Equifax Inc. (EFX) ogłosił 7 września 2017 r., Że hack, który miał miejsce od połowy maja do lipca, dotknęło 143 miliony jego klientów. W kolejnych tygodniach liczba ta wzrosła do 145, 5 miliona, a następnie do 147, 9 miliona 1 marca 2018 r., Kiedy firma poinformowała, że zidentyfikowała 2, 4 miliona dodatkowych ofiar.
Po zamknięciu rynku tego samego dnia, firma odnotowała wyniki finansowe za czwarty kwartał i cały rok. Przychody firmy w czwartym kwartale wzrosły o 5% rok do roku do 838, 5 mln USD. Zysk netto w tym kwartale wzrósł o 40% rok do roku do 172, 3 mln USD. Roczne przychody i zyski również wzrosły w porównaniu z 2016 r.: przychody wzrosły o 7% do 3, 4 mld USD, podczas gdy dochód netto wzrósł o 20% do 587, 3 mln USD. Firma podała, że włamanie kosztowało 26, 5 mln USD w czwartym kwartale i 114, 0 mln USD w całym roku, bez wypłat z ubezpieczenia. Zapasy, które zamknęły się 1, 3% zgodnie z S&P 500, wzrosły o 0, 6% w handlu po godzinach w momencie pisania.
Według Equifax ujawniono aż 209 000 numerów kart kredytowych klientów, a dokumenty sporów dotyczące 182 000 amerykańskich konsumentów - w tym dane osobowe - zostały naruszone. Naruszenie dotknęło także brytyjskich konsumentów; możliwe, że niektórzy Kanadyjczycy zostali naruszeni. Według Wall Street Journal, powołując się na nienazwane źródło, 10, 9 miliona danych amerykańskich praw jazdy zostało skradzionych w wyniku naruszenia.
Firma wiedziała o ataku od 29 lipca, ale czekała ponad miesiąc, aby powiadomić opinię publiczną. 20 września ogłoszono, że Mandiant, spółka zależna FireEye Inc. (FEYE), zawarta przez Equifax, szacuje, że naruszenie do tej pory sięgało co najmniej 10 marca.
Istnieje niewiele informacji na temat źródła ataku, które jest badane przez FBI, ale według Bloomberga, podobieństwa do wcześniejszych ataków na Office of Personnel Management i Anthem Inc. sugerują, że atakujący może być sponsorowany przez państwo, być może chiński. To, że informacje klientów Equifax nie pojawiły się na czarnym rynku, sugeruje również, że hakerzy nie byli zwykłymi przestępcami. Bloomberg informuje również, że osoby atakujące atakowały określone osoby, być może ze względu na ich bogactwo lub wartość wywiadowczą.
Biorąc pod uwagę, że dorosła populacja Stanów Zjednoczonych wynosi około 250 milionów, istnieje duże prawdopodobieństwo, że naruszenie miało wpływ na ciebie. Możliwe jest również, że już padłeś ofiarą oszustwa, ponieważ atak rozpoczął się prawie sześć miesięcy temu.
Equifax z siedzibą w Atlancie, jedna z trzech dużych agencji raportowania kredytów konsumenckich - pozostałe dwie to Experian PLC (Londyn: EXPN) i TransUnion (TRU) - gromadzi dane, w tym numery ubezpieczenia społecznego, numery kart kredytowych, numery praw jazdy, czynsz i narzędzia informacje o płatnościach i dane demograficzne. Ponieważ model Equifax jest przede wszystkim między przedsiębiorstwami, wielu jego klientów nie wie, że ich dane są przechowywane przez firmę. Oprócz całkowitego uniknięcia systemu finansowego i kredytowego, nie ma prostego sposobu zrezygnowania z przechowywania danych osobowych przez Equifax. (Zobacz także 5 największych włamań do danych kart kredytowych w historii ).
