Bol som hacknutý? Zistite, či sa na vás vyskytne porušenie Equifaxu

Spoločnosť Equifax Inc. (EFX) 7. septembra 2017 oznámila, že hackerom, ku ktorému došlo v období od polovice mája do júla, bolo postihnutých 143 miliónov zákazníkov. Toto číslo sa v nasledujúcich týždňoch zvýšilo na 145, 5 milióna, potom na 147, 9 milióna k 1. marcu 2018, keď spoločnosť uviedla, že identifikovala 2, 4 milióna ďalších obetí.

Po uzavretí trhu v ten istý deň spoločnosť vykázala finančné výsledky za štvrtý štvrťrok a za celý rok. Tržby spoločnosti za štvrtý štvrťrok vzrástli medziročne o 5% na 838, 5 milióna dolárov. Čistý zisk v tomto štvrťroku medziročne vzrástol o 40% na 172, 3 milióna dolárov. Celoročné príjmy a zisky sa v porovnaní s rokom 2016 tiež zvýšili: príjmy vzrástli o 7% na 3, 4 miliardy dolárov, zatiaľ čo čistý príjem vzrástol o 20% na 587, 3 milióna dolárov. Spoločnosť uviedla, že hack to stálo 26, 5 milióna dolárov v štvrtom štvrťroku a 114, 0 milióna dolárov v celom roku, bez platieb poistného. Akcie, ktoré sa zatvorili o 1, 3% v súlade s S&P 500, vzrástli o 0, 6% pri obchodovaní po hodine v čase písania správy.

Podľa spoločnosti Equifax bolo vystavených až 209 000 čísel kreditných kariet zákazníkov a boli spochybnené dokumenty týkajúce sa sporov týkajúcich sa 182 000 spotrebiteľov v USA, ktoré zahŕňajú osobné informácie. Toto porušenie sa dotklo aj britských spotrebiteľov; je možné, že niektorí Kanaďania boli ohrození. Podľa denníka Wall Street Journal, citujúc nemenovaný zdroj, pri porušení bolo ukradnuté 10, 9 milióna údajov vodičských preukazov Američanov.

Spoločnosť vedela o útoku od 29. júla, ale čakala viac ako mesiac na upozornenie verejnosti. 20. septembra bolo oznámené, že spoločnosť Mandif, dcérska spoločnosť FireEye Inc. (FEYE), s ktorou uzavrela zmluva spoločnosť Equifax, odhaduje porušenie do dnešného dňa najmenej do 10. marca.

Existuje len málo informácií o zdroji útoku, ktorý vyšetruje FBI, ale podľa Bloomberga podobnosti s predchádzajúcimi útokmi na Úrad pre správu zamestnancov a spoločnosť Anthem Inc. naznačujú, že by útočník mohol byť sponzorovaný štátom, možno čínsky. To, že sa informácie o zákazníkoch spoločnosti Equifax neobjavili na čiernom trhu, tiež naznačuje, že hackeri neboli iba zločinci. Bloomberg tiež uvádza, že útočníci sa zamerali na konkrétnych jednotlivcov, pravdepodobne kvôli ich bohatstvu alebo inteligencii.

Vzhľadom na to, že dospelá populácia v USA je okolo 250 miliónov, je pravdepodobné, že vás toto porušenie ovplyvnilo. Je tiež možné, že ste sa už stali obeťou podvodu, keďže útok začal takmer pred šiestimi mesiacmi.

Equifax so sídlom v Atlante, jedna z troch veľkých agentúr poskytujúcich informácie o spotrebiteľských úveroch - ďalšie dve sú Experian PLC (Londýn: EXPN) a TransUnion (TRU) - zhromažďuje údaje vrátane čísel sociálneho zabezpečenia, čísiel kreditných kariet, čísel vodičských preukazov, nájomného a utility platobné informácie a demografické údaje. Pretože model spoločnosti Equifax je primárne business-to-business, mnoho z jej zákazníkov si neuvedomuje, že ich údaje sú uložené firmou. Okrem toho, že by sme sa úplne vyhýbali finančnému a úverovému systému, neexistuje jednoduchý spôsob, ako sa rozhodnúť pre neuchovávanie osobných údajov spoločnosťou Equifax. (Pozri tiež 5 najväčších hackerských dát na údaje o kreditnej karte v histórii. )

Ako skontrolovať, či ste boli ovplyvnení

Spoločnosť Equifax zriadila webovú stránku, kde môžete skontrolovať, či boli vaše informácie ohrozené, a to uvedením priezviska a posledných šiestich číslic vášho čísla sociálneho zabezpečenia. Táto stránka bola predmetom intenzívnej kritiky a odkaz sme odstránili z dôvodu otázok týkajúcich sa jeho bezpečnosti. Bola zriadená pomocou WordPress, bežnej blogovacej platformy. Je umiestnená v samostatnej doméne hlavného miesta spoločnosti Equifax. Spoločnosť zanedbávala registráciu podobných adries URL, ktoré by sa mohli použiť na phishingové útoky; jeden hacker bielych čiapok zriadil práve také webové stránky, aby preukázal bod, a oficiálny účet spoločnosti Equifax vyčítal odkaz na falošné stránky. Viac než raz.

