Az Equifax Inc. (EFX) 2017. szeptember 7-én bejelentette, hogy ügyfeleinek 143 millióját érintette a május közepétől júliusig tartó csapkodás. Ezt a számot a következő hetekben 145, 5 millióra, majd 2017. március 1-jén 147, 9 millióra emelték, amikor a vállalat szerint 2, 4 millió további áldozatot azonosított.
Ugyanazon a napon a piac bezárása után a társaság a negyedik negyedév és a teljes év pénzügyi eredményeiről számolt be. A társaság negyedik negyedéves bevételei 5% -kal növekedtek az előző év azonos időszakához képest, 838, 5 millió dollárra. A nettó jövedelem a negyedévben 40% -kal nőtt az előző év azonos időszakához képest, 172, 3 millió dollárra. A teljes év bevételei és nyeresége szintén nőttek 2016-hoz képest: a bevételek 7% -kal emelkedtek, 3, 4 milliárd dollárra, míg a nettó jövedelem 20% -kal 587, 3 millió dollárra nőtt. A cég szerint a hack 26, 5 millió dollárba került a negyedik negyedévben és 114, 0 millió dollárba a teljes évben, a biztosítási kifizetések levonásával. Az állomány, amely az S&P 500 szerint 1, 3% -kal bezárt, 0, 6% -kal növekedett az órák utáni kereskedelemben az írás időpontjában.
Az Equifax szerint 209 000 ügyfél hitelkártya-számát tettek nyilvánosságra, és a 182 000 amerikai fogyasztóval kapcsolatos - a személyes információkat is tartalmazó - vitadokumentumok veszélybe kerültek. A jogsértés a brit fogyasztókat is érintette; lehetséges, hogy néhány kanadai veszélybe került. A Wall Street Journal szerint névtelen forrásra hivatkozva 10, 9 millió amerikai vezetői engedély adatot loptak el a jogsértés során.
A társaság július 29 óta tudott a támadásról, de egy hónapig várt, hogy figyelmeztesse a nyilvánosságot. Szeptember 20-án arról számoltak be, hogy a Mandiant, a FireEye Inc. (FEYE) leányvállalata, amelyet az Equifax bérelt meg, a már meglévő jogsértést legalább március 10-ig becsüli.
Kevés információ áll rendelkezésre a támadás forrásáról, amelyet az FBI vizsgál ki, ám Bloomberg szerint a személyi menedzsment irodája és az Anthem Inc. elleni korábbi támadásokhoz hasonló hasonlóságok azt sugallják, hogy a támadó állami támogatású lehet, esetleg kínai. Az, hogy az Equifax ügyfeleinek adatai nem jelentek meg a fekete piacon, arra utal, hogy a hackerek nem csupán bűnözők voltak. A Bloomberg arról is beszámol, hogy a támadók meghatározott személyeket céloztak meg, talán gazdagságuk vagy hírszerzési értékeik miatt.
Tekintettel arra, hogy az USA felnőtt lakossága 250 millió körül van, jó esélye van arra, hogy a jogsértés sújtotta Önt. Az is lehetséges, hogy már csalás áldozata lett, mivel a támadás majdnem hat hónappal ezelőtt kezdődött.
Az atlantai székhelyű Equifax, a három nagy fogyasztói hitelinformációs ügynökség - a másik kettő az Experian PLC (London: EXPN) és a TransUnion (TRU) - egyike - adatokat gyűjt, ideértve a társadalombiztosítási számokat, a hitelkártya-számokat, a járművezetői engedélyek számát, a bérleti díjat és a segédprogramot. fizetési információk és demográfiai adatok. Mivel az Equifax modellje elsősorban vállalkozások közötti üzlet, sok ügyfelének nincs tudomása arról, hogy adatait a cég tárolja. A pénzügyi és hitelrendszer teljes elkerülése mellett, nincs egyértelmű módja annak, hogy elmondja az Equifax személyes adatainak tárolását. (Lásd még a történelem öt legnagyobb hitelkártya-adatainak feltörését. )
Hogyan lehet ellenőrizni, hogy érintettek-e?
