Бях ли хакнат? Разберете дали нарушението на еквифакс ви засяга

Equifax Inc. (EFX) обяви на 7 септември 2017 г., че 143 милиона от нейните клиенти са засегнати от хак, възникнал между средата на май и юли. Тази цифра е нараснала до 145, 5 милиона през следващите седмици, а след това до 147, 9 милиона на 1 март 2018 г., когато компанията заяви, че е идентифицирала 2, 4 милиона допълнителни жертви.

След като пазарът приключи същия ден, компанията отчете финансови резултати за четвъртото тримесечие и за цялата година. Приходите на компанията за четвъртото тримесечие нараснаха с 5% спрямо предходната година до 838, 5 милиона долара. Нетният доход през тримесечието нарасна с 40% спрямо предходната година до 172, 3 милиона долара. Целогодишните приходи и печалби също нарастват в сравнение с 2016 г.: приходите са се увеличили със 7% до 3, 4 милиарда долара, докато нетните приходи са се увеличили с 20% до 587, 3 милиона долара. Компанията заяви, че хакът е струвал 26, 5 милиона долара през четвъртото тримесечие и 114, 0 милиона долара през цялата година, без осигуровките. Акциите, които се затвориха с 1.3% в съответствие със S&P 500, се повишават с 0.6% при извънчасово търгуване по време на писането.

Според Equifax бяха разкрити 209 000 номера на кредитните карти на клиентите, а документите за спорове, свързани с 182 000 потребители в САЩ - включително лична информация, бяха компрометирани. Британските потребители също бяха засегнати от нарушението; възможно е някои канадци да са били компрометирани. Според Wall Street Journal, позовавайки се на неназован източник, при нарушението са били откраднати 10, 9 милиона американски шофьорски книжки.

Компанията знаеше за нападението от 29 юли, но чакаше повече от месец, за да предупреди обществото. На 20 септември бе съобщено, че Mandiant, дъщерното дружество на FireEye Inc. (FEYE), сключено от Equifax, изчислява нарушението от поне 10 март.

Има малко информация относно източника на нападението, който се разследва от ФБР, но според Bloomberg приликите с по-ранните атаки срещу Службата за управление на персонала и Anthem Inc. предполагат, че нападателят може да бъде спонсориран от държавата, може би китайски. Това, че информацията за клиентите на Equifax не е показана на черния пазар, също предполага, че хакерите не са били просто престъпници. Bloomberg съобщава също, че нападателите са били насочени към конкретни лица, може би поради тяхното богатство или разузнавателна стойност.

Като се има предвид, че възрастното население на САЩ е около 250 милиона, има голяма вероятност да сте засегнати от нарушението. Възможно е също така вече да сте жертва на измама, тъй като нападението започна преди близо шест месеца.

Базираната в Атланта Equifax, една от големите три агенции за отчитане на потребителски кредити - другите две са Experian PLC (Лондон: EXPN) и TransUnion (TRU) - събира данни, включително номера на социално осигуряване, номера на кредитни карти, номера на шофьорски книжки, наем и комунални услуги информация за плащанията и демографски данни. Тъй като моделът на Equifax е преди всичко бизнес за бизнес, много от клиентите му не знаят, че техните данни се съхраняват от фирмата. Освен като цяло не се избягва финансовата и кредитната система, няма пряк начин да се откажете от съхраняване на лични данни от Equifax. (Вижте също, 5 най-големи хакове за данни за кредитни карти в историята. )

Как да проверя дали сте били засегнати

Equifax е създал сайт, където можете да проверите дали информацията ви е била компрометирана, като дадете вашето фамилно име и последните шест цифри от вашия социален номер. Този сайт беше обект на силна критика и премахнахме връзката поради въпроси, свързани с нейната сигурност. Той е създаден с помощта на WordPress, офлайн платформа за блогове. Той се помещава в отделен домейн до основния сайт на Equifax. Компанията пренебрегна да регистрира подобни URL адреси, които могат да се използват за фишинг атаки; един хакер за бяла шапка създаде точно такъв сайт, за да докаже точка, а официален акаунт в Equifax туитира връзката към фалшивия сайт. Повече от веднъж.

Equifax предлага на клиентите - засегнати или не - следните услуги, които той нарича TrustedID Premier: копия на кредитния отчет на Equifax, мониторинг на кредита и автоматизирани сигнали за трите основни кредитни бюра, възможност за блокиране на достъп на трети страни до вашия кредитен отчет на Equifax (с изключение), наблюдение на номера на социалното осигуряване и 1 милион долара за застраховка кражба на самоличност. Крайният срок за кандидатстване е 21 ноември 2017 г.

Компанията казва, че всички тези услуги са безплатни, но поставянето на замразяване на сигурност върху кредитно досие не е било първоначално безплатно - поне не за всички. Когато се опитах да замража кредитен файл на Equifax на 8 септември, сайтът на компанията каза, че услугата ще струва 3, 00 долара и поиска информация за кредитната карта за обработка на плащането.

