Vai es biju uzlauzts? Uzziniet, vai Equifax pārkāpums ietekmē jūs

Equifax Inc. (EFX) 2017. gada 7. septembrī paziņoja, ka 143 miljonus tās klientu skāra hakeri, kas notika laikā no maija vidus līdz jūlijam. Turpmākajās nedēļās šis skaitlis tika samazināts līdz 145, 5 miljoniem, pēc tam - līdz 147, 9 miljoniem 2018. gada 1. martā, kad uzņēmums paziņoja, ka ir identificējis 2, 4 miljonus papildu upuru.

Pēc tirgus slēgšanas tajā pašā dienā uzņēmums ziņoja par ceturtā ceturkšņa un visa gada finanšu rezultātiem. Uzņēmuma ceturtā ceturkšņa ieņēmumi salīdzinājumā ar iepriekšējo gadu pieauga par 5% līdz USD 838, 5 miljoniem. Tīrie ienākumi ceturksnī salīdzinājumā ar iepriekšējā gada atbilstošo periodu pieauga par 40% līdz USD 172, 3 miljoniem. Pilna gada ieņēmumi un peļņa arī pieauga, salīdzinot ar 2016. gadu: ieņēmumi palielinājās par 7% līdz USD 3, 4 miljardiem, bet neto ienākumi pieauga par 20% līdz USD 587, 3 miljoniem. Kompānija sacīja, ka hakeru veikšana tam bija izmaksājusi 26, 5 miljonus dolāru ceturtajā ceturksnī un 114, 0 miljonus dolāru visā gadā, atskaitot apdrošināšanas izmaksas. Krājums, kas slēdza 1.3% saskaņā ar S&P 500, pēcslodzes tirdzniecībā raksta laikā ir palielinājies par 0.6%.

Saskaņā ar Equifax datiem tika atklāti 209 000 klientu kredītkaršu numuri, un tika apdraudēti strīdu dokumenti, kas saistīti ar 182 000 ASV patērētāju - kas ietver personisko informāciju. Pārkāpums skāris arī Lielbritānijas patērētājus; iespējams, ka daži kanādieši tika apdraudēti. Saskaņā ar Wall Street Journal datiem, atsaucoties uz nenosauktu avotu, pārkāpumā tika nozagti 10, 9 miljoni amerikāņu autovadītāju apliecību.

Kompānija bija zinājusi par uzbrukumu kopš 29. jūlija, taču gaidīja vairāk nekā mēnesi, lai brīdinātu sabiedrību. 20. septembrī tika ziņots, ka Mandiant, FireEye Inc. (FEYE) meitasuzņēmums, ar kuru noslēdzis līgumu ar Equifax, lēš, ka līdz šim izdarītais pārkāpums ir vismaz 10. marts.

Par uzbrukuma avotu, ko izmeklē FBI, ir maz informācijas, taču saskaņā ar Bloomberg teikto, līdzības ar iepriekšējiem uzbrukumiem Personāla vadības birojam un Anthem Inc. liecina, ka uzbrucējs varētu būt valsts sponsorēts, iespējams, ķīnietis. Tas, ka Equifax klientu informācija nav parādījusies melnajā tirgū, arī liek domāt, ka hakeri nebija vienkārši noziedznieki. Bloomberg arī ziņo, ka uzbrucēji mērķējuši uz konkrētām personām, iespējams, viņu bagātības vai izlūkošanas vērtības dēļ.

Ņemot vērā, ka pieaugušo ASV iedzīvotāju skaits ir aptuveni 250 miljoni, ir lielas izredzes, ka jūs esat skāris pārkāpums. Ir arī iespējams, ka jūs jau esat kļuvis par krāpšanas upuri kopš uzbrukuma sākuma gandrīz pirms sešiem mēnešiem.

Atlanta bāzētā Equifax, viena no trim lielajām patēriņa kredīta ziņošanas aģentūrām - pārējās divas ir Experian PLC (Londona: EXPN) un TransUnion (TRU) - vāc datus, tostarp sociālās apdrošināšanas numurus, kredītkaršu numurus, autovadītāju apliecību numurus, īres maksu un komunālos pakalpojumus. maksājumu informācija un demogrāfiskie dati. Tā kā Equifax modelis galvenokārt attiecas uz uzņēmējdarbību, daudzi tās klienti nezina, ka firma glabā viņu datus. Papildus izvairīšanās no finanšu un kredītreitingu sistēmas esamības nav arī vienkārša veida, kā atteikties no personas datu glabāšanas Equifax. (Skat. Arī 5 lielākos kredītkaršu datu pagātnes vēsturē. )