Az Equifax létrehozott egy webhelyet, ahol ellenőrizheti, hogy az adatai nem sérültek-e, megadva a vezetéknevét és a társadalombiztosítási szám utolsó hat számjegyét. Ezt a webhelyet intenzíven kritizálták, és a linket a biztonsággal kapcsolatos kérdések miatt eltávolítottuk. A WordPress, a polcokon kívüli blogplatform segítségével hozták létre. Az Equifax fő helyének külön domainjén található. A vállalat elhanyagolta a hasonló URL-ek regisztrálását, amelyeket adathalász támadásokhoz lehetne használni; az egyik fehér kalapot tartalmazó hacker éppen egy ilyen helyet állított fel egy pont bizonyítására, és egy hivatalos Equifax-fiók tweetelt a hamis oldal linkjével. Több mint egyszer.
Az Equifax az ügyfeleknek - az érintett vagy nem érintett - a következő szolgáltatásokat nyújtotta, amelyeket TrustedID Premiernek hív: az Equifax hiteljelentésének másolatát, a hitelfigyelés és az automatikus riasztások mindhárom fő hitelintézet számára, az a képesség, hogy blokkolja a harmadik felek hozzáférését az Equifax hiteljelentéséhez. (kivéve), társadalombiztosítási számfigyelés és 1 millió dolláros személyazonossági biztosítás. A jelentkezés határideje: 2017. november 21.
A társaság szerint ezek a szolgáltatások mind ingyenesek, ám kezdetben nem volt ingyenes a biztonsági befagyasztása a hitelfájlokba - legalábbis nem mindenkinek. Amikor megpróbáltam befagyasztani egy Equifax hitelfájlt szeptember 8-án, a cég webhelye szerint a szolgáltatás 3, 00 dollárba kerülne, és hitelkártya-információkat kért a fizetés feldolgozásához.
New York-i rezidensként ingyen tudtam befagyasztani a Experian fájlomat. A TransUnion webhelye kezdetben nem tudta feldolgozni a kérelmet - valószínűleg a megnövekedett forgalom tünete -, de később lehetővé tette számomra a fagyasztó behelyezését.
Egy e-mailes nyilatkozatban az Equifax szóvivője szeptember 14-én mondta a Investopedia-nak, hogy a cég lemond minden hitelről a hitelfájlok befagyasztására, és automatikusan visszatéríti azokat az ügyfeleket, akik a hackek nyilvánosságra hozatala után fizettek meg. Új aggodalomra ad okot - és egyértelműen megszűnik a biztonság - a PIN-k körül, amelyeket a társaság kibocsátott az ügyfelek számára, akik befagyasztották a hitelbeszámolóikat. Ezek a PIN-kódok, amelyek lehetővé teszik az ügyfelek számára a hiteljelentések felszámolását, könnyen azonosítható mintát követnek. A szóvivő azt mondta, hogy az ilyen hibás PIN-kóddal rendelkező ügyfeleknek telefonon kell hívniuk a 866-349-5191 telefonszámot, hogy beszéljenek élő ügynökkel.
A TrustedID Premier szolgáltatásai, amelyek Equifax-listája ingyenes, csak egy évig ingyenes. Az Equifax szóvivője elmondta a Investopedia-nak, hogy a vállalat nem kér hitelkártya-információkat, amikor az ügyfelek feliratkoznak a szolgáltatásra, és hogy a vállalat nem automatikusan megújítja azt, vagy nem számít fel díjat. Az Equifax szokásos hitelköltség-mutatója havonta 17 dollár.
Mi a teendő, ha érintettek?
Liz Weston, a NerdWallet személyi pénzügyi írója az alábbi tanácsokat nyújtja az Equifax megsértése által érintett személyeknek, amelyeket megosztott a Investopedia-val egy e-mailen: "Az Equifax fel fogja hívni az áldozatokat és felajánlja számukra a hitelfigyelést. Az áldozatoknak gondoskodniuk kell arról, hogy a monitorozással való egyetértés nem akadályozza meg őket abban, hogy peres úton vagy más úton lépjenek fel."
