Sem bil heker? Ugotovite, ali vas kršitev eksifaksa prizadene

Podjetje Equifax Inc. (EFX) je 7. septembra 2017 sporočilo, da je med sredi maja in julija prišlo do trka na 143 milijonov kupcev. Ta številka se je v naslednjih tednih zvišala na 145, 5 milijona, nato na 1. marca 2018 na 147, 9 milijona, ko je družba navedla, da je odkrila 2, 4 milijona dodatnih žrtev.

Potem ko se je trg istega dne zaprl, je podjetje poročalo o finančnih rezultatih v četrtletju in celoletnem obdobju. Prihodki družbe v četrtem četrtletju so se povišali za 5% na 838, 5 milijona USD. Čisti dohodek v četrtletju se je medletno povečal za 40%, na 172, 3 milijona dolarjev. Celoletni prihodki in dobički so se prav tako povečali v primerjavi z letom 2016: prihodki so se povečali za 7% na 3, 4 milijarde USD, čisti dohodek pa se je povečal za 20% na 587, 3 milijona dolarjev. Družba je povedala, da ga je hack v četrtem četrtletju stalo 26, 5 milijona dolarjev, v celotnem letu pa 114, 0 milijona dolarjev, brez izplačil zavarovanja. Zaloga, ki se je v skladu s S&P 500 zaprla za 1, 3%, se je v času pisanja posla zvišala za 0, 6%.

Po podatkih portala Equifax je bilo izpostavljenih kar 209.000 številk kreditnih kartic strank, ogroženi pa so bili dokumenti o sporih v zvezi z 182.000 ameriškimi potrošniki - ki vključujejo osebne podatke. Kršitev so prizadeli tudi britanski potrošniki; možno je, da so bili nekateri Kanadci ogroženi. Kot poroča Wall Street Journal, ki navaja neimenovani vir, je bilo v kršitvi ukradeno 10, 9 milijona ameriških vozniških podatkov.

Družba je za napad vedela od 29. julija, a je čakala več kot mesec dni, da je opozorila javnost. 20. septembra je bilo objavljeno, da Mandiant, podružnica FireEye Inc. (FEYE), ki jo je sklenil Equifax, ocenjuje, da je bila kršitev zajeta vsaj 10. marca.

Glede izvora napada je malo informacij, ki jih preiskuje FBI, toda po navedbah Bloomberga podobnosti kot prejšnji napadi na Urad za upravljanje osebja in Anthem Inc. kažejo, da bi napadalca lahko sponzorirala država, morda Kitajce. Da podatki kupcev podjetja Equifax na črnem trgu niso prikazani, tudi kažejo, da hekerji niso bili preprosto kriminalci. Bloomberg poroča tudi, da so napadalci ciljali na določene posameznike, morda zaradi njihovega bogastva ali inteligence.

Glede na to, da je odraslih prebivalcev ZDA približno 250 milijonov, obstaja velika verjetnost, da ste bili zaradi kršitve prizadeti. Možno je tudi, da ste že bili žrtev goljufije, saj se je napad začel pred skoraj pol leta.

Atlantska družba Equifax, ena od treh velikih agencij za poročanje o potrošniških kreditih - druga dva sta Experian PLC (London: EXPN) in TransUnion (TRU) - zbira podatke, vključno s številkami socialnega zavarovanja, številkami kreditnih kartic, številk vozniških dovoljenj, najemninami in pripomočki podatke o plačilu in demografske podatke. Ker je Equifaxov model predvsem za podjetja, se mnogi njegovi kupci ne zavedajo, da njihove podatke hrani podjetje. Poleg tega, da se v celoti izognemo finančnemu in kreditnemu sistemu, ni nobenega preprostega načina, da ne bi mogli hraniti osebnih podatkov, ki jih hrani Equifax. (Glej tudi 5 največjih kramp podatkov o kreditnih karticah v zgodovini. )

Kako preveriti, če ste bili prizadeti

Equifax je vzpostavil spletno mesto, kjer lahko preverite, ali so bili vaši podatki ogroženi, tako da navedete svoj priimek in zadnjih šest številk vaše številke socialnega zavarovanja. To spletno mesto je bilo predmet kritičnih kritik, povezavo pa smo odstranili zaradi vprašanj v zvezi z njegovo varnostjo. Nastavili so ga z uporabo WordPress-a, izvirne platforme za bloganje. Nahaja se na ločeni domeni do glavnega mesta Equifax. Podjetje je zanemarilo registracijo podobnih URL-jev, ki bi jih lahko uporabili za phishing napade; en heker za beli klobuk je postavil prav takšno spletno mesto, da bi dokazal poanto, in uradni račun Equifaxa je tvitnil povezavo do ponarejenega spletnega mesta. Več kot enkrat.

