je zgodil med sredino majem in julijem, prizadel 143 milijonov njegovih strank. Ta številka se je v naslednjih tednih povečala na 145,5 milijona, nato pa marca na 147,9 milijona. 1. 2018, ko je družba dejala, da je identificirala 2,4 milijona dodatnih žrtev.
Po tem, ko se je trg istega dne zaprl, je družba poročala o četrtletnem in celoletnem finančnem izidu. Prihodki družbe v četrtem četrtletju so se medletno povečali za 5% na 838,5 milijona dolarjev. Čisti dobiček se je v četrtletju medletno povečal za 40% na 172,3 milijona dolarjev. Celoletni prihodki in dobiček so se prav tako povečali v primerjavi z letom 2016: prihodki so se povečali za 7% na 3,4 milijarde USD, medtem ko so se čisti prihodki povečali za 20% na 587,3 milijona USD. Družba je dejala, da je vdor v četrtem četrtletju stal 26,5 milijona dolarjev, v celotnem letu pa 114,0 milijona dolarjev, brez izplačil zavarovalnine. Delnice, ki so se v skladu s standardom S&P 500 zaprle za 1,3%, so se v času pisanja tečaja po koncu delovnega časa povečale za 0,6%.
Po podatkih Equifaxa je bilo izpostavljenih kar 209.000 številk kreditnih kartic strank, sporni dokumenti v zvezi z 182.000 potrošniki v ZDA - ki vključujejo osebne podatke - pa so bili ogroženi. Kršitev je prizadela tudi britanske potrošnike; možno je, da so bili nekateri Kanadčani ogroženi. Po navedbah Wall Street Journal, ki se sklicuje na neimenovani vir, je bilo 10,9 milijona ameriških vozniških podatkov ukraden v kršitvi.
Podjetje je za napad vedelo od 29. julija, vendar je čakalo več kot mesec dni, da je opozorilo javnost. Septembra 20 je bilo poročali ta Mandiant, FireEye Inc. (FEYE), hčerinsko podjetje, ki ga je sklenilo podjetje Equifax, ocenjuje, da je kršitev nastala vsaj do 10. marca.
O izvoru napada, ki ga preiskuje FBI, je malo podatkov, vendar po navedbah Bloomberg, podobnosti s prejšnjimi napadi na Urad za upravljanje osebja in Anthem Inc. predlagajo, da bi napadalca lahko sponzorirala država, morda Kitajci. Da podatki strank Equifaxa niso bili prikazani na črnem trgu, prav tako kaže, da hekerji niso bili samo kriminalci. Bloomberg poroča tudi, da so napadalci ciljali na določene posameznike, morda zaradi njihovega bogastva ali inteligentne vrednosti.
Glede na to, da je odraslo prebivalstvo ZDA okoli 250 milijonov, je velika verjetnost, da ste na kršitev vplivali. Možno je tudi, da ste že bili žrtev goljufije, saj se je napad začel pred skoraj šestimi meseci.
Equifax s sedežem v Atlanti, ena od treh velikih agencij za poročanje o potrošniških kreditih-drugi dve sta Experian PLC (London: EXPN) in TransUnion (TRU) - zbira podatke, vključno z Številke socialnega zavarovanja, številke kreditnih kartic, številke vozniških dovoljenj, podatke o plačilu najemnine in komunalnih storitev ter demografske podatke. Ker je model Equifaxa predvsem med podjetji, se mnoge njegove stranke ne zavedajo, da podjetje hrani njihove podatke. Razen tega, da se popolnoma izognete finančnemu in kreditnemu sistemu, ne obstaja preprost način, da se odjavite od shranjevanja osebnih podatkov pri Equifaxu.
