Blev jag hackad? Ta reda på om Equifax -intrånget påverkar dig

Equifax Inc. (EFX) tillkännagavs i sept. 7, 2017 att 143 miljoner av sina kunder drabbades av ett hack som inträffade mellan mitten av maj och juli. Den siffran höjdes till 145,5 miljoner under de följande veckorna, sedan till 147,9 miljoner den mars. 1, 2018, när företaget sa att det hade identifierat 2,4 miljoner ytterligare offer.

Efter stängning av marknaden samma dag redovisade företaget finansiella resultat för fjärde kvartalet och för helåret. Företagets intäkter under fjärde kvartalet ökade med 5% från föregående år till 838,5 miljoner dollar. Nettoresultatet under kvartalet ökade med 40% från föregående år till $ 172,3 miljoner. Helårsintäkter och vinster ökade också jämfört med 2016: intäkterna ökade med 7% till 3,4 miljarder dollar, medan nettoresultatet ökade med 20% till 587,3 miljoner dollar. Företaget sa att hacket hade kostat det 26,5 miljoner dollar under det fjärde kvartalet och 114,0 miljoner dollar under hela året, efter försäkringsutbetalningar. Aktien, som stängde 1,3% i linje med S&P 500, stiger i skrivande stund med 0,6% i handeln efter handel.

Så många som 209 000 kunders kreditkortsnummer avslöjades, enligt Equifax, och tvistdokument relaterade till 182 000 amerikanska konsumenter - som inkluderar personlig information - äventyrades. Brittiska konsumenter har också drabbats av överträdelsen. det är möjligt att några kanadensare äventyrades. Enligt Wall Street Journal, med hänvisning till en namngiven källa, var 10,9 miljoner amerikaners körkortdata stulna i brottet.

Företaget hade känt till attacken sedan den 29 juli, men väntade över en månad för att varna allmänheten. Den sept. 20 var det rapporterad att Mandiant, FireEye Inc. (FEYE) dotterbolag som kontrakterats av Equifax, uppskattar överträdelsen hittills till 10 mars.

Det finns lite information om källan till attacken, som utreds av FBI, men enligt Bloomberg, likheter med tidigare attacker mot Office of Personal Management och Anthem Inc. föreslår att angriparen kan vara statligt sponsrad, kanske kinesisk. Att Equifax -kunders information inte har visat sig på den svarta marknaden tyder också på att hackarna inte bara var kriminella. Bloomberg rapporterar också att angriparna riktade sig mot specifika individer, kanske på grund av deras rikedom eller intelligensvärde.

Med tanke på att den vuxna befolkningen i USA är cirka 250 miljoner är chansen stor att du påverkades av överträdelsen. Det är också möjligt att du redan har utsatts för bedrägeri sedan attacken började för nästan sex månader sedan.

Atlanta-baserade Equifax, en av de tre stora konsumentkrediteringsbyråerna-de andra två är Experian PLC (London: EXPN) och TransUnion (TRU) - samlar in data inklusive Personnummer, kreditkortsnummer, körkort, hyres- och betalningsinformation samt demografiska data. Eftersom Equifax modell i första hand är business-to-business är många av dess kunder inte medvetna om att deras data lagras av företaget. Förutom att helt undvika finans- och kreditsystemet finns det inget enkelt sätt att välja bort att ha personuppgifter lagrade av Equifax.

Så här kontrollerar du om du påverkades

Equifax har skapat en webbplats där du kan kontrollera om din information äventyrades genom att ange ditt efternamn och de sex sista siffrorna i ditt personnummer. Denna webbplats har utsatts för intensiv kritik, och vi har tagit bort länken på grund av frågor om dess säkerhet. Det installerades med WordPress, en hyllplattform för bloggning. Det är inrymt på en separat domän till Equifax huvudplats. Företaget försummade att registrera liknande webbadresser, som kan användas för nätfiskeattacker. en white hat -hackare inrättade just en sådan webbplats för att bevisa en poäng, och ett officiellt Equifax -konto twittrade ut länken till den falska sajten. Mer än en gång.

Equifax erbjöd kunder - påverkade eller inte - följande tjänster, som den kallar TrustedID Premier: kopior av en Equifax -kreditrapport, kreditövervakning och automatiserade varningar för alla tre stora kreditbyråerna, möjlighet att blockera tredjeparts åtkomst till din Equifax-kreditrapport (med undantag), övervakning av personnummer och 1 miljon dollar i identitetsstöld försäkring. Sista ansökningsdag var nov. 21, 2017.

Företaget säger att dessa tjänster är alla gratis, men att placera en säkerhetsfrysning på en kreditfil var inte initialt gratis - åtminstone inte för alla. När jag försökte frysa en Equifax -kreditfil i september. 8, sa företagets webbplats att tjänsten skulle kosta $ 3,00 och bad om kreditkortsinformation för att behandla betalningen.