Podjetje Equifax je strankam, ki jih prizadenejo ali ne, ponudilo naslednje storitve, ki jih imenuje TrustedID Premier: kopije kreditnega poročila Equifax, spremljanje kreditnega stanja in samodejna opozorila za vse tri glavne kreditne biroje, možnost blokiranja dostopa tretjih oseb do vašega kreditnega poročila Equifax (z izjemami), spremljanje številk socialnega zavarovanja in 1 milijon dolarjev zavarovanja za krajo identitete. Rok za prijavo je bil 21. november 2017.

V podjetju pravijo, da so te storitve brezplačne, vendar dajanje varnostne zamrznitve na kreditno datoteko sprva ni bilo brezplačno - vsaj ne za vse. Ko sem 8. septembra poskušal zamrzniti kreditno datoteko Equifax, je spletna stran podjetja dejala, da bo storitev stala 3, 00 dolarja, in zahtevala podatke o kreditni kartici za obdelavo plačila.

Zaslon zaslona z www.freeze.equifax.com (8. septembra 2017 ob 11:46 EDT).

Kot prebivalka New Yorka sem lahko brezplačno postavil svoj zapisnik v datoteko Experian. Spletna stran TransUniona ni mogla prvotno obdelati zahteve - verjetno simptom povečanega prometa -, a pozneje mi je omogočila brezplačno zamrznitev.

V izjavi po elektronski pošti je tiskovni predstavnik podjetja Equifax za Investopedijo 14. septembra povedal, da se podjetje odpoveduje vsem stroškom zamrznitve kreditnih datotek in kupcem, ki so to plačali po objavi kramp, samodejno povrne. Zdaj se je pojavila nova zaskrbljenost - in očiten iztek varnosti - okoli PIN-jev, ki jih je družba izdala strankam, ki so zamrznile njihova kreditna poročila. Te kode PIN, ki strankam omogočajo odmrzovanje kreditnih poročil, sledijo zlahka prepoznavnemu vzorcu. Tiskovni predstavnik je povedal, da morajo stranke s temi napačnimi kodami PIN poklicati 866-349-5191, da se pogovorijo z živim agentom.

Če ste po prijavi krame dobili PIN, je morda eden izmed napak. Popraviti ga ni enostavno. Dvanajst klicev na linijo zjutraj 15. septembra je oddalo osem prometnih signalov in štiri primere popolne tišine.

Storitve TrustedID Premier Equifax navajajo kot brezplačne samo eno leto. Tiskovni predstavnik podjetja Equifax je za Investopedia povedal, da podjetje ne zahteva podatkov o kreditnih karticah, ko se stranke prijavijo na storitev in da jih podjetje ne bo samodejno obnovilo ali zaračunalo pristojbine. Standardna stopnja Equifaxa za spremljanje kreditne sposobnosti je 17 dolarjev na mesec.

Kaj storiti, če ste bili prizadeti

Liz Weston, osebna pisateljica financ v podjetju NerdWallet, ima naslednje nasvete za tiste, ki jih je prizadela kršitev Equifaxa, ki jih je z e-poštnim sporočilom delila z Investopedijo: "Equifax bo dosegel žrtve in jim ponudil kreditno spremljanje. Žrtve bi morale poskrbeti, da bodo če se strinjajo s spremljanjem, jim to ne preprečuje, da bi se pridružili tožbam ali drugim dejanjem. "

Na začetku je stran s pogoji storitve TrustedID Premier (arhivirana različica) dejansko zahtevala, da se uporabniki odpovejo svoji pravici, da se pridružijo razredni tožbi proti Equifaxu: "S soglasjem za predložitev zahtevkov v arbitražo boste odvzeli pravico, da vložite ali sodelujete v katerem koli razredu tožbe (bodisi kot imenovani tožnik ali razrednik) ali deliti kakršne koli nagrade za razredne tožbe, vključno z zahtevki za razred, kjer razred še ni bil potrjen, čeprav so dejstva in okoliščine, na katerih temeljijo zahtevki, že nastali ali obstajal. " Po povratnem vklopu je bila stran s pogostimi vprašanji podjetja posodobljena, da je klavzula veljala za storitev TrustedID Premier in ne za kramp. Od 12. septembra zjutraj pogoji vročitve ne vključujejo več arbitražne klavzule.