Kā pārbaudīt, vai jūs tiekat ietekmēts

Equifax ir izveidojis vietni, kurā varat pārbaudīt, vai jūsu informācija nav apdraudēta, norādot savu uzvārdu un sociālā nodrošinājuma numura pēdējos sešus ciparus. Šī vietne ir tikusi kritizēta, un saite ir noņemta, jo ir radušies jautājumi par tās drošību. Tas tika izveidots, izmantojot WordPress, e-pasta blogošanas platformu. Tas atrodas atsevišķā domēnā Equifax galvenajā vietnē. Uzņēmums nevērīgi reģistrēja līdzīgus URL, kurus varēja izmantot pikšķerēšanas uzbrukumiem; viens balto cepuru hakeris izveidoja tieši šādu vietni, lai pierādītu punktu, un oficiālais Equifax konts tweedēja saiti uz viltus vietni. Vairāk nekā vienreiz.

Equifax piedāvāja klientiem, kurus ietekmē vai neietekmē, šādus pakalpojumus, kurus tā sauc par TrustedID Premier: Equifax kredīta pārskata kopijas, kredīta uzraudzība un automātiski brīdinājumi par visiem trim galvenajiem kredītbirojiem, iespēja bloķēt trešo personu piekļuvi jūsu Equifax kredītvēsturei. (ar izņēmumiem), sociālās apdrošināšanas numuru uzraudzība un 1 miljons dolāru identitātes zādzību apdrošināšanai. Pieteikšanās termiņš bija 2017. gada 21. novembris.

Uzņēmums saka, ka visi šie pakalpojumi ir bezmaksas, taču drošības naudas iesaldēšanas ievietošana kredītfailā sākotnēji nebija bezmaksas - vismaz ne visiem. Kad 8. septembrī es mēģināju iesaldēt Equifax kredītfailu, uzņēmuma vietne teica, ka pakalpojums maksās 3, 00 USD, un lūdza norādīt kredītkartes informāciju, lai apstrādātu maksājumu.

Ekrāna satvērējs no vietnes www.freeze.equifax.com (2017. gada 8. septembris plkst. 11:46 EDT).

Kā Ņujorkas iedzīvotājs es varēju bez maksas ievietot manu Experian failu. TransUnion vietne sākotnēji nespēja apstrādāt pieprasījumu - kas, iespējams, ir palielinātas trafika simptoms, bet vēlāk ļāva man ievietot iesaldēšanu bez maksas.

Paziņojumā pa e-pastu Equifax pārstāvis 14. septembrī portālam Investopedia sacīja, ka firma atsakās no visām maksām par kredītvēstuļu iesaldēšanu un automātiski atmaksā klientiem, kuri par to samaksāja pēc haketa publiskošanas. Ap PIN, ko uzņēmums izsniedza klientiem, kuri bija iesaldējuši kredītvēstures pārskatus, tagad ir radušās jaunas bažas un skaidrs drošības zaudējums. Šie PIN, kas klientiem ļauj atsaldēt kredīta pārskatus, seko viegli identificējamam modelim. Pārstāvis sacīja, ka klientiem ar šiem kļūdainajiem PIN numuriem jāzvana pa tālruni 866-349-5191, lai sarunātos ar aktīvu aģentu.

Ja pēc ziņošanas par hakeru saņēmāt PIN kodu, iespējams, ka jūsu PIN kods ir kļūdains. Nofiksēt to nav viegli. Divpadsmit izsaukumi uz līniju 15. septembra rītā deva astoņus aizņemtus signālus un četrus pilnīga klusuma gadījumus.

TrustedID Premier pakalpojumu Equifax saraksti kā bezmaksas ir pieejami tikai gadu. Equifax pārstāvis pastāstīja Investopedia, ka uzņēmums neprasa kredītkartes informāciju, kad klienti reģistrējas pakalpojumam, un ka uzņēmums to automātiski neatjaunos un nepieprasīs maksu. Equifax standarta likme kredīta uzraudzībai ir USD 17 mēnesī.

Ko darīt, ja jūs to ietekmēja

NerdWallet personīgo finanšu rakstniecei Lizai Vestonai ir šādi padomi tiem, kurus skāris Equifax pārkāpums, ar kuriem viņa dalījās ar Investopedia e-pastā: "Equifax uzrunās upurus un piedāvās viņiem kredīta uzraudzību. Upuriem jāpārliecinās, ka piekrišana uzraudzībai neliedz viņiem iesaistīties tiesas prāvās vai citās darbībās. "

Sākotnēji TrustedID Premier pakalpojumu sniegšanas noteikumu lapā (arhivētā versija) lietotājiem faktiski tika pieprasīts atteikties no tiesībām pievienoties klases prasību tiesvedībai pret Equifax: "Piekrītot iesniegt savas prasības šķīrējtiesā, jūs zaudēsit savas tiesības celt vai piedalīties jebkurā klases darbībā (neatkarīgi no tā, vai tas ir nosaukts prasītājs vai klases dalībnieks) vai piedalās jebkurā klases prēmijā, ieskaitot prasījumus par klasēm, kurās klase vēl nav sertificēta, pat ja fakti un apstākļi, uz kuriem balstās prasījumi, jau ir notikuši vai eksistēja. " Pēc atbildes reakcijas tika atjaunināta uzņēmuma FAQ lapa, kurā teikts, ka klauzula tika piemērota pakalpojumam TrustedID Premier, nevis hack. Sākot ar 12. septembra rītu, pakalpojumu sniegšanas noteikumos vairs nav iekļauta šķīrējtiesas klauzula.