Kako preveriti, ali ste bili prizadeti
Equifax je postavil a spletnem mestu kjer lahko preverite, ali so bili vaši podatki ogroženi, tako da navedete priimek in zadnjih šest številk svoje številke socialnega zavarovanja. To spletno mesto je bilo predmet hudih kritik, zato smo povezavo odstranili zaradi vprašanj glede njene varnosti. Nastavljen je bil z WordPressom, platformo za bloganje, ki ni na voljo. Nahaja se na ločeni domeni do glavnega mesta Equifaxa. Družba ni upoštevala registracije podobnih URL -jev, ki bi jih lahko uporabili za napade lažnega predstavljanja; en heker z belimi klobuki je postavil prav takšno spletno mesto, da bi dokazal to, uradni račun Equifaxa pa je tvitnil povezavo do lažnega spletnega mesta. Več kot enkrat.
Equifax je strankam ponudil - prizadete ali ne - naslednje storitve, ki ga imenuje TrustedID Premier: kopije kreditnega poročila Equifax, spremljanje kredita in avtomatizirana opozorila za vse tri glavne kreditne urade, možnost blokiranja dostopa tretjih oseb do vašega kreditnega poročila Equifax (z izjemami), spremljanje številk socialnega zavarovanja in 1 milijon dolarjev kraje identitete zavarovanje. Rok za prijavo je bil november. 21, 2017.
Družba pravi, da so vse te storitve brezplačne, vendar zamrznitev varnosti v kreditni datoteki sprva ni bila brezplačna - vsaj ne za vse. Ko sem septembra poskusil zamrzniti kreditno datoteko Equifax. 8, na spletnem mestu podjetja piše, da bo storitev stala 3,00 USD, in zahteva podatke o kreditni kartici za obdelavo plačila.
Zajem zaslona z www.freeze.equifax.com (September 8. 2017 ob 11:46 EDT).
Kot prebivalec New Yorka sem lahko brezplačno zamrznil svojo datoteko Experian. Spletno mesto TransUnion na začetku ni moglo obdelati zahteve - verjetno simptom povečanega prometa -, vendar mi je pozneje omogočilo brezplačno zamrznitev.
V izjavi po e -pošti je tiskovni predstavnik Equifaxa za Investopedia povedal septembra. 14, da se podjetje odpoveduje vsem stroškom zamrznitve kreditnih datotek in samodejno vrača kupcem, ki so to plačali, potem ko je bil vdor v javnost objavljen. Nova skrb - in očiten pomanjkljivost varnosti - se je zdaj pojavila v zvezi s kodami PIN, ki jih je podjetje izdalo strankam, ki so zamrznile svoja kreditna poročila. Te kode PIN, ki strankam omogočajo odmrznitev kreditnih poročil, sledijo vzorcu, ki ga je mogoče zlahka prepoznati. Tiskovni predstavnik je dejal, da morajo stranke s temi napačnimi kodami PIN poklicati 866-349-5191, da se pogovorijo z živim agentom.
Če ste po prijavi kramp dobili PIN, je vaš morda eden izmed napak. Popravljanje ni enostavno. Dvanajst klicev na linijo zjutraj septembra. 15 je dalo osem zasedenih signalov in štiri primere popolne tišine.
Seznami Equifax storitev TrustedID Premier so brezplačni brezplačno le eno leto. Tiskovni predstavnik Equifaxa je za Investopedia povedal, da podjetje ne zahteva podatkov o kreditni kartici ko se stranke prijavijo za storitev in da je podjetje ne bo samodejno obnovilo ali zaračunalo a pristojbino. Standardna obrestna mera Equifaxa za spremljanje kredita je 17 USD na mesec.
Kaj storiti, če ste prizadeti
Liz Weston, pisateljica osebnih financ v podjetju NerdWallet, ima naslednje nasvete za tiste, ki jih je prizadela kršitev Equifaxa, ki jo je z e -poštnim sporočilom delila z Investopedia: "Equifax bo dosegel žrtve in jim ponudil kreditno spremljanje. Žrtve se morajo prepričati, da jim privolitev v spremljanje ne preprečuje, da bi se pridružili tožbam ali drugim dejanjem. "
Sprva stran s pogoji storitve TrustedID Premier (arhivirana različica) je v resnici od uporabnikov zahteval, da se odrečejo svoji pravici, da se pridružijo skupinski tožbi proti Equifaxu: "S privolitvijo, da svoje zahtevke predložite arbitraži, boste izgubili Vaša pravica, da vložite ali sodelujete v kateri koli skupinski tožbi (bodisi kot imenovani tožnik ali član razreda) ali sodelujete pri vseh nagradah za skupinsko tožbo, vključno s tožbami v razredu kadar razred še ni certificiran, čeprav so dejstva in okoliščine, na katerih temeljijo trditve, že nastali ali so obstajali. "Po odzivu je podjetje Stran s pogostimi vprašanji je bil posodobljen tako, da je klavzula veljala za storitev TrustedID Premier, ne pa za kramp. Septembra zjutraj. 12, pogoji storitve ne vključujejo več arbitražna klavzula.