Грабване на екрана от www.freeze.equifax.com (8 септември 2017 г. в 11:46 ч. EDT).

Като жител на Ню Йорк, бях в състояние да поставя безплатно на моя файл Experian безплатно. Сайтът на TransUnion не успя първоначално да обработи заявката - вероятно симптом на увеличен трафик -, но по-късно ми позволи да поставя безплатно замразяване.

В изявление по имейл, говорител на Equifax заяви пред Investopedia на 14 септември, че фирмата се отказва от всички такси за замразяване на кредитни файлове и автоматично възстановява клиентите, които са платили да го направят, след като хакът е бил публикуван. Нова грижа - и явен пропуск в сигурността - сега възникна около ПИН кодовете, които компанията издава на клиенти, замразили кредитните си отчети. Тези ПИН кодове, които позволяват на клиентите да размразят кредитните отчети, следват лесно различим модел. Говорителят каза, че клиентите с тези дефектни ПИН трябва да се обадят на 866-349-5191, за да говорят с жив агент.

Ако получите ПИН след подаване на сигнал за хак, вашият може да е един от дефектните. Фиксирането му не е лесно. Дванадесет обаждания към линията сутринта на 15 септември подадоха осем натоварени сигнала и четири случая на пълно мълчание.

Списъците на TrustedID Premier Equifax като безплатни са безплатни само за една година. Говорител на Equifax заяви пред Investopedia, че компанията не иска информация за кредитни карти, когато клиентите се регистрират за услугата и че компанията няма да я поднови автоматично или да начисли такса. Стандартната ставка на Equifax за мониторинг на кредита е $ 17 на месец.

Какво да правите, ако сте били засегнати

Лиз Уестън, личен писател на финанси в NerdWallet, има следните съвети за засегнатите от нарушението на Equifax, които тя сподели с Investopedia в имейл: „Equifax ще се свърже с жертвите и ще им предложи кредитен мониторинг. Жертвите трябва да се уверят, че съгласието за мониторинга не им пречи да се присъединят към съдебни дела или други действия по пътя. "

Първоначално страницата за условия на услугата на TrustedID Premier (архивирана версия) всъщност изискваше потребителите да се откажат от правото си да се присъединят към иск за класови действия срещу Equifax: „Съгласявайки се да изпратите вашите искове на арбитраж, вие ще отнемете правото си да предявите или участвате във всяко класно действие (независимо дали е посочен ищец или член на клас) или да споделяте награди за класни действия, включително искове за клас, когато клас все още не е сертифициран, дори ако фактите и обстоятелствата, на които се основават исковете, вече са настъпили или са съществували. " След обратната реакция страницата с често задавани въпроси на компанията беше актуализирана, за да каже, че клаузата се прилага за услугата TrustedID Premier, а не за хака. От сутринта на 12 септември условията за обслужване вече не включват арбитражна клауза.

Уестън казва, че засегнатите клиенти трябва да обмислят замразяване на своите кредитни отчети на трите основни бюра. Както бе споменато по-горе, кредитните бюра могат да начислят такси за започване на това замразяване. Можете също така да бъдете таксувани за размразяване на акаунти, когато се нуждаете от проверка за кредит (за да кандидатствате за услуга на мобилен телефон, например). Обикновено тези такси са по-малко от 10 долара, но могат да се добавят. Уестън отбелязва, че друга възможност е да подадете сигнал за измама на вашите кредитни отчети в трите кредитни бюра. (За повече информация вижте Как да се възстановите от кражба на самоличност .)

На разположение са и други услуги за мониторинг на кредити, които не са спонсорирани от Equifax. Услуги за защита на кражби на самоличност: заслужава да има ">

Отговорът на Equifax

Тогавашният председател и главен изпълнителен директор на Equifax, Ричард Смит, каза след хака, че това е „очевидно разочароващ инцидент за нашата компания и този, който удря в сърцето кои сме и какво правим“. Той се оттегли на 26 септември и няма да получи бонус за 2017 г. Напускането му последва тези на главния служител по сигурността Сюзън Маулдин и главния информационен директор Дейвид Уеб на 14 септември.

Няколко дни след като компанията разкри хака вътрешно - и преди нарушението да бъде разкрито за обществеността - главният финансов директор на Equifax Джон Гамбъл, неговият президент за решения за работна сила Родолфо Плодер и нейният президент на американските информационни решения Джоузеф Лофран продадоха акциите си от Equifax. От изявление на Equifax заявиха, че ръководителите не са знаели за нарушението, когато са продали запасите си. Gamble, Ploder и Loughran заедно спечелиха близо 1, 8 милиона долара от продажбите.

Към 28 февруари акциите на Equifax паднаха с 20, 1% от затварянето си на 7 септември (преди обявяването на хака) до $ 113, 00. След няколко закъснения от Equifax казват, че ще отчитат печалбите от четвъртото тримесечие след приключването си на 1 март.

