Am fost hacked? Aflați dacă vă afectează Equifax Breach

Equifax Inc. (EFX) a anunțat pe 7 septembrie 2017 că 143 milioane dintre clienții săi au fost afectați de un hack care a avut loc între jumătatea lunii mai și iulie. Această cifră a fost ridicată la 145, 5 milioane în următoarele săptămâni, apoi la 147, 9 milioane la 1 martie 2018, când compania a declarat că a identificat 2, 4 milioane de victime suplimentare.

După închiderea pieței în aceeași zi, compania a raportat rezultate financiare din trimestrul al patrulea și întregul an. Veniturile companiei din trimestrul al patrulea au crescut cu 5% an de an, la 838, 5 milioane dolari. Venitul net din trimestru a crescut cu 40% an de an, la 172, 3 milioane dolari. Veniturile și profiturile pe parcursul întregului an au crescut, de asemenea, comparativ cu 2016: veniturile au crescut cu 7%, până la 3, 4 miliarde de dolari, în timp ce venitul net a crescut cu 20%, până la 587, 3 milioane USD. Compania a spus că hackul l-a costat 26, 5 milioane dolari în trimestrul al patrulea și 114, 0 milioane dolari în întregul an, net de plățile de asigurare. Stocul, care a închis 1, 3% în conformitate cu S&P 500, este cu 0, 6% în tranzacționarea după ore la momentul scrierii.

Până la 209.000 de numere de carduri de credit ale clienților au fost expuse, conform Equifax, și documentele privind litigiile legate de 182.000 de consumatori din SUA - care includ informații personale - au fost compromise. De asemenea, consumatorii britanici au fost afectați de încălcare; este posibil ca unii canadieni să fi fost compromiși. Potrivit Wall Street Journal, care citează o sursă fără nume, 10, 9 milioane de date americane ale permisului de conducere au fost furate în încălcare.

Compania știa despre atac încă din 29 iulie, dar a așteptat peste o lună să avertizeze publicul. Pe 20 septembrie, sa raportat că Mandiant, filiala FireEye Inc. (FEYE) contractată de Equifax, estimează încălcarea până în prezent până la cel puțin 10 martie.

Există puține informații cu privire la sursa atacului, care este investigată de FBI, dar, conform Bloomberg, asemănările cu atacurile anterioare asupra Biroului de gestionare a personalului și Imn Inc. sugerează că atacatorul ar putea fi sponsorizat de stat, poate chinez. Că informațiile clienților Equifax nu au apărut pe piața neagră sugerează, de asemenea, că hackerii nu au fost pur și simplu infractori. De asemenea, Bloomberg raportează că atacatorii au vizat anumite persoane, poate datorită bogăției sau valorii lor de inteligență.

Având în vedere că populația adultă din SUA este de aproximativ 250 de milioane, șansele sunt bune să fii afectat de încălcare. Este posibil să fi fost deja victimă a fraudei, de când atacul a început în urmă cu aproape șase luni.

Equifax, cu sediul în Atlanta, una dintre cele mai mari trei agenții de raportare a creditelor de consum - celelalte două sunt Experian PLC (Londra: EXPN) și TransUnion (TRU) - colectează date inclusiv numere de securitate socială, numere de card de credit, numere de permis de conducere, chirie și utilitate informații de plată și date demografice. Deoarece modelul Equifax este în primul rând business-to-business, mulți dintre clienții săi nu știu că datele lor sunt stocate de către firmă. În afară de evitarea cu totul a sistemului financiar și de credit, nu există o modalitate simplă de a renunța la păstrarea datelor cu caracter personal stocate de Equifax. (A se vedea, de asemenea, cele mai mari 5 Hack Data Card-uri de credit din istoric. )

Cum să verificați dacă ați fost afectat

Equifax a creat un site unde puteți verifica dacă informațiile dvs. au fost compromise, dând prenumelui și ultimelor șase cifre ale numărului dvs. de securitate socială. Acest site a făcut obiectul unor critici intense și am eliminat linkul din cauza întrebărilor referitoare la securitatea acestuia. A fost înființată folosind WordPress, o platformă de bloguri off-the-raft. Acesta este găzduit pe un domeniu separat de site-ul principal al Equifax. Compania a neglijat să înregistreze adrese URL similare, care ar putea fi utilizate pentru atacuri de phishing; un hacker de pălării albe a creat doar un astfel de site pentru a demonstra un punct, iar un cont oficial Equifax a trimis linkul către site-ul fals. Mai mult de o dată.