Jak sprawdzić, czy zostałeś dotknięty chorobą
Equifax utworzył witrynę, na której można sprawdzić, czy dane zostały naruszone, podając nazwisko i sześć ostatnich cyfr numeru ubezpieczenia społecznego. Ta strona była przedmiotem ostrej krytyki i usunęliśmy link z powodu pytań dotyczących jej bezpieczeństwa. Zostało utworzone za pomocą WordPress, ogólnodostępnej platformy blogowej. Mieści się w osobnej domenie niż główna strona Equifax. Firma zaniedbała rejestrowania podobnych adresów URL, które mogłyby służyć do ataków phishingowych; jeden haker w białym kapeluszu założył właśnie taką stronę, aby udowodnić swoją rację, a oficjalne konto Equifax opublikowało tweeta na link do fałszywej strony. Więcej niż raz.
Equifax zaoferował klientom - bez względu na to, czy to dotyczy - następujące usługi, które nazywa TrustedID Premier: kopie raportu kredytowego Equifax, monitorowanie kredytu i automatyczne powiadomienia dla wszystkich trzech głównych biur kredytowych, możliwość blokowania dostępu stron trzecich do raportu kredytowego Equifax (z wyjątkami), monitorowanie numeru ubezpieczenia społecznego i 1 milion dolarów na ubezpieczenie od kradzieży tożsamości. Termin składania wniosków upłynął 21 listopada 2017 r.
Firma twierdzi, że wszystkie te usługi są bezpłatne, ale zamrożenie pliku zabezpieczającego nie było początkowo bezpłatne - przynajmniej nie dla wszystkich. Kiedy próbowałem zamrozić plik kredytowy Equifax 8 września, strona firmy podała, że usługa będzie kosztować 3, 00 $ i poprosiła o podanie danych karty kredytowej w celu przetworzenia płatności.
Jako mieszkaniec Nowego Jorku mogłem za darmo zawiesić mój plik Experian. Witryna TransUnion początkowo nie była w stanie przetworzyć żądania - prawdopodobnie objawem zwiększonego ruchu - ale później pozwoliła mi na bezpłatne zawieszenie się.
W e-mailu z oświadczeniem rzecznik Equifax powiedział Investopedia 14 września, że firma rezygnuje z wszelkich opłat za zamrożenie plików kredytowych i automatycznie zwraca pieniądze klientom, którzy zapłacili za to po ujawnieniu hacka. Pojawił się nowy problem - i wyraźny brak bezpieczeństwa - wokół numerów PIN, które firma wydała klientom, którzy zamrozili swoje raporty kredytowe. Te kody PIN, które pozwalają klientom odblokować raporty kredytowe, są zgodne z łatwym do zidentyfikowania wzorem. Rzecznik powiedział, że klienci z tymi błędnymi kodami PIN muszą zadzwonić pod numer 866-349-5191, aby porozmawiać z agentem na żywo.
Bezpłatne listy usług TrustedID Premier Equifax są bezpłatne tylko przez rok. Rzecznik Equifax powiedział Investopedia, że firma nie prosi o podanie danych karty kredytowej, gdy klienci rejestrują się w usłudze i że firma nie odnowi jej automatycznie ani nie pobierze opłaty. Standardowa stawka Equifax za monitorowanie kredytu wynosi 17 USD miesięcznie.
Co zrobić, jeśli zostałeś dotknięty chorobą
Liz Weston, pisarka ds. Finansów osobistych w NerdWallet, ma następujące porady dla osób dotkniętych naruszeniem Equifax, które podzieliła się z Investopedia w e-mailu: „Equifax skontaktuje się z ofiarami i zaoferuje im monitorowanie kredytu. Ofiary powinny upewnić się, że zgoda na monitorowanie nie uniemożliwia im przyłączania się do procesów sądowych lub innych działań na drodze ”.
Początkowo strona warunków usługi TrustedID Premier (wersja zarchiwizowana) w rzeczywistości wymagała od użytkowników zrzeczenia się prawa do przyłączenia się do pozwu zbiorowego przeciwko Equifax: „Wyrażając zgodę na poddanie roszczeń arbitrażowi, utracisz swoje prawo do wniesienia lub uczestnictwa w jakiejkolwiek sprawie zbiorowej (zarówno jako wyznaczony powód, jak i członek klasy) lub w celu uczestniczenia w jakiejkolwiek sprawie pozew zbiorowej, w tym w roszczeniach grupowych, w których klasa nie została jeszcze certyfikowana, nawet jeśli fakty i okoliczności, na których oparte są Roszczenia, już wystąpiły lub istniał ”. Po luźnej stronie firma została zaktualizowana, aby stwierdzić, że klauzula dotyczy usługi TrustedID Premier, a nie hack. Od 12 września rano warunki świadczenia usług nie zawierają już klauzuli arbitrażowej.