A TrustedID Premier szolgáltatási feltételek oldala (archivált változat) valójában arra kötelezte a felhasználókat, hogy lemondjanak az Equifax elleni csoportos kereseti eljáráshoz való csatlakozáshoz fűződő jogukról: "Ha beleegyezik, hogy igényeit választottbírósági eljárásba beadja, akkor elveszíti jogait, hogy előterjessze vagy részt vegyen. bármely csoportos kereseti eljárásban (akár megnevezett felperesként, akár osztálytagként), vagy bármely csoportos kereseti díj megosztásában, beleértve az osztályigényeket is, amennyiben az osztály még nem lett tanúsítva, még akkor sem, ha a követelések alapjául szolgáló tények és körülmények már bekövetkeztek vagy létezett. " A visszajelzést követően a vállalat GYIK oldalát frissítették, és azt mondták, hogy a kikötés a TrustedID Premier szolgáltatásra vonatkozik, nem pedig a hackre. Szeptember 12. reggelétől a szolgáltatási feltételek már nem tartalmaznak választottbírósági kikötést.
Weston szerint az érintett ügyfeleknek mindhárom nagyobb irodában mérlegelniük kell a hitelbeszámolóik befagyasztását. Mint fentebb említettük, a hitelintézetek díjat számíthatnak fel a befagyasztás kezdeményezéséért. A számlák felszámolásáért akkor is számolhat fel díjat, ha hitelkontrollra van szüksége (például mobiltelefon-szolgáltatásra való jelentkezéshez). Ezek a díjak általában kevesebb, mint 10 USD, de összeadhatók. Weston megjegyzi, hogy egy másik lehetőség az, hogy csalási figyelmeztetést helyez a hiteljelentéseire a három hitelintézetnél. (További információ: Hogyan lehet helyrehozni a személyazonosság-lopást .)
Egyéb hitel-felügyeleti szolgáltatások szintén rendelkezésre állnak, amelyeket az Equifax nem szponzorál. Személyi lopás elleni szolgáltatások: érdemes megszerezni? felsorolja közülük néhányat, amelyeket kivizsgálhat.
Equifax válasza
Az Equifax akkori elnöke és vezérigazgatója, Richard Smith a csapkodás után kijelentette, hogy "nyilvánvalóan csalódást okozó esemény volt a cégünk számára, és az egyik legfontosabb kérdése, hogy kik vagyunk és mit csinálunk." Szeptember 26-án lemondott, és 2017-ben nem kap bónuszt. Indulása a szeptember 14-én Susan Mauldin biztonsági tisztviselő és David Webb információs főtisztviselő után ment.
Néhány nappal azután, hogy a társaság felfedezte a hacket - és még mielőtt a jogsértést nyilvánosságra hozták volna - az Equifax pénzügyi vezetője, John Gamble, a munkaerő-piaci megoldások elnöke, Rodolfo Ploder, valamint az amerikai információs megoldások elnöke, Joseph Loughran eladta Equifax részvényeiket. Az Equifax egy nyilatkozatában kijelentette, hogy a vezetők nem tudtak a jogsértésről, amikor eladták a készletüket. A Gamble, a Ploder és a Loughran együttesen közel 1, 8 millió dollárt keresett az eladásokból.
Február 28-tól kezdve az Equifax részvénye 20, 1% -kal esett vissza szeptember 7-i zárása után (a hack bejelentése előtt) 113, 00 dollárra. Több késés után az Equifax azt állítja, hogy március 1-je után bejelenti a negyedik negyedéves eredményt.
Hagyja kezdeni a pert
A Reuters szeptember 11-én számolt be arról, hogy több mint 30 pert - közülük sokan csoportos keresetet indítottak - az Equifax ellen indítottak az Egyesült Államok bíróságai előtt. Több állítás állítja az értékpapír-törvény megsértését; mások azzal vádolják a TrustedID-t, hogy az adatok megsértése által érintett ügyfeleknek költséges szolgáltatásokat állítottak elő. Öt Utah-i lakos beperelte a társaságot az Egyesült Államok Kerületi Bíróságában az ügyfelek érzékeny adatainak védelme elmulasztása miatt. Az eljárás 5 milliárd dolláros pénzbeli kártérítést és szigorúbb ipari szabványok bevezetését követeli.