Equifax a oferit clienților - afectați sau nu - următoarele servicii, pe care le numește TrustedID Premier: copii ale unui raport de credit Equifax, monitorizarea creditelor și alerte automatizate pentru toate cele trei birouri majore de credit, posibilitatea de a bloca accesul terților la raportul dvs. de credit Equifax. (cu excepții), monitorizarea numărului de securitate socială și 1 milion USD în asigurare de furt de identitate. Termenul limită pentru depunerea cererii a fost 21 noiembrie 2017.

Compania spune că aceste servicii sunt gratuite, însă plasarea unui îngheț de securitate într-un fișier de credit nu a fost inițial gratuită - cel puțin nu pentru toată lumea. Când am încercat să îngheț un dosar de credit Equifax pe 8 septembrie, site-ul companiei a spus că serviciul va costa 3, 00 USD și a cerut informații despre cardul de credit pentru a procesa plata.

O apucare a ecranului de pe www.freeze.equifax.com (8 septembrie 2017 la 11: 46 am EDT).

Ca rezident din New York, am putut să pun gratuit o fișă în fișierul Experian. Site-ul TransUnion nu a putut prelucra inițial cererea - probabil un simptom al traficului crescut - dar mai târziu mi-a permis să introduc gratuit o înghețare.

Într-o declarație prin e-mail, un purtător de cuvânt al Equifax a declarat la 14 septembrie la Investopedia că firma renunță la toate taxele pentru înghețarea dosarelor de credit și restituie automat clienții care au plătit acest lucru după ce hack-ul a fost făcut public. O nouă preocupare - și o scurgere clară în materie de securitate - a apărut acum în jurul codurilor PIN pe care compania le-a emis clienților care și-au înghețat rapoartele de credit. Aceste coduri PIN, care permit clienților să desfășoare rapoarte de credit, urmează un model ușor de identificat. Purtătorul de cuvânt a spus că clienții cu aceste coduri PIN defecte trebuie să sune la 866-349-5191 pentru a vorbi cu un agent live.

Dacă ați primit un cod PIN după ce ați raportat hack-ul, poate fi unul dintre cele defecte. A-l repara nu este ușor. Douăsprezece apeluri la linie în dimineața zilei de 15 septembrie au dat opt ​​semnale aglomerate și patru cazuri de liniște totală.

Serviciile TrustedID Premier listele Equifax ca fiind gratuite sunt gratuite doar un an. Un purtător de cuvânt al Equifax a declarat pentru Investopedia că compania nu solicită informații despre cardul de credit atunci când clienții se înscriu la serviciu și că compania nu o va reînnoi automat și nu va percepe o taxă. Rata standard Equifax pentru monitorizarea creditului este de 17 dolari pe lună.

Ce să faci dacă ai fost afectat

Liz Weston, scriitoare de finanțe personale la NerdWallet, oferă următoarele sfaturi pentru persoanele afectate de încălcarea Equifax, pe care a distribuit-o cu Investopedia într-un e-mail: „Equifax va contacta victimele și le va oferi monitorizarea creditului. Victimele ar trebui să se asigure că Acordul monitorizării nu-i împiedică să se alăture în procese sau alte acțiuni în drum. "

Inițial, termenii serviciului TrustedID Premier (versiunea arhivată) au cerut de fapt utilizatorilor să renunțe la dreptul lor de a se alătura unui proces de acțiune de clasă împotriva Equifax: „Acceptând să îți trimit revendicările la arbitraj, îți vei pierde dreptul de a aduce sau participa. în orice acțiune de clasă (fie ca reclamant numit sau membru al clasei), fie pentru a participa la orice premii de acțiune de clasă, inclusiv revendicări de clasă în care o clasă nu a fost încă certificată, chiar dacă faptele și circumstanțele pe care se bazează revendicările au avut deja loc. sau a existat ". În urma unei reacții, pagina de întrebări frecvente a companiei a fost actualizată pentru a spune că clauza se aplică serviciului TrustedID Premier, nu hack-ul. Începând cu dimineața zilei de 12 septembrie, termenii serviciului nu mai includ o clauză de arbitraj.

Weston spune că clienții afectați ar trebui să ia în considerare înghețarea rapoartelor de credit la toate cele trei birouri majore. După cum am menționat mai sus, birourile de credit pot percepe taxe pentru inițierea acestei înghețuri. De asemenea, puteți fi taxat pentru deblocarea conturilor atunci când aveți nevoie de un control de credit (pentru a solicita serviciul de telefonie mobilă, de exemplu). Aceste taxe sunt, în general, mai mici de 10 USD, dar se pot adăuga. Weston observă că o altă opțiune este de a plasa o alertă de fraudă în rapoartele de credit la cele trei birouri de credit. (Pentru mai multe, consultați Cum să vă recuperați din furtul de identitate .)

De asemenea, sunt disponibile și alte servicii de monitorizare a creditelor, care nu sunt sponsorizate de Equifax. Servicii de protecție împotriva furtului de identitate: demn de avut ">

Răspunsul lui Equifax

Atunci, președintele și CEO-ul Equifax, Richard Smith, a declarat după hacker că a fost „în mod clar un incident dezamăgitor pentru compania noastră și unul care lovește în centrul cine suntem și ce facem”. El a renunțat la 26 septembrie și nu va primi un bonus pentru 2017. Plecarea sa i-a urmat pe cea a ofițerului de securitate șef Susan Mauldin și a ofițerului șef de informații David Webb pe 14 septembrie.

La câteva zile după ce compania a descoperit hack-ul intern - și înainte ca încălcarea să fie dezvăluită publicului - directorul financiar șef al Equifax, John Gamble, președintele său pentru soluțiile forței de muncă Rodolfo Ploder și președintele soluțiilor informaționale americane, Joseph Loughran, și-au vândut acțiunile Equifax. Equifax a declarat într-o declarație că directorii nu au știut despre încălcarea atunci când și-au vândut stocul. Gamble, Ploder și Loughran au câștigat colectiv aproape 1, 8 milioane USD din vânzări.

Începând cu 28 februarie, stocul lui Equifax a scăzut cu 20, 1% de la închiderea sa din 7 septembrie (înainte de anunțarea hack-ului) la 113, 00 USD. După mai multe întârzieri, Equifax spune că va raporta câștigurile din trimestrul patru după închiderea de 1 martie.

Să înceapă procesele

Reuters a raportat pe 11 septembrie că peste 30 de procese - multe dintre ele care solicită acțiuni de clasă - au fost înaintate împotriva Equifax în instanțele americane. Câțiva susțin încălcări ale dreptului valorilor mobiliare; alții acuză TrustedID că ar fi depus servicii costisitoare pentru clienții care au fost afectați de încălcarea datelor. Cinci rezidenți din Utah au dat în judecată compania din Curtea de District din SUA pentru nerespectarea datelor sensibile ale clienților. Costumul urmărește daune monetare de 5 miliarde de dolari și impunerea unor standarde mai stricte din industrie.

Câțiva clienți afectați urmează un traseu mai puțin tradițional în căutarea recursului de la Equifax. Chatbotul DoNotPay oferă asistență în depunerea unei plângeri în instanțele de cerere mici de stat, unde pedepsele maxime variază de la 2.500 USD la 25.000 USD. Bot-ul poate genera doar documente pentru un proces, nu depune de fapt sau apare în instanță, potrivit Verge.

FBI și avocatul SUA din Atlanta, John Horn, au anunțat o anchetă penală cu privire la încălcarea din 18 septembrie. Biroul pentru protecția financiară a consumatorului și 34 de avocați generali de stat efectuează anchete.