Ett skärmgrepp från www.freeze.equifax.com (Sept. 8, 2017 kl. 11:46 EDT).

Som invånare i New York kunde jag gratis frysa min Experian -fil. TransUnions webbplats kunde inte behandla begäran från början - troligen ett symptom på ökad trafik - men tillät mig senare att ställa in en frys gratis.

I ett e -postmeddelande berättade en talesman för Equifax för Investopedia i september. 14 att företaget avstår från alla avgifter för att frysa kreditfiler och återbetalar automatiskt kunder som betalade för att göra det efter att hacket offentliggjordes. En ny oro - och tydlig bortfall av säkerhet - har nu uppstått kring de PIN -koder som företaget utfärdade till kunder som hade fryst sina kreditupplysningar. Dessa PIN -koder, som tillåter kunder att frigöra kreditupplysningar, följer ett lätt identifierbart mönster. Talesmannen sa att kunder med dessa felaktiga PIN-koder måste ringa 866-349-5191 för att tala med en levande agent.

Om du fick en PIN -kod efter att ha rapporterat hacket kan din vara en av de felaktiga. Att ha det fixat är inte lätt. Tolv samtal till linjen på morgonen i september. 15 gav åtta upptagna signaler och fyra fall av total tystnad.

TrustedID Premier -tjänsterna Equifax -listor är gratis bara gratis i ett år. En talesperson för Equifax sa till Investopedia att företaget inte begär information om kreditkort när kunder registrerar sig för tjänsten och att företaget inte automatiskt kommer att förnya den eller debitera en avgift. Equifax standardränta för kreditövervakning är $ 17 per månad.

Vad du ska göra om du drabbades

Liz Weston, personskribent på NerdWallet, har följande råd för dem som drabbats av Equifax -intrånget, som hon delade med Investopedia i ett mejl: "Equifax kommer att nå ut till offren och erbjuda dem kreditövervakning. Offer bör se till att godkännande av övervakningen inte hindrar dem från att gå med i stämningar eller andra åtgärder på vägen. "

Inledningsvis TrustedID Premier -användarvillkoren (arkiverad version) krävde i själva verket användare att avstå från sin rätt att gå med i en grupptalan mot Equifax: "Genom att samtycka till att lämna dina krav till skiljedom förverkar du Din rätt att väcka eller delta i grupptalan (antingen som en namngiven målsägande eller en gruppmedlem) eller att ta del av alla grupptalan, inklusive gruppkrav där en klass ännu inte har certifierats, även om de fakta och omständigheter som kraven bygger på redan har inträffat eller existerat. "Efter en motreaktion, företagets FAQ -sida uppdaterades för att säga att klausulen gällde TrustedID Premier -tjänsten, inte hacket. Från och med morgonen i sept. 12, användarvillkoren inkludera inte längre en skiljedomsklausul.

Weston säger att drabbade kunder bör överväga att frysa sina kreditupplysningar på alla tre stora byråer. Som nämnts ovan kan kreditbyråer ta ut avgifter för att påbörja frysningen. Du kan också debiteras för avfrysning av konton när du behöver en kreditkontroll (till exempel för att ansöka om mobiltelefontjänst). Dessa avgifter är i allmänhet mindre än $ 10, men de kan summeras. Weston noterar att ett annat alternativ är att placera en bedrägerivarning på dina kreditrapporter på de tre kreditbyråerna.

Equifax svar

Equifax dåvarande ordförande och VD, Richard Smith, sa efter hacket att det var "klart en besvikelse incident för vårt företag, och en som slår i hjärtat av vem vi är och vad vi gör. ”Han klev av den sept. 26 och får ingen bonus för 2017. Hans avgång följde på säkerhetschefen Susan Mauldins och informationschefens David Webb i september. 14.

Några dagar efter att företaget avslöjade hacket internt - och innan överträdelsen avslöjades för allmänheten - Equifax ekonomichef John Gamble, dess president för arbetskraftslösningar Rodolfo Ploder, och dess president för amerikanska informationslösningar Joseph Loughran sålde sina Equifax -aktier. Equifax sade i ett uttalande att cheferna inte visste om överträdelsen när de sålde sina aktier. Gamble, Ploder och Loughran tillsammans tjänade nästan 1,8 miljoner dollar från försäljningen.

Från och med feb. 28, har Equifax aktie sjunkit 20,1% från slutet av september. 7 (innan hacket tillkännagavs) till $ 113,00. Efter flera förseningar säger Equifax att det kommer att rapportera resultat för fjärde kvartalet efter stängning i mars. 1.

Låt rättegångarna börja

Reuters rapporterade i september. 11 att mer än 30 stämningar - många av dem som söker grupptalan - har väckts mot Equifax vid amerikanska domstolar. Flera påstår brott mot värdepapperslagen; andra anklagar TrustedID för att ställa dyra tjänster till kunder som påverkades av dataintrånget. Fem invånare i Utah har stämt företaget i USA: s tingsrätt för underlåtenhet att skydda kundernas känsliga uppgifter. Stämningen kräver ekonomiska skadestånd på 5 miljarder dollar och införandet av strängare industristandarder.

Några drabbade kunder tar en mindre traditionell väg för att söka hjälp från Equifax. De DoNotPay chatbot ger hjälp med att lämna in ett klagomål till statliga småmålsdomstolar, där maximala påföljder sträcker sig från $ 2500 till $ 25 000. Boten kan bara generera pappersarbete för en stämning, faktiskt inte lämna in den eller dyka upp i domstol, enligt gränsen.

FBI och Atlanta-baserade amerikanska advokaten John Horn tillkännagav en brottsutredning av överträdelsen i september. 18. Consumer Financial Protection Bureau och 34 statsadvokater gör allmänna förfrågningar.

Smith går till Washington

Den okt. 3 tidigare vd Richard Smith vittnade inför House Digital Commerce och konsumentskyddskommittén. Han bad flera gånger om ursäkt för Equifax misslyckande med att skydda konsumentdata och ställde frågor om en rad frågor relaterade till överträdelsen och Equifax svar. Företagets aktie steg efter vittnesmålen, men förblev långt under de nivåer det handlade på innan hacket avslöjades.

Som svar på frågor om den kontroversiella skiljedomsklausulen som ursprungligen ingick i TrustedID Premier användarvillkor, sa Smith att "pannplattan" -klausulen var hade aldrig för avsikt att gälla överträdelsen och kallade dess införande ett "misstag". Han skulle inte säga samma sak om liknande klausuler för andra Equifax -tjänster, som han kallade "standard."

Misstänkt tidsinställd försäljning av ledande aktier kom också till granskning: Rep. Jan Schakowsky, en Illinois -demokrat, sa att försäljningen "inte klarar luktprovet", men Smith averred, "så vitt jag vet visste de inte" om brottet vid den tiden.

Smith beskrev överträdelsen som ett resultat av mänskliga misstag och ett tekniskt misslyckande: den person som ansvarar för att se till att patchera Apache Struts -programvaran - som hade en allmänt känd sårbarhet som angriparna utnyttjade - misslyckades med att göra det, och en skanner som skulle ha larmat företaget om det felet också misslyckades.

Företagets fläckande svar på krisen kom också in för kritik: att skapa en WordPress -webbplats med en misstänkt URL, misslyckas med att säkra liknande domäner (och till och med hänvisa kunder till en av dessa domäner), misslyckas med att bemanna kundcentraler på ett adekvat sätt, och generellt skapa intryck av att företaget - som finns för att samla in, säkra och sälja känslig data - var helt oförberett på en cyberattack på sin databaser. Rep. Markwayne Mullin, en republikan i Oklahoma, sa till Smith att hans svar borde ha varit som att dra ett brandlarm: "det går omedelbart på plats." Smith svarade att hans lag "följde efter Flera representanter nämnde att Smith höll ett tal som beskriver bedrägerier som en "enorm möjlighet" och en "massiv, växande verksamhet" i augusti - efter att han visste om brott.

Smith vägrade svara på frågor om källan till attacken, inklusive om det kan vara en statlig aktör. Han sa helt enkelt att FBI genomför en utredning. Han försvarade Equifax investeringar i cybersäkerhet under sin tjänst och sa att när han kom för tolv år sedan så var det praktiskt taget ingen investering i dataskydd. Företaget spenderade en kvart miljard dollar och anställde ett team på 225 personer för att säkra företagets data, sa Smith och investerade branschstandarden 10-14% av företagets IT-budget i cybersäkerhet.

Vissa representanter angav att överträdelsen har öppnat grundläggande frågor om kreditövervakningsindustrins roll och konsumenternas rättigheter. "Tänk om jag vill välja Equifax?" Frågade Schakowski. Smith svarade, "det kräver en mycket bredare diskussion kring kreditupplysningsföretagens roll." Rep. Tonko, en demokrat i New York, upprepade känslan och påpekade att han egentligen inte är en "kund", eftersom han aldrig har valt att göra affärer med Equifax. "Varför får detta företag fortsätta att existera?" han frågade. Vid olika punkter ifrågasatte Smith värdet på personnummer som ett sätt att bevisa identitet och gjorde vaga hänvisningar till att ge "makt tillbaka till konsumenten".

Dagens största fråga kom från Kaliforniens demokrat Doris Matsui: "Äger jag mina uppgifter?"Smith kunde inte svara.