Spoločnosť Equifax ponúkla zákazníkom - ovplyvnené alebo nie - nasledujúce služby, ktoré nazýva TrustedID Premier: kópie správy o úvere Equifax, monitorovanie úveru a automatická výstraha pre všetky tri hlavné úverové agentúry, možnosť blokovať prístup tretích strán k vašej kreditnej správe spoločnosti Equifax. (s výnimkou), monitorovanie sociálneho zabezpečenia a poistenie proti krádeži identity vo výške 1 milión dolárov. Uzávierka prihlášok bola 21. november 2017.

Spoločnosť tvrdí, že všetky tieto služby sú bezplatné, ale umiestnenie zmrazenia zabezpečenia do kreditného súboru nebolo spočiatku bezplatné - aspoň nie pre každého. Keď som sa 8. septembra pokúsil zmraziť kreditný súbor Equifax, web spoločnosti uviedol, že služba bude stáť 3, 00 USD a požiada o informácie o kreditnej karte na spracovanie platby.

Uchopenie obrazovky zo stránky www.freeze.equifax.com (8. september 2017 o 11:46 hod. EDT).

Ako rezident v New Yorku som mohol bezplatne umiestniť zmrazenie do svojho súboru Experian. Stránka TransUnion nedokázala spracovať žiadosť spočiatku - pravdepodobne príznak zvýšenej premávky - ale neskôr mi umožnila bezplatne umiestniť zmrazenie.

V e-mailovom vyhlásení hovorca spoločnosti Equifax 14. septembra informoval Investopedia, že firma sa vzdáva všetkých poplatkov za zmrazenie úverových súborov a automaticky vracia zákazníkom, ktorí tak zaplatili po zverejnení hacku. V súvislosti s PIN, ktoré spoločnosť vydala zákazníkom, ktorí zmrazili svoje úverové správy, sa teraz objavili nové obavy - a jasný pokles bezpečnosti. Tieto kódy PIN, ktoré umožňujú zákazníkom uvoľňovať úverové hlásenia, sa riadia ľahko identifikovateľným vzorom. Hovorca povedal, že zákazníci s týmito chybnými kódmi PIN musia zavolať na číslo 866-349-5191, aby sa rozprávali so živým agentom.

Ak ste dostali PIN po nahlásení hacku, váš môže byť jedným z chybných. Jeho upevnenie nie je ľahké. Dvanásť hovorov na linku ráno 15. septembra vydalo osem obsadených signálov a štyri prípady úplného ticha.

Zoznamy dôveryhodných služieb TrustedID Premier Equifax sú bezplatné iba jeden rok. Hovorca spoločnosti Equifax povedal spoločnosti Investopedia, že spoločnosť nepožaduje informácie o kreditnej karte, keď sa zákazníci zaregistrujú na túto službu, a že ich spoločnosť automaticky neobnoví ani neúčtuje poplatok. Štandardná sadzba spoločnosti Equifax na monitorovanie úverov je 17 USD mesačne.

Čo robiť, ak ste boli postihnutí

Liz Weston, autorka osobného financovania v spoločnosti NerdWallet, má nasledujúce rady pre osoby postihnuté porušením pravidiel spoločnosti Equifax, ktoré zdieľala s Investopedia v e-maile: „Spoločnosť Equifax osloví obete a ponúkne im úverové monitorovanie. Obete by sa mali uistiť, že súhlas s monitorovaním im nebráni v tom, aby sa zapojili do súdnych sporov alebo iných konaní po ceste. ““

Na začiatku stránky s podmienkami poskytovania služby TrustedID Premier (v archivovanej verzii) sa od používateľov vyžadovalo, aby sa vzdali práva na účasť v žalobe proti spoločnosti Equifax: „Ak súhlasíte s predložením svojich nárokov na rozhodcovské konanie, strácate svoje právo na účasť alebo účasť. v akejkoľvek skupinovej žalobe (či už ako menovaný žalobca alebo člen triedy) alebo sa podieľa na akýchkoľvek oceneniach skupinovej žaloby, vrátane nárokov na triedu, ak trieda ešte nebola certifikovaná, aj keď skutočnosti a okolnosti, na ktorých sú založené nároky, už nastali alebo existoval. “ Na základe vôle bola aktualizovaná stránka s častými otázkami spoločnosti tak, že doložka sa vzťahovala na službu TrustedID Premier, nie na hack. Ráno 12. septembra už podmienky služby neobsahujú rozhodcovskú doložku.