Néhány érintett ügyfél kevésbé hagyományos útvonalat választ, amikor az Equifaxtól igénybe veszi az igényt. A DoNotPay chatbot segítséget nyújt a panasz benyújtásában a kis értékű követelésekkel foglalkozó állami bíróságokon, ahol a maximális büntetés 2500 és 25 000 dollár között mozog. A bot csak bírósági úton hozhat létre peres eljárást, nem pedig ténylegesen nyújtja be, vagy bíróságon jelent meg a Verge szerint.
Az FBI és az atlanta székhelyű amerikai ügyvéd, John Horn szeptember 18-án bejelentette a jogsértés büntetőjogi nyomozását. A Fogyasztói Pénzügyi Védelmi Iroda és 34 állami ügyvéd vizsgálatot folytat.
Mr. Smith Washingtonba megy
Október 3-án, Richard Smith volt vezérigazgatója vallomást tett a House Digital Commerce and Consumer Protection albizottság előtt. Többször bocsánatot kért az Equifax fogyasztói adatok védelmének elmulasztása miatt, és számos kérdéssel szembesült a jogsértéssel és az Equifax válaszával kapcsolatos kérdésekkel kapcsolatban. A társaság állománya a tanúvallomást követően emelkedett, de jóval alatta maradt a kereskedelemben szereplő szinteknek, mielőtt a hacket közzétették.
A vitatott választottbírósági kikötéssel kapcsolatos kérdésekre válaszul, amelyeket eredetileg beillesztettek a TrustedID Premier szolgáltatási feltételeibe, Smith elmondta, hogy a „kazánlemez” záradékot soha nem szándékoztak alkalmazni a jogsértésre, és beillesztését „hibának” hívta. Nem mondaná ugyanazokat a hasonló záradékokat, amelyek az Equifax más szolgáltatásait szabályozzák, és amelyeket „szabványnak” nevez.
A gyanús időben történő ügyvezető részvényeladások szintén ellenőrzés alá kerültek: Jan Schakowsky, az illinoisi demokrata képviselő azt mondta, hogy az eladások "nem felelnek meg az illattesztnek", de Smith megtévesztette: "Legjobb tudomásom szerint nem tudtak róla" az akkori jogsértés.
Smith a jogsértést emberi hibák és egy technológiai hiba eredményeként írta le: az az Apache Struts szoftver javításáért felelős személy - amelynek a támadók által nyilvánosan ismert sebezhetőség volt a támadók által kihasznált - ezt nem tette meg, és egy szkenner, amely figyelmeztette a társaságot, hogy a hiba szintén meghiúsult.
A vállalat válságos reagálása szintén kritikát öltött: felállított egy gyanús URL-vel rendelkező WordPress webhelyet, nem sikerült biztosítani a hasonló domaineket (és még az ügyfelek egyikét sem irányította ezekre a domainek egyikére), nem sikerült megfelelő személyzettel létrehozni a call centereket, és általában létrehozott az a benyomás, hogy a társaság - amely érzékeny adatok gyűjtését, biztonságát és értékesítését végzi - teljesen felkészületlen volt az adatbázisaiban lezajlott cyberatámadásra. Markwayne Mullin, az Oklahoma republikánus képviselő azt mondta Smithnek, hogy válaszának olyannak kellett volna lennie, mint egy tűzjelzővel: "Az azonnal helyére kerül." Smith azt válaszolta, hogy csapata "protokollt követett". Több képviselő megemlítette, hogy Smith augusztusban beszédet mondott a csalásról, mint "óriási lehetőségről" és "hatalmas, növekvő üzleti vállalkozásról" - miután tudta a jogsértésről.
Smith hajlandó válaszolni a támadás forrásával kapcsolatos kérdésekre, beleértve azt is, hogy esetleg állami szereplő lenne. Egyszerűen azt mondta, hogy az FBI nyomozást folytat. A hivatali ideje alatt megvédte az Equifax kiberbiztonsági beruházásait, mondván, hogy amikor tizenkét évvel ezelőtt érkezett, gyakorlatilag nincs befektetés az adatvédelembe. Smith elmondta, hogy a társaság negyedmilliárd dollárt költött és 225 fős csapatot bérelt fel a cég adatainak védelme érdekében. A vállalat informatikai költségvetésének 10–14% