Мене зламали? З’ясуйте, чи порушує вас порушення порушення рівня рівних

7 вересня 2017 року компанія Equifax Inc. (EFX) оголосила, що 143 мільйони її клієнтів зазнали хак, що стався між серединою травня і липнем. Ця цифра збільшилась до 145, 5 мільйона протягом наступних тижнів, потім до 147, 9 мільйонів 1 березня 2018 року, коли компанія заявила, що виявила 2, 4 мільйона додаткових жертв.

Після закриття ринку того ж дня компанія повідомила про фінансові результати четвертого кварталу та повного року. Доходи компанії в четвертому кварталі зросли на 5% за рік та склали 838, 5 млн доларів. Чистий дохід у кварталі зріс на 40% порівняно з минулим роком до 172, 3 млн доларів. Цілорічні доходи та прибутки також зросли порівняно з 2016 роком: доходи зросли на 7% до 3, 4 млрд доларів, а чистий дохід збільшився на 20% до 587, 3 млн доларів. Компанія заявила, що хак коштував їй 26, 5 мільйонів доларів у четвертому кварталі та 114, 0 мільйонів доларів за весь рік, за вирахуванням страхових виплат. Фондовий обсяг, який закрився на 1, 3% відповідно до S&P 500, піднявся на 0, 6% в позаурочний торг на момент написання.

За даними Equifax, було викрито 209 000 номерів кредитних карток клієнтів, а документи про суперечки, пов’язані з 182 000 споживачами США, включаючи особисту інформацію, були порушені. Британські споживачі також постраждали від порушення; можливо, що деякі канадці були піддані компрометації. За даними Wall Street Journal, посилаючись на неназване джерело, 10, 9 мільйона американських водійських даних було викрадено в порушенні.

Компанія знала про напад з 29 липня, але чекала понад місяць, щоб оповістити громадськість. 20 вересня повідомлялося, що Mandiant, дочірнє підприємство FireEye Inc. (FEYE), укладене компанією Equifax, розраховує, що таке порушення було принаймні 10 березня.

Мало інформації щодо джерела нападу, який розслідує ФБР, але, за словами Bloomberg, схожість на попередні напади на Управління управління персоналом та "Гімн Інк." Припускають, що зловмисник може бути державним, можливо, китайським. Те, що інформація клієнтів Equifax не з’явилася на чорному ринку, також говорить про те, що хакери не були просто злочинцями. Також Bloomberg повідомляє, що нападники націлилися на конкретних осіб, можливо, через їх багатство чи інтелектуальну цінність.

Зважаючи на те, що доросле населення США становить близько 250 мільйонів, великі шанси на те, що на вас порушили порушення. Можливо також, що ви вже стали жертвою шахрайства, оскільки напад почався майже півроку тому.

На базі Атланти Equifax, одне з трьох великих агентств звітності споживчих кредитів - інші два - Experian PLC (Лондон: EXPN) та TransUnion (TRU) - збирає дані, включаючи номери соціального страхування, номери кредитних карток, номери посвідчень водіїв, оренду та комунальні послуги платіжна інформація та демографічні дані. Оскільки модель Equifax - це передусім бізнес-бізнес, багато її клієнтів не знають, що їх дані зберігає фірма. Крім того, щоб взагалі не уникати фінансово-кредитної системи, немає жодного прямого способу відмовитися від зберігання особистих даних Equifax. (Дивіться також, 5 найбільших злому даних про кредитну карту в історії. )

Як перевірити, якщо вас постраждали

Equifax створив веб-сайт, на якому ви можете перевірити, чи було порушено вашу інформацію, вказавши своє прізвище та останні шість цифр вашого номера соціального страхування. Цей сайт зазнав гострої критики, і ми видалили посилання через питання щодо його безпеки. Він був створений за допомогою WordPress, позаштатної платформи для блогів. Він розміщений в окремому домені до головного сайту Equifax. Компанія нехтувала реєстрацією подібних URL-адрес, які можна використовувати для фішинг-атак; один хакер із білої шапки створив саме такий сайт, щоб довести свою точку, а офіційний обліковий запис Equifax написав посилання на фальшивий сайт. Неодноразово.

Equifax запропонував клієнтам - постраждалим чи ні - такі послуги, які він називає TrustedID Premier: копії кредитного звіту Equifax, моніторинг кредитування та автоматизовані сповіщення для всіх трьох основних кредитних бюро, можливість блокувати доступ сторонніх осіб до вашого кредитного звіту Equifax (за винятком), моніторинг номерів соціального страхування та 1 мільйон доларів США на страхування викрадення особистих даних. Кінцевий термін подачі заявки - 21 листопада 2017 року.

Компанія каже, що всі ці послуги є безкоштовними, але розміщення заморожених файлів на кредитних файлах спочатку не було безкоштовним - принаймні, не для всіх. Коли я спробував заморозити кредитний файл Equifax 8 вересня, сайт компанії сказав, що послуга обійдеться в 3, 00 долара, і попросив інформацію про кредитну карту для обробки платежу.