Weston mówi, że dotknięci klienci powinni rozważyć zamrożenie swoich raportów kredytowych we wszystkich trzech głównych biurach. Jak wspomniano powyżej, biura kredytowe mogą pobierać opłaty za zainicjowanie tego zamrożenia. Może być również naliczona opłata za odblokowanie konta, gdy potrzebujesz czeku kredytowego (na przykład, aby ubiegać się o usługę telefonu komórkowego). Opłaty te są zwykle niższe niż 10 USD, ale mogą się sumować. Weston zauważa, że inną opcją jest umieszczenie ostrzeżenia o oszustwie w raportach kredytowych w trzech biurach kredytowych. (Aby uzyskać więcej informacji, zobacz Jak odzyskać dane po kradzieży tożsamości ).
Dostępne są również inne usługi monitorowania kredytu, nie sponsorowane przez Equifax. Usługi ochrony przed kradzieżą tożsamości: warto mieć? wymienia kilka z nich do zbadania.
Odpowiedź Equifax
Richard Smith, ówczesny prezes i dyrektor generalny Equifax, powiedział po hacku, że „był to zdecydowanie rozczarowujący incydent dla naszej firmy, który uderza w samo serce tego, kim jesteśmy i co robimy”. Zrezygnował 26 września i nie otrzyma premii za 2017 r. Jego odejście nastąpiło po tym, jak szef ochrony Susan Mauldin i główny informator David Webb 14 września.
Kilka dni po tym, jak firma ujawniła włamanie wewnętrznie - i zanim ujawniono to naruszenie opinii publicznej - dyrektor finansowy Equifax, John Gamble, prezes ds. Rozwiązań siły roboczej Rodolfo Ploder oraz prezes amerykańskich rozwiązań informatycznych Joseph Loughran sprzedali swoje akcje Equifax. Equifax powiedział w oświadczeniu, że kierownictwo nie wiedziało o naruszeniu, kiedy sprzedawali swoje akcje. Gamble, Ploder i Loughran wspólnie zarobiły prawie 1, 8 miliona dolarów ze sprzedaży.
Według stanu na 28 lutego akcje Equifax spadły o 20, 1% z zamknięcia do 7 września (przed ogłoszeniem hackowania) do 113, 00 USD. Po kilku opóźnieniach Equifax zapowiada, że po zamknięciu 1 marca poda wyniki za czwarty kwartał.
Niech rozpocznie się proces sądowy
Reuters poinformował 11 września, że ponad 30 pozwów - w tym wielu wnoszących pozwy zbiorowe - zostało złożonych przeciwko Equifax w sądach USA. Kilka zarzutów dotyczy naruszenia prawa dotyczącego papierów wartościowych; inni oskarżają TrustedID o przekazywanie kosztownych usług klientom, których dotyczy naruszenie danych. Pięciu mieszkańców Utah pozwało firmę w amerykańskim sądzie rejonowym za brak ochrony wrażliwych danych klientów. Pozew domaga się odszkodowania pieniężnego w wysokości 5 miliardów dolarów i nałożenia surowszych standardów branżowych.
Kilku dotkniętych klientów wybiera mniej tradycyjną drogę, szukając możliwości skorzystania z Equifax. Chatbot DoNotPay zapewnia pomoc w złożeniu skargi w stanowych sądach ds. Drobnych roszczeń, w których maksymalne kary wynoszą od 2 500 do 25 000 USD. Według Verge bot może jedynie generować dokumenty do procesu, a nie składać go lub stawić się w sądzie.
18 września amerykański prokurator FBI i amerykański prokurator John Horn ogłosił śledztwo w sprawie naruszenia przepisów. Biuro Ochrony Konsumentów i 34 prokuratorów generalnych prowadzą dochodzenia.