Weston tvrdí, že postihnutí zákazníci by mali zvážiť zmrazenie svojich úverových správ na všetkých troch hlavných úradoch. Ako je uvedené vyššie, úverové agentúry môžu za iniciovanie tohto zmrazenia účtovať poplatky. Poplatky za zmrazenie účtov vám môžu byť účtované aj v prípade, že potrebujete kontrolu kreditu (napríklad v prípade služby mobilného telefónu). Tieto poplatky sú vo všeobecnosti nižšie ako 10 dolárov, ale môžu sa sčítať. Spoločnosť Weston poznamenáva, že ďalšou možnosťou je upozorniť na vaše úverové správy na tri úverové úrady. (Viac informácií nájdete v téme Ako sa zotaviť z krádeže identity .)

K dispozícii sú aj ďalšie služby monitorovania úveru, ktoré nie sú sponzorované spoločnosťou Equifax. Služby na ochranu pred krádežou identity: oplatí sa

Odpoveď spoločnosti Equifax

Vtedajší predseda predstavenstva a generálny riaditeľ spoločnosti Equifax, Richard Smith, povedal, že po hacke to bol „jednoznačne neuspokojivý incident pre našu spoločnosť a ten, ktorý zasiahne srdce, kto sme a čo robíme“. 26. septembra odstúpil a nedostane bonus za rok 2017. Jeho odchod nasledoval po odchode hlavného bezpečnostného dôstojníka Susan Mauldina a hlavného informačného dôstojníka Davida Webba 14. septembra.

Niekoľko dní po tom, ako spoločnosť interne odkryla hack - a predtým, ako bolo porušenie odhalené pre verejnosť - predal finančný riaditeľ spoločnosti Equifax John Gamble, jeho prezident pracovných riešení Rodolfo Ploder, a prezident amerických informačných riešení Joseph Loughran ich akcie Equifax. Spoločnosť Equifax vo vyhlásení uviedla, že vedúci predstavitelia nevedeli o porušení pri predaji svojich akcií. Gamble, Ploder a Loughran kolektívne zarobili z predaja takmer 1, 8 milióna dolárov.

K 28. februáru sa zásoby spoločnosti Equifax znížili o 20, 1% z jej uzávierky 7. septembra (predtým, ako bol oznámený hack) na 113, 00 USD. Po niekoľkých omeškaniach spoločnosť Equifax tvrdí, že po uzavretí 1. marca bude vykazovať zisk za štvrtý štvrťrok.

Nechajte začať súdne spory

Spoločnosť Reuters 11. septembra informovala, že na súdoch USA bolo proti spoločnosti Equifax podaných viac ako 30 súdnych sporov, z ktorých mnohé žiadajú o skupinovú žalobu. Niekoľko sa odvoláva na porušenie zákona o cenných papieroch; iní obviňujú spoločnosť TrustedID z prezentácie nákladných služieb zákazníkom, ktorých sa porušenie údajov týka. Päť obyvateľov Utahu žalovalo spoločnosť na Okresnom súde USA za to, že nechránila citlivé údaje zákazníkov. Žaloba sa snaží o peňažné škody vo výške 5 miliárd dolárov a uloženie prísnejších priemyselných štandardov.

Niektorí zákazníci, ktorých sa to týka, sa pri hľadaní možnosti od spoločnosti Equifax vydávajú menej tradičnou cestou. Chatbot DoNotPay poskytuje pomoc pri podaní sťažnosti na súdoch pre malé nároky, kde sú maximálne pokuty v rozmedzí od 2 500 do 25 000 dolárov. Podľa Verge môže topánok podľa zákona generovať len papierovanie na súdne konanie, nie ho skutočne podať alebo sa dostaviť na súd.

Americký právnik FBI a americký prokurátor John Horn oznámil trestné vyšetrovanie porušenia dňa 18. septembra. Vyšetrovanie vedie Úrad pre ochranu spotrebiteľa (Financial Financial Protection Bureau) a 34 štátnych prokurátorov.