Захоплення екрана з www.freeze.equifax.com (8 вересня 2017 року о 11:46 EDT).

Як житель Нью-Йорка, я міг безкоштовно розмістити на своєму файлі Experian файл. Сайт TransUnion не зміг обробити запит спочатку - швидше за все це симптом збільшення трафіку - але пізніше дозволив мені безкоштовно розмістити заморозку.

У повідомленні, надісланому електронною поштою, прес-секретар компанії Equifax повідомив Інвестопедію 14 вересня, що фірма відмовляється від усіх зборів за заморожування кредитних файлів і автоматично відшкодовує клієнтам, які заплатили за це після оприлюднення зламу. Нове занепокоєння - і явний проміжок безпеки - виникло навколо PIN-кодів, які компанія видала клієнтам, які заморозили їхні кредитні звіти. Ці PIN-коди, які дозволяють клієнтам розморожувати кредитні звіти, дотримуються легко ідентифікованої моделі. Прес-секретар заявив, що клієнти з цими несправними PIN-кодами повинні зателефонувати за номером 866-349-5191, щоб поговорити з агентом, що живе.

Якщо ви отримали PIN-код після повідомлення про злом, ваш може бути одним із несправних. Виправити це непросто. Дванадцять дзвінків на лінію вранці 15 вересня дали вісім зайнятих сигналів і чотири випадки повного мовчання.

Служби TrustedID Premier Equifax перераховують як безкоштовні лише рік. Прес-секретар компанії Equifax повідомила Investopedia, що компанія не запитує інформацію про кредитні картки, коли клієнти підписуються на послугу, і що компанія не буде автоматично її поновлювати або стягувати плату. Стандартна ставка Equifax для моніторингу кредитування становить 17 доларів на місяць.

Що робити, якщо вас постраждали

Ліз Вестон, особиста письменниця з фінансів компанії NerdWallet, має такі поради для постраждалих від порушення рівня "Екіфакс", якими вона поділилася з Інвестопедією в електронному листі: "Екіфакс звернеться до жертв та запропонує їм кредитний моніторинг. Жертви повинні переконатися, що погода на моніторинг не заважає їм долучитися до судових позовів чи інших дій у дорозі ".

Спочатку сторінка з умовами надання послуг TrustedID Premier (архівована версія) насправді вимагала від користувачів відмовитись від права приєднатись до позовної заяви проти Equifax: "Погодившись подати Ваші претензії на арбітраж, ви будете втрачати право на пред'явлення або участь в будь-якій класовій дії (будь то іменований позивач чи член класу) або ділитися в будь-яких нагородах класових дій, включаючи претензії до класу, коли клас ще не був сертифікований, навіть якщо факти та обставини, на яких ґрунтуються претензії, вже відбулися або існували ". Після зворотної реакції сторінку поширених запитів компанії було оновлено, щоб сказати, що стаття застосована до служби TrustedID Premier, а не до злому. Станом на ранок 12 вересня, умови надання послуг більше не включають арбітражне застереження.

Уестон каже, що постраждалі клієнти повинні розглянути питання про заморожування своїх кредитних звітів на всіх трьох основних бюро. Як було сказано вище, кредитні бюро можуть стягувати плату за ініціювання заморозки. Ви також можете стягувати плату за розморожування рахунків, коли вам потрібно чековий кредит (наприклад, щоб подати заявку на послугу мобільного телефону). Зазвичай ці збори не перевищують 10 доларів, але їх можна скласти. Вестон зазначає, що ще одним варіантом є подання попередження про шахрайство у ваших кредитних звітах у трьох кредитних бюро. (Докладніше див. Як відновити після крадіжки особи .)

Також доступні інші послуги з моніторингу кредитування, не спонсоровані Equifax. Служби захисту крадіжок особи: варто мати ">

Відповідь Equifax

Тодішній голова та генеральний директор Equifax Річард Сміт заявив після виступу, що це "явно невтішний інцидент для нашої компанії, і той, хто вражає серце, хто ми і що робимо". Він відступив 26 вересня і не отримає бонус за 2017 рік. Його відхід відбувся після виїзду головного співробітника служби безпеки Сьюзан Малдін та головного директора з питань інформації Девіда Вебба 14 вересня.

Кілька днів після того, як компанія виявила злому внутрішньо - і до того, як порушення було розкрито громадськості - головний фінансовий директор компанії Equifax Джон Гембл, її президент з питань трудових рішень Родольфо Плодер та його президент американських інформаційних рішень Джозеф Лофран продали свої акції Equifax. У заяві компанії Equifax сказано, що керівники не знали про порушення, коли продавали свої запаси. Гембл, Плодер та Лофран спільно заробили майже 1, 8 мільйона доларів від продажів.

Станом на 28 лютого акції Equifax знизилися на 20, 1% з моменту закриття 7 вересня (до того, як було оголошено про злом) до 113, 00 доларів. Після декількох затримок, Equifax каже, що повідомить про прибутки в четвертому кварталі після закриття 1 березня.