Vestons saka, ka ietekmētajiem klientiem jāapsver iespēja iesaldēt kredītvēsture visos trīs galvenajos birojos. Kā minēts iepriekš, kredītbiroji var iekasēt maksu par iesaldēšanas sākšanu. Jums var būt jāmaksā arī par kontu iesaldēšanu, ja jums nepieciešama kredītpārbaude (piemēram, lai pieteiktos mobilā tālruņa pakalpojumam). Šīs maksas parasti ir mazākas par 10 USD, taču tās var saskaitīt. Vestons norāda, ka vēl viena iespēja ir trijos kredītbirojos ievietot brīdinājumu par krāpšanu jūsu kredīta pārskatos. (Plašāku informāciju skatiet sadaļā Kā atgūties no identitātes zādzībām .)

Ir pieejami arī citi kredītnovērošanas pakalpojumi, kurus nesponsorē Equifax. Identitātes zādzību aizsardzības pakalpojumi: ir vērts ">

Equifax atbilde

Equifax toreizējais priekšsēdētājs un izpilddirektors Ričards Smits pēc uzlaušanas teica, ka tas bija "acīmredzami neapmierinošs starpgadījums mūsu uzņēmumam un tas, kas centrā liekas, kas mēs esam un ko mēs darām". Viņš atkāpās no amata 26. septembrī un nesaņems prēmiju par 2017. gadu. Viņa aiziešana sekoja galvenās drošības virsnieces Sūzenas Mauldinas un galvenā informācijas virsnieka Deivida Veba aiziešanai 14. septembrī.

Dažas dienas pēc tam, kad kompānija atklāja hakeru iekšēji - un pirms pārkāpums tika atklāts sabiedrībai - Equifax galvenais finanšu virsnieks Džons Gamble, tā darbaspēka risinājumu prezidents Rodolfo Ploder un ASV informācijas risinājumu prezidents Džozefs Loughrans pārdeva savas Equifax akcijas. Equifax paziņojumā sacīja, ka vadītāji nezina par pārkāpumu, pārdodot savus krājumus. Gamble, Ploder un Loughran kopā nopelnīja gandrīz 1, 8 miljonus USD.

Sākot ar 28. februāri, Equifax akcijas ir kritušās par 20, 1%, sākot no tās slēgšanas 7. septembrī (pirms tika paziņots par hacku) līdz USD 113.00. Pēc vairākām kavēšanām Equifax saka, ka tā ziņos par ceturtā ceturkšņa ieņēmumiem pēc slēgšanas 1. martā.

Lai sākas tiesas prāvas

Reuters 11. septembrī ziņoja, ka vairāk nekā 30 tiesas prāvas - daudzas no tām meklē kopīgu prasību - ir iesniegtas pret Equifax ASV tiesās. Vairāki apgalvo par vērtspapīru likuma pārkāpumiem; citi apsūdz TrustedID par dārgu pakalpojumu novirzīšanu klientiem, kurus skāris datu pārkāpums. Pieci Jūtas iedzīvotāji ir iesūdzējuši uzņēmumu ASV apgabaltiesā par klientu slepenu datu neaizsargāšanu. Prāva pieprasa naudas zaudējumu atlīdzību USD 5 miljardu apmērā un stingrāku nozares standartu ieviešanu.

Daži ietekmēti klienti izmanto ne tik tradicionālu ceļu, meklējot iespēju izmantot Equifax. DoNotPay tērzēšanas vietne sniedz palīdzību sūdzības iesniegšanā valsts maza apmēra prasību tiesā, kur maksimālais sods svārstās no 2500 līdz 25 000 USD. Robots var ģenerēt tikai dokumentus tiesas procesam, nevis faktiski tos iesniegt vai parādīties tiesā, vēsta Verge.

FBI un Atlanta bāzētais ASV advokāts Džons Horns 18. septembrī paziņoja par kriminālizmeklēšanu par pārkāpumu. Patērētāju finanšu aizsardzības birojs un 34 štata ģenerālprokurori veic izmeklēšanu.

Smita kungs dodas uz Vašingtonu

3. oktobrī bijušais izpilddirektors Ričards Smits liecināja House Digital Commerce and Consumer Protection apakškomitejā. Viņš vairākas reizes atvainojās par Equifax nespēju aizsargāt patērētāju datus un uzdeva jautājumus par virkni jautājumu, kas saistīti ar pārkāpumu un Equifax atbildi. Pēc liecības uzņēmuma krājumi pieauga, bet palika krietni zem tā līmeņa, kurā tas tika tirgots, pirms tika atklāta informācija par hack.

Atbildot uz jautājumiem par pretrunīgi vērtēto šķīrējtiesas klauzulu, kas sākotnēji tika iekļauta TrustedID Premier pakalpojumu sniegšanas noteikumos, Smits sacīja, ka "katlu plāksnes" klauzulu nekad nav paredzēts piemērot pārkāpumam un nosauca tās iekļaušanu par "kļūdu". Viņš neteiktu to pašu par līdzīgiem noteikumiem, kas regulē citus Equifax pakalpojumus, kurus viņš sauca par "standarta".

Tika uzraudzīti arī aizdomīgi laikietilpīgie akciju pārdošanas apjomi: Ilinoisas demokrātu pārstāvis Jans Šakovskis sacīja, ka pārdošana "neiztur smakas testu", bet Smits apņēmās, "cik man zināms, viņi nezina" par pārkāpums tajā laikā.

Smits aprakstīja pārkāpumu kā cilvēku kļūdu un tehnoloģisku kļūmi: personai, kas ir atbildīga par programmatūras Apache Struts ielāpu, kurai bija publiski zināma ievainojamība, kuru uzbrucēji izmantoja, to neizdevās izdarīt, kā arī skenerim, kuram būtu brīdināja uzņēmumu par šo kļūdu arī neizdevās.

Kompānijas kritiskā reakcija uz krīzi nāca arī par kritiku: WordPress vietnes ar aizdomīgu URL iestatīšana, līdzīgu domēnu nenodrošināšana (un pat klientu novirzīšana uz vienu no šiem domēniem), nepietiekama personāla zvanu centru nodrošināšana un vispārīga izveidošana radās iespaids, ka uzņēmums, kas darbojas, lai savāktu, aizsargātu un pārdotu sensitīvus datus, bija pilnīgi nesagatavots kiberuzbrukumam savās datu bāzēs. Rep. Markwayne Mullin, Oklahomas republikāņu pārstāvis, sacīja Smitam, ka viņa reakcijai vajadzēja būt kā ugunsgrēka trauksmes izsaukšanai: "tā nekavējoties nonāk vietā." Smits atbildēja, ka viņa komanda "ievēro protokolu". Vairāki pārstāvji minēja, ka Smits runāja, aprakstot krāpšanu kā “milzīgu iespēju” un “masīvu, augošu biznesu” augustā - pēc tam, kad viņš uzzināja par pārkāpumu.

Smits atteicās atbildēt uz jautājumiem par uzbrukuma avotu, tostarp par to, vai tas varētu būt štata dalībnieks. Viņš vienkārši sacīja, ka FBI veic izmeklēšanu. Viņš aizstāvēja Equifax ieguldījumus kiberdrošībā pilnvaru laikā, sakot, ka, ierodoties pirms divpadsmit gadiem, datu aizsardzībā praktiski nebija investīciju. Uzņēmums iztērēja ceturtdaļu miljardu dolāru un noalgoja 225 cilvēku komandu, lai nodrošinātu uzņēmuma datus, sacīja Smits, ieguldot nozares standarta 10–14% no uzņēmuma IT budžeta kiberdrošībā.

Daži pārstāvji norādīja, ka pārkāpums ir atklājis pamatjautājumus par kredītu uzraudzības nozares lomu un patērētāju tiesībām. "Ko darīt, ja es gribu izvēlēties mūsu Equifax?" Šakovskis jautāja. Smits atbildēja: "tas prasa daudz plašākas diskusijas par kredītreitingu aģentūru lomu". Ņujorkas demokrātu pārstāvis Tonko atkārtoja sentimentu, norādot, ka viņš patiesībā nav “klients” un nekad nav izvēlējies veikt darījumus ar Equifax. "Kāpēc šim uzņēmumam ir atļauts turpināt pastāvēt?" viņš jautāja. Dažādos punktos Smits apšaubīja sociālās apdrošināšanas numuru vērtību kā identitātes pierādīšanas veidu un izteica neskaidras atsauces uz "varas atdošanu patērētājam".

Dienas lielāko jautājumu uzdeva Kalifornijas demokrāts Doriss Matsui: "Vai man pieder mani dati?" Smits nespēja atbildēt. (Skat. Arī Blockchain var padarīt jūs - nevis Equifax - jūsu datu īpašnieku. )