Pán Smith ide do Washingtonu

3. októbra bývalý generálny riaditeľ Richard Smith vypovedal pred podvýborom pre digitálny obchod a ochranu spotrebiteľa. Niekoľkokrát sa ospravedlnil za to, že spoločnosť Equifax neochránila spotrebiteľské údaje, a čelila otázkam týkajúcim sa mnohých otázok súvisiacich s porušením a reakciou spoločnosti Equifax. Akcie spoločnosti vzrástli po svedectve, ale zostali hlboko pod úrovňami, s ktorými obchodovali pred zverejnením hacku.

V odpovedi na otázky týkajúce sa kontroverznej rozhodcovskej doložky, ktorá bola pôvodne zahrnutá do zmluvných podmienok spoločnosti TrustedID Premier, Smith uviedol, že doložka „kotla“ sa nikdy nemala vzťahovať na porušenie a nazývala jej zahrnutie „chybou“. To by nepovedal to isté z podobných ustanovení, ktorými sa riadia iné služby Equifaxu, ktoré nazval „štandard“.

Podozrivý časovaný výkonný predaj akcií sa tiež dostal pod kontrolu: Rep. Jan Schakowsky, Illinois Demokrat, povedal, že predaj „neprešiel testom vône“, ale Smith priemeroval, „podľa môjho najlepšieho vedomia nevedeli“ o porušenie v tom čase.

Smith opísal porušenie v dôsledku ľudskej chyby a technologického zlyhania: osoba zodpovedná za zaistenie opravy softvéru Apache Struts - ktorý mal verejne známu zraniteľnosť, ktorú útočníci zneužívali - tak neurobil, a skener, ktorý by mal upozornil spoločnosť, že táto chyba tiež zlyhala.

Kritická reakcia spoločnosti na krízu tiež vyvolala kritiku: zriadenie stránky WordPress s podozrivou adresou URL, nezabezpečenie podobných domén (a dokonca nasmerovanie zákazníkov do jednej z týchto domén), zlyhanie adekvátnych call centier zamestnancov a vytvorenie všeobecne dojem, že spoločnosť - ktorá zhromažďuje, zaisťuje a predáva citlivé údaje - nebola úplne pripravená na kybernetický útok vo svojich databázach. Rep. Markwayne Mullin, oklahómský republikán, povedal Smithovi, že jeho odpoveď by mala byť ako vytiahnutie požiarneho poplachu: „okamžite to nastane.“ Smith odpovedal, že jeho tím „sa riadi protokolom“. Niekoľko predstaviteľov uviedlo, že Smith v auguste predniesol prejav, ktorý označil podvod ako „obrovskú príležitosť“ a „masívny, rastúci podnik“ - potom, čo vedel o porušení.

Smith odmietol odpovedať na otázky o zdroji útoku, vrátane toho, či by to mohol byť štátny herec. Jednoducho povedal, že FBI vedie vyšetrovanie. Počas svojho funkčného obdobia obhajoval investície spoločnosti Equifax do kybernetickej bezpečnosti a uviedol, že keď prišiel pred dvanástimi rokmi, prakticky neexistovali žiadne investície do ochrany údajov. Spoločnosť utratila štvrtinu miliárd dolárov a najala 225-členný tím na zabezpečenie údajov spoločnosti, povedal Smith, investujúc priemyselný štandard 10 - 14% podnikového rozpočtu spoločnosti do kybernetickej bezpečnosti.

Niektorí predstavitelia uviedli, že porušenie otvorilo základné otázky o úlohe odvetvia úverového monitorovania a právach spotrebiteľov. „Čo ak si chcem zvoliť našu spoločnosť Equifax?“ Spýtal sa Schakowski. Smith odpovedal: „To si vyžaduje oveľa širšiu diskusiu o úlohe agentúr poskytujúcich informácie o úveroch.“ Rep. Tonko, demokrat z New Yorku, zopakoval tento sentiment a zdôraznil, že nie je skutočne „zákazníkom“, ktorý sa nikdy nerozhodol obchodovať so spoločnosťou Equifax. „Prečo môže táto spoločnosť naďalej existovať?“ spýtal sa. Smith v rôznych bodoch spochybňoval hodnotu čísel sociálneho zabezpečenia ako spôsob, ako dokázať svoju totožnosť, a urobil neurčité odkazy na to, aby spotrebiteľovi dal „moc späť“.

Najväčšia otázka dňa prišla od kalifornského demokrata Dorisa Matsuiho: „Vlastním svoje údaje?“ Smith nedokázal odpovedať. (Pozri tiež, Blockchain by vás mohol urobiť - nie Equifax - vlastník vašich údajov. )