Pan Smith jedzie do Waszyngtonu
3 października były dyrektor generalny Richard Smith zeznał przed podkomisją House Digital Commerce and Consumer Protection. Wielokrotnie przepraszał za brak ochrony danych konsumentów przez Equifax i napotykał pytania dotyczące szeregu problemów związanych z naruszeniem i odpowiedzią Equifax. Akcje spółki wzrosły po zeznaniu, ale pozostały znacznie poniżej poziomów, na których handlowała przed ujawnieniem hacka.
W odpowiedzi na pytania dotyczące kontrowersyjnej klauzuli arbitrażowej, która początkowo była zawarta w warunkach korzystania z usługi TrustedID Premier, Smith stwierdził, że klauzula „płyta podstawowa” nigdy nie miała zastosowania do naruszenia, i nazwała to „błędem”. Nie powiedziałby tego samego o podobnych klauzulach regulujących inne usługi Equifax, które nazwał „standardem”.
Podejrzana była również podejrzana sprzedaż akcji kierowniczych: rep. Jan Schakowsky, demokrata z Illinois, powiedział, że sprzedaż „nie przechodzi testu zapachu”, ale Smith uświadomił sobie, „o ile wiem, że nie wie” naruszenie w tym czasie.
Smith opisał naruszenie jako wynik błędu ludzkiego i awarii technologicznej: osoba odpowiedzialna za załatanie oprogramowania Apache Struts - które miało publicznie znaną lukę wykorzystywaną przez atakujących - tego nie zrobiła, a skaner powiadomił firmę o tym błędzie również nie powiodło się.
Krytykowana przez firmę reakcja na kryzys również spotkała się z krytyką: utworzenie witryny WordPress z podejrzanym adresem URL, niepowodzenie w zabezpieczeniu podobnych domen (a nawet przekierowanie klientów do jednej z tych domen), niewystarczające obsadzenie centrów obsługi telefonicznej i ogólnie tworzenie wrażenie, że firma - która istnieje w celu gromadzenia, zabezpieczania i sprzedaży wrażliwych danych - była całkowicie nieprzygotowana na cyberatak w swoich bazach danych. Rep. Markwayne Mullin, republikanin z Oklahomy, powiedział Smithowi, że jego reakcja powinna być jak uruchomienie alarmu pożarowego: „natychmiast wchodzi na miejsce”. Smith odpowiedział, że jego zespół „przestrzegał protokołu”. Kilku przedstawicieli wspomniało, że Smith wygłosił w sierpniu przemówienie opisujące oszustwo jako „ogromną szansę” i „ogromny, rozwijający się biznes” - po tym, jak dowiedział się o naruszeniu.
Smith odmówił odpowiedzi na pytania dotyczące źródła ataku, w tym tego, czy może to być aktor państwowy. Powiedział po prostu, że FBI prowadzi dochodzenie. Bronił inwestycji Equifax w cyberbezpieczeństwo podczas swojej kadencji, mówiąc, że kiedy przybył dwanaście lat temu, praktycznie nie było inwestycji w ochronę danych. Smith wydał ćwierć miliarda dolarów i zatrudnił 225-osobowy zespół do zabezpieczenia danych firmy, inwestując standardowe w branży 10-14% budżetu IT firmy w cyberbezpieczeństwo.
Niektórzy przedstawiciele wskazali, że naruszenie to otworzyło podstawowe pytania dotyczące roli branży monitorowania kredytów i praw konsumentów. „Co jeśli chcę zdecydować się na Equifax?” - zapytał Schakowski. Smith odpowiedział: „to wymaga znacznie szerszej dyskusji na temat roli agencji raportowania kredytów”. Rep. Tonko, nowojorski demokrata, powtórzył to zdanie, wskazując, że tak naprawdę nie jest „klientem”, ponieważ nigdy nie wybrał współpracy z Equifax. „Dlaczego ta firma może nadal istnieć?” on zapytał. W różnych momentach Smith kwestionował wartość numerów ubezpieczenia społecznego jako sposobu na potwierdzenie tożsamości i zawierał niejasne odniesienia do „przywracania władzy konsumentowi”.
Największe pytanie dnia padło od Kalifornijskiej Demokraty Doris Matsui: „Czy jestem właścicielem moich danych?” Smith nie mógł odpowiedzieć. (Zobacz także Blockchain może cię - nie Equifax - właścicielem twoich danych ).