Weston pravi, da bi morali prizadeti kupci razmisliti o zamrznitvi svojih kreditnih poročil na vseh treh glavnih birojih. Kot že omenjeno, lahko kreditni biroji zaračunajo pristojbine za začetek zamrznitve. Prav tako vam lahko zaračunamo odmrzovanje računov, ko potrebujete kreditni ček (na primer za prijavo na storitev mobilnih telefonov). Te pristojbine so običajno manjše od 10 USD, vendar se lahko seštejejo. Weston ugotavlja, da je na treh kreditnih uradih možno opozoriti tudi na vaša kreditna poročila. (Če želite več, glejte Kako se povrniti od kraje identitete .)

Na voljo so tudi druge storitve spremljanja kreditne sposobnosti, ki jih ne sponzorira Equifax. Storitve zaščite pred krajo identitete: Vrednost ">

Odziv Equifaxa

Takratni predsednik in izvršni direktor podjetja Equifax Richard Smith je po krampju dejal, da je to "očitno razočaralen incident za naše podjetje in tisti, ki v srce zadene, kdo smo in kaj počnemo". Odstopil je 26. septembra in ne bo dobil dodatka za leto 2017. Njegov odhod je sledil odhodom glavne varnostne direktorice Susan Mauldin in glavnega informacijskega direktorja Davida Webba 14. septembra.

Nekaj ​​dni po tem, ko je podjetje odkrilo kramp v notranjosti - in preden je bila kršitev razkrita javnosti - je glavni finančni direktor podjetja Equifax John Gamble, njen predsednik rešitev za delovno silo Rodolfo Ploder in njegov predsednik ameriških informacijskih rešitev Joseph Loughran prodal svoje delnice Equifax. Equifax je v izjavi dejal, da izvršitelji niso vedeli za kršitev, ko so prodali svoje zaloge. Gamble, Ploder in Loughran so skupaj zaslužili skoraj 1, 8 milijona dolarjev prodaje.

Od 28. februarja je delnica Equifaxa padla za 20, 1% od zapiranja 7. septembra (še preden je bil napovedan kramp) na 113, 00 USD. Po več zamudah iz Equifaxa pravijo, da bodo po zaključku 1. marca poročali o zaslužku v četrtem četrtletju.

Naj se začnejo tožbe

Reuters je 11. septembra poročal, da je bilo na ameriških sodiščih zoper družbo Equifax vloženih več kot 30 tožb - od katerih jih je bilo veliko, ki so zahtevale razredno tožbo. Več domnevnih kršitev zakonodaje o vrednostnih papirjih; drugi obtožujejo TrustedID, da je kupil drage storitve strankam, ki jih je prizadela kršitev podatkov. Pet prebivalcev Utaha je tožilo družbo na ameriškem okrožnem sodišču, ker ni zaščitilo občutljivih podatkov strank. Tožba želi denarno škodo v višini 5 milijard dolarjev in naložitev strožjih industrijskih standardov.

Nekaj ​​prizadetih kupcev se zavzema za manj tradicionalne poti pri iskanju regresa pri Equifaxu. Klepet DoNotPay nudi pomoč pri vložitvi pritožbe na državnih sodiščih za majhne zahtevke, kjer najvišje kazni znašajo od 2.500 do 25.000 dolarjev. Vert lahko ustvari papir samo za tožbo, ne pa ga dejansko vloži ali se pojavi na sodišču, trdi Verge.

Ameriški državni tožilec FBI in ameriški pravobranilec John Horn sta 18. septembra napovedala kazensko preiskavo kršitve. Poizvedovanja vodijo Urad za finančno zaščito potrošnikov in 34 državnih državnih pravobranilcev.