Weston pravi, da bi morale prizadete stranke razmisliti o zamrznitvi svojih kreditnih poročil v vseh treh večjih birojih. Kot je navedeno zgoraj, lahko kreditni uradi zaračunajo pristojbine za začetek zamrznitve. Morda vam bomo zaračunali tudi odmrzovanje računov, ko potrebujete preverjanje kreditne sposobnosti (na primer za storitev mobilne telefonije). Te pristojbine so običajno manjše od 10 USD, vendar se lahko seštejejo. Weston ugotavlja, da je druga možnost, da v svojih kreditnih poročilih na treh kreditnih uradih postavite opozorilo o goljufiji.
Odziv Equifaxa
Takratni predsednik in izvršni direktor Equifaxa Richard Smith je po krampanju dejal, da je "očitno razočaranje incident za naše podjetje in tisti, ki zadene v srce, kdo smo in kaj počnemo. "Odstopil je septembra 26 in ne bodo prejeli bonusa za leto 2017. Njegov odhod je sledil odhodu vodje varnostne službe Susan Mauldin in glavnega informacijskega direktorja Davida Webba septembra. 14.
Nekaj dni po tem, ko je podjetje interno odkrilo vdor - in preden je bila kršitev razkrita v javnosti - finančni direktor Equifaxa John Gamble, njen predsednik rešitev za delovno silo Rodolfo Ploder in njegov predsednik ameriških informacijskih rešitev Joseph Loughran sta prodala svoje delnice Equifaxa. Equifax je v izjavi dejal, da vodstveni delavci niso vedeli za kršitev, ko so prodali svoje delnice. Gamble, Ploder in Loughran skupaj zaslužil skoraj 1,8 milijona dolarjev od prodaje.
Od februarja 28. je delnica Equifaxa padla za 20,1% glede na zaključek septembra. 7 (preden je bil napovedan kramp) do 113,00 USD. Po več zamudah Equifax pravi, da bo po zaključku marca poročal o zaslužku v četrtem četrtletju. 1.
Naj se tožbe začnejo
Reuters je poročal septembra. 11, da je bilo proti Equifaxu na ameriških sodiščih vloženih več kot 30 tožb, od katerih jih je veliko zahtevalo skupinsko tožbo. Številni trdijo o kršitvah zakona o vrednostnih papirjih; drugi obtožujejo TrustedID, da ponuja drage storitve strankam, na katere je vplivala kršitev podatkov. Pet prebivalcev Utaha je tožilo podjetje na okrožnem sodišču v ZDA, ker ni zaščitilo občutljivih podatkov strank. Tožba zahteva denarno odškodnino v višini 5 milijard dolarjev in uvedbo strožjih industrijskih standardov.
Nekaj prizadetih strank ubira manj tradicionalno pot pri iskanju možnosti pri Equifaxu. The DoNotPay chatbot nudi pomoč pri vložitvi pritožbe na državnih sodiščih za male zahtevke, kjer se najvišje kazni gibljejo od 2.500 do 25.000 USD. Bot lahko ustvari le papirje za tožbo, ne pa ga dejansko vloži ali se pojavi na sodišču rob.
Septembra sta FBI in ameriški tožilec John Horn s sedežem v Atlanti napovedala kazensko preiskavo. 18. Urad za varstvo potrošnikov in 34 državnih pravobranilcev opravljajo preiskave.
G. Smith gre v Washington
Oktobra 3 nekdanji izvršni direktor Richard Smith je pričal pred pododborom House Digital Digital Commerce and Consumer Protection. Večkrat se je opravičil za neuspeh Equifaxa pri zaščiti podatkov potrošnikov in se soočal z vrsto vprašanj v zvezi s kršitvijo in odzivom Equifaxa. Delnice družbe so po pričevanju zrasle, vendar so ostale precej pod nivoji, na katerih se je trgovalo, preden je bil razkrit hack.
Kot odgovor na vprašanja v zvezi s sporno arbitražno klavzulo, ki je bila sprva vključena v pogoje storitve podjetja TrustedID Premier, je Smith dejal, da je klavzula "okvirna" nikoli ni nameraval veljati za kršitev in je njeno vključitev označil za "napako". Enako ne bi rekel o podobnih klavzulah, ki urejajo druge storitve Equifax, ki jih je poklical "standard".
Pod drobnogled je prišla tudi sumljivo časovna prodaja delnic: Rep. Jan Schakowsky, demokrat iz Illinoisa, je dejal, da prodaja "ne prenese preizkusa vonja", Smith pa je dejal, "kolikor mi je znano, takrat niso vedeli" za kršitev.
Smith je kršitev opisal kot posledica človeške napake in tehnološke napake: oseba, zadolžena za krpanje programske opreme Apache Struts - ki je imel javno znano ranljivost, ki so jo napadalci izkoristili - tega ni storil, in skener, ki bi družbo opozoril tudi na to napako ni uspelo.
Kritičen je bil tudi kritičen odziv podjetja na krizo: vzpostavitev spletnega mesta WordPress s sumljivim URL -jem, pri čemer ni bilo mogoče zavarovati podobnih domen (in celo usmerjanje strank na eno od teh področij), ki niso ustrezno zaposlile klicnih centrov in na splošno ustvarile vtis, da je podjetje - ki obstaja za zbiranje, varovanje in prodajo občutljivih podatkov - popolnoma nepripravljeno na kibernetski napad na svoje podatkovnih zbirk. Rep. Markwayne Mullin, republikanec iz Oklahome, je Smithu dejal, da bi moral biti njegov odziv podoben požaru požarnega alarma: "takoj pride na svoje mesto." Smith je odgovoril, da mu je sledila "ekipa protokol. "Več predstavnikov je omenilo, da je Smith avgusta, ko je vedel za kršitev.
Smith ni želel odgovarjati na vprašanja o viru napada, vključno s tem, ali gre morda za državnega akterja. Povedal je preprosto, da FBI vodi preiskavo. V svojem mandatu je zagovarjal naložbe Equifaxa v kibernetsko varnost in dejal, da ob prihodu pred dvanajstimi leti v varstvo podatkov praktično ni bilo vlaganj. Družba je porabila četrt milijarde dolarjev in najela 225-člansko ekipo za varovanje podatkov podjetja, je dejal Smith, ki je v kibernetsko varnost vložil 10-14% IT-proračuna podjetja.
Nekateri predstavniki so navedli, da je kršitev odprla temeljna vprašanja o vlogi industrije spremljanja kreditov in pravicah potrošnikov. "Kaj pa, če se želim odločiti za Equifax?" Je vprašal Schakowski. Smith je odgovoril, "da to zahteva veliko širšo razpravo o vlogi agencij za poročanje o kreditih." Rep. Tonko, newyorški demokrata, je ponovil mnenje in poudaril, da v resnici ni "stranka", saj se nikoli ni odločil za poslovanje z Equifaxom. "Zakaj je dovoljeno, da to podjetje še naprej obstaja?" je vprašal. Smith se je na različnih točkah spraševal o vrednosti številk socialnega zavarovanja kot načina za dokazovanje identitete in se nejasno skliceval na "vračanje moči potrošniku".
Največje vprašanje dneva je prišla iz demokracije iz Kalifornije Doris Matsui: "Ali imam svoje podatke?"Smith ni mogel odgovoriti.