Нека започнат съдебните дела

Ройтерс съобщи на 11 септември, че над 30 съдебни дела - много от тях, които искат класови искове, са заведени срещу Equifax в американските съдилища. Няколко твърдят нарушения на закона за ценните книжа; други обвиняват TrustedID, че предлага скъпи услуги на клиенти, засегнати от нарушаването на данните. Петима жители на Юта са подали иск срещу компанията в Окръжния съд на САЩ за неспазване на чувствителните данни на клиентите. Искът иска парични щети от 5 милиарда долара и налагане на по-строги индустриални стандарти.

Няколко засегнати клиенти предприемат по-малко традиционен маршрут в търсене на регрес от Equifax. Чатът DoNotPay предоставя помощ при подаване на жалба в държавни съдилища за малки искове, където максималните санкции варират от 2500 до 25 000 долара. Роботът може да генерира документи само за дело, а не всъщност да го заведе или да се яви в съда, според Verge.

Американският прокурор на САЩ от ФБР и Атланта Джон Хорн обяви криминално разследване на нарушението на 18 септември. Бюрото за финансова защита на потребителите и 34 държавни адвокати провеждат разследвания.

Мистър Смит заминава за Вашингтон

На 3 октомври бившият изпълнителен директор Ричард Смит даде показания пред подкомитета за дигитална търговия и защита на потребителите. Той се извини многократно за неспособността на Equifax да защити данните на потребителите и се сблъска с въпроси относно редица въпроси, свързани с нарушението и отговора на Equifax. Акциите на компанията нараснаха след показанията, но останаха доста под нивата, на които се търгуваше преди разкриването на хака.

В отговор на въпроси относно спорната арбитражна клауза, която първоначално е била включена в условията за ползване на TrustedID Premier, Смит каза, че клаузата за "котлони" никога не е била предназначена да се прилага за нарушението и нарече включването му "грешка". Той не би казал същото за подобни клаузи, уреждащи други услуги на Equifax, които той нарече „стандартни“.

По подозрителни времеви продажби на изпълнителни акции също попаднаха под контрол: репортер Ян Шаковски, Илинойски демократ, каза, че продажбата "не преминава теста за миризма", но Смит отклони, "доколкото ми е известно, те не знаеха" за нарушението по това време.

Смит описа нарушението като резултат от човешка грешка и технологичен провал: човекът, който отговаря за това да закърпи софтуера Apache Struts - който имаше обществено известна уязвимост, която атакуващите експлоатираха - не успя да го направи, и скенер, който ще има предупреди компанията за тази грешка също не успя.

Неуспешната реакция на компанията на кризата се появи и за критика: създаване на WordPress сайт с подозрителен URL адрес, неспособност да защити подобни домейни (и дори насочване на клиенти към един от тези домейни), неспособност да адекватно да се обадят на центрове за обаждания на персонала и като цяло създаване впечатлението, че компанията - която съществува за събиране, защита и продажба на чувствителни данни - беше напълно неподготвена за кибератака върху своите бази данни. Репутацията Маркуейн Мълин, републиканец от Оклахома, каза на Смит, че отговорът му би трябвало да е като издърпване на пожарна аларма: "веднага става на мястото си". Смит отговори, че екипът му „е следвал протокол“. Няколко представители споменаха, че Смит произнесе реч, описвайки измамата като "огромна възможност" и "мащабен, разрастващ се бизнес" през август - след като разбра за нарушението.

Смит отказа да отговори на въпроси за източника на атаката, включително дали това може да е държавен участник. Той просто каза, че ФБР провежда разследване. Той защити инвестициите на Equifax в киберсигурност по време на мандата си, казвайки, че когато пристигна преди дванадесет години, практически няма инвестиции в защита на данните. Компанията е похарчила четвърт милиард долара и е наела екип от 225 души, за да защити данните на компанията, каза Смит, инвестирайки стандартните за индустрията 10-14% от IT бюджета на компанията в киберсигурност.

Някои представители посочиха, че нарушението е отворило основни въпроси относно ролята на индустрията за мониторинг на кредити и правата на потребителите. "Ами ако искам да избера нашия от Equifax?" - попита Шаковски. Смит отговори, „това изисква много по-широка дискусия относно ролята на агенциите за кредитен отчет“. Репортер Тонко, демократ от Ню Йорк, озвучи настроението, изтъквайки, че той всъщност не е „клиент“, който никога не е избирал да прави бизнес с Equifax. „Защо на тази компания е позволено да продължава да съществува?“ попита той. В различни моменти Смит постави под въпрос стойността на номерата на социалното осигуряване като начин за доказване на идентичност и направи неясни препратки към връщането на „власт обратно на потребителя“.

Най-големият въпрос за деня дойде от калифорнийската демократка Дорис Мацуи: „Притежавам ли данните си?“ Смит не можа да отговори. (Вижте също, Blockchain може да ви накара - не е еквифакс - собственик на вашите данни. )