G. Smith odhaja v Washington

3. oktobra je nekdanji predsednik uprave Richard Smith pričal pred pododborom za digitalno trgovino in zaščito potrošnikov. Večkrat se je opravičil, ker podjetje Equifax ni zaščitilo podatkov o potrošnikih, in se soočil z vprašanji glede številnih vprašanj, povezanih s kršitvijo in odgovorom Equifaxa. Delnice družbe so se po pričevanju zvišale, vendar so ostale precej pod nivoji, s katerimi je trgovalo, preden je bil hek razkrit.

Kot odgovor na vprašanja v zvezi s sporno arbitražno klavzulo, ki je bila prvotno vključena v pogoje storitve TrustedID Premier, je Smith dejal, da klavzula o "kotlovski plošči" ni nikoli namenjena kršitvi in ​​da je vključitev "napaka". Ne bi rekel enako od podobnih klavzul, ki urejajo druge storitve Equifaxa, ki jih je imenoval "standardne".

Pod drobnogledom je bila pod nadzorom tudi sumljivo tempirana prodaja zalog: poslanec Jan Schakowsky, Illinois demokrat, je dejal, da prodaja "ne opravi preskusa vonja", vendar se je Smith po mojem mnenju odpovedal, "saj o tem niso vedeli" kršitev v tistem času.

Smith je kršitev opisal kot posledico človeške napake in tehnološke napake: oseba, zadolžena za varovanje programske opreme Apache Struts - ki je imela javno znano ranljivost, ki so jo napadalci izkoristili - tega ni storila, in skener, ki bi imel podjetje je opozoril, da napaka tudi ni uspela.

Nenapoveden odziv podjetja na krizo je naletel tudi na kritiko: vzpostavitev spletnega mesta WordPress s sumljivim URL-jem, neuspešno varovanje podobnih domen (in celo usmerjanje strank na eno od teh domen), neuspeh v ustreznih klicnih centrih osebja in na splošno ustvarjanje vtis, da je podjetje - ki obstaja za zbiranje, varovanje in prodajo občutljivih podatkov - popolnoma nepripravljeno na kibernetski napad na svoje baze podatkov. Veleposlanik Markwayne Mullin, republikanec iz Oklahome, je povedal Smithu, da bi moral biti odziv, kot da bi sprožil požarni alarm: "takoj začne." Smith je odgovoril, da je njegova ekipa "sledila protokolu". Več predstavnikov je omenilo, da je Smith govoril, da je goljufijo opisal kot "ogromno priložnost" in "ogromen, naraščajoč posel" avgusta - potem ko je vedel za kršitev.

Smith ni hotel odgovoriti na vprašanja o izvoru napada, vključno s tem, ali gre morda za državnega akterja. Rekel je preprosto, da FBI vodi preiskavo. V času svojega mandata je zagovarjal naložbe podjetja Equifax v kibernetsko varnost in dejal, da ob prihodu pred dvanajstimi leti v varstvo podatkov praktično ni bilo naložb. Družba je porabila četrt milijarde dolarjev in najela ekipo z 225 osebami, da bi zagotovila podatke o podjetju, je dejal Smith, ki je v spletno varnost vlagal 10-14% IT-jevega proračuna v panogo.

Nekateri predstavniki so navedli, da je kršitev odprla temeljna vprašanja o vlogi panoge kreditnega spremljanja in pravicah potrošnikov. "Kaj pa, če se želim odločiti za Equifax?" Je vprašal Schakowski. Smith je odgovoril, "da je potrebna veliko širša razprava o vlogi agencij za poročanje o kreditnih sposobnostih." Veleposlanik Tonko, newyorški demokrat, je izrazil svoje mnenje in poudaril, da v resnici ni "stranka", saj se nikoli ni odločil za poslovanje s podjetjem Equifax. "Zakaj je dovoljeno, da ta družba še naprej obstaja?" je vprašal. Na različnih točkah je Smith podvomil o vrednosti številk socialnega zavarovanja kot načinu dokazovanja identitete in navedel nejasne navedbe o vračanju moči potrošniku.

Največje vprašanje dneva je postavilo kalifornijsko demokratko Doris Matsui: "Ali imam svoje podatke?" Smith ni mogel odgovoriti. (Glejte tudi, da vas lahko Blockchain naredi - ne enakovreden - lastnik vaših podatkov. )