Domnul Smith merge la Washington

Pe 3 octombrie, fostul CEO Richard Smith a depus mărturie în fața subcomisiei pentru comerț digital și protecția consumatorilor. El și-a cerut scuze de mai multe ori pentru eșecul Equifax de a proteja datele consumatorilor și s-a confruntat cu întrebări despre o serie de probleme legate de încălcarea și răspunsul lui Equifax. Stocul companiei a crescut în urma mărturiei, dar a rămas cu mult sub nivelurile la care a fost tranzacționat înainte de dezvăluirea hack-ului.

Ca răspuns la întrebările referitoare la clauza de arbitraj controversată, care a fost inițial inclusă în condițiile de serviciu ale TrustedID Premier, Smith a spus că clauza „placă de cazan” nu a fost niciodată destinată să se aplice încălcării și a numit includerea acesteia drept „greșeală”. El nu ar spune același lucru despre clauzele similare care reglementează alte servicii Equifax, pe care le-a numit „standard”.

Vânzările de stoc executiv cronometrate cu suspiciune au fost, de asemenea, examinate: Reprezentantul Jan Schakowsky, un democrat din Illinois, a declarat că vânzarea „nu trece testul mirosului”, dar Smith s-a arătat „în conformitate cu cunoștințele mele, nu știau” despre încălcarea la acea vreme.

Smith a descris încălcarea ca urmare a unei erori umane și a unei eșecuri tehnologice: persoana însărcinată să se asigure de aplicarea software-ului Apache Struts - care avea o vulnerabilitate publică cunoscută de atacatori exploatați - nu a reușit acest lucru și un scaner care ar fi avut a alertat compania că acea eroare a eșuat.

Răspunsul nereușit al companiei la criză a venit și pentru critici: crearea unui site WordPress cu o adresă URL suspectă, eșecul în securizarea domeniilor similare (și chiar direcționarea clienților către unul dintre aceste domenii), nu a reușit să aducă în mod adecvat centrele de apel și, în general, crearea impresia că compania - care există pentru a colecta, securiza și vinde date sensibile - nu a fost complet pregătită pentru un cyberattack în bazele sale de date. Republica Markwayne Mullin, republicană din Oklahoma, i-a spus lui Smith că răspunsul său ar fi trebuit să tragă o alarmă de incendiu: „aceasta merge imediat în loc”. Smith a răspuns că echipa sa „a urmat protocolul”. Câțiva reprezentanți au menționat că Smith a susținut un discurs care a descris frauda drept „o oportunitate uriașă” și o „afacere masivă, în creștere” în august - după ce a știut despre încălcare.

Smith a refuzat să răspundă la întrebări despre sursa atacului, inclusiv dacă ar putea fi un actor de stat. El a spus pur și simplu că FBI conduce o anchetă. El a apărat investițiile lui Equifax în cibersecuritate în timpul mandatului său, spunând că, când a sosit în urmă cu doisprezece ani, nu a fost practic nicio investiție în protecția datelor. Compania a cheltuit un sfert de miliarde de dolari și a angajat o echipă de 225 de persoane pentru a asigura datele companiei, a spus Smith, investind standardul industriei 10-14% din bugetul IT al cibersecurității.

Unii reprezentanți au indicat că încălcarea a deschis întrebări fundamentale cu privire la rolul industriei de monitorizare a creditelor și a drepturilor consumatorilor. "Ce se întâmplă dacă vreau să optez pentru Equifax?" Întrebă Schakowski. Smith a răspuns: „Asta necesită o discuție mult mai amplă în legătură cu rolul agențiilor de raportare a creditelor”. Rep. Tonko, un democrat din New York, a răsunat sentimentul, subliniind că nu este cu adevărat un „client”, nu a ales niciodată să facă afaceri cu Equifax. "De ce este permisă această companie să continue să existe?" el a intrebat. În diferite puncte, Smith a pus sub semnul întrebării valoarea numerelor de securitate socială ca o modalitate de a dovedi identitatea și a făcut referiri vagi la acordarea „puterii înapoi consumatorului”.

Cea mai mare întrebare a zilei a venit din partea democratului din California Doris Matsui: „Dețin datele mele?” Smith nu putea să răspundă. (A se vedea, de asemenea, Blockchain Te-ar putea face - Nu Equifax - proprietarul datelor tale. )