Нехай почнуться судові справи

Reuters повідомив 11 вересня, що понад 30 судових позовів - багато з яких вимагають класових позовів - було порушено проти Equifax в судах США. Кілька тверджень про порушення закону про цінні папери; інші звинувачують TrustedID у виправданні дорогих послуг клієнтам, які постраждали від порушення даних. П’ятеро жителів штату Юта подали до суду в окружний суд США за невдачу захищених даних клієнтів. Позов вимагає грошових збитків у розмірі 5 мільярдів доларів та накладення суворіших галузевих стандартів.

Кілька постраждалих клієнтів проходять менш традиційний маршрут, шукаючи звернення до Equifax. Чат-робот DoNotPay надає допомогу в поданні скарги в державних судах з дрібними позовами, де максимальні штрафи становлять від 2500 до 25 000 доларів. Бот може генерувати документи лише для судового позову, а не фактично подавати його або з’являтися в суді, повідомляє Verge.

18 вересня ФБР та прокурор США Джон Хорн оголосили про порушення кримінальної справи за фактом порушення. Бюро фінансового захисту споживачів та 34 державні адвокати проводять розслідування.

Містер Сміт їде до Вашингтона

3 жовтня колишній генеральний директор Річард Сміт дав свідчення перед підкомітетом по цифровій торгівлі та захисту прав споживачів. Він кілька разів вибачився за неспроможність Equifax захистити дані споживачів і зіткнувся з питаннями про низку питань, пов'язаних з порушенням та відповіді Equifax. Акції компанії зросли після показань, але залишилися значно нижче рівнів, на яких торгували до розкриття зламу.

У відповідь на запитання щодо суперечливого арбітражного застереження, яке спочатку було включено до умов надання послуги TrustedID Premier, Сміт заявив, що пункт "котла" ніколи не мав на меті застосовуватись до порушення та назвав його включення "помилкою". Він не сказав би те саме про подібні пункти, що регулюють інші послуги Equifax, які він назвав "стандартними".

Підозрілі приурочені продажі акцій також потрапили під ретельний контроль: репутація Яна Шаковського, Іллінойський демократ, заявила, що продаж "не проходить перевірку запаху", але Сміт відмовився, "наскільки мені відомо, вони не знали" про порушення в той час.

Сміт описав порушення як результат людської помилки та технологічної невдачі: особа, відповідальна за те, щоб виправити програмне забезпечення Apache Struts - яке мало загальновідому вразливість, яку зловмисники експлуатували - цього не вдалося, і сканер, який мав би Попередив компанію про цю помилку також не вдалося.

Невпинна реакція компанії на кризу також виступила з критикою: створення сайту WordPress з підозрілою URL-адресою, не в змозі захистити подібні домени (і навіть спрямувати клієнтів до одного з цих доменів), не в змозі забезпечити належну кількість центрів виклику персоналу та загалом створити складається враження, що компанія - яка існує для збору, захисту та продажу конфіденційних даних - була абсолютно не готова до кібератаки на свої бази даних. Преподобний Марквейн Маллін, республіканець штату Оклахома, сказав Сміту, що його відповідь мала бути як витягнути пожежну сигналізацію: "це негайно стає на місце". Сміт відповів, що його команда "дотримувалася протоколу". Кілька представників згадували, що Сміт виступив з промовою, описуючи шахрайство як "величезну можливість" та "масований, зростаючий бізнес" у серпні - після того, як він дізнався про порушення.

Сміт відмовився відповідати на запитання про джерело нападу, включаючи, чи може це бути державним актором. Він сказав просто, що ФБР веде розслідування. Він захищав інвестиції Equifax у кібербезпеку під час свого перебування на посаді, заявивши, що коли він приїхав дванадцять років тому, інвестицій у захист даних практично не було. Компанія витратила чверть мільярдів доларів і найняла команду з 225 осіб для захисту даних компанії, заявив Сміт, інвестуючи стандартний галузевий 10-14% ІТ-бюджету компанії в кібербезпеку.

Деякі представники зазначили, що порушення відкрило фундаментальні питання щодо ролі галузі моніторингу кредитування та прав споживачів. "Що робити, якщо я хочу вибрати наш Equifax?" - запитав Шаковський. Сміт відповів, "що вимагає набагато ширшої дискусії щодо ролі агентств з надання кредитних звітів". Преподобний Тонко, нью-йоркський демократ, виголосив почуття, зазначивши, що він насправді не є "замовником", ніколи не вирішивши вести бізнес з Equifax. "Чому цій компанії дозволено продовжувати своє існування?" запитав він. У різні моменти Сміт ставив під сумнів значення номерів соціального страхування як способу підтвердження ідентичності та зробив неясні посилання на те, щоб повернути "владу споживачеві".

Найбільше питання дня прийшло від Каліфорнійської демократи Доріс Мацуї: "Чи я володію своїми даними?" Сміт не міг відповісти. (Дивіться також, Blockchain може зробити вас - не еквіфакс - власником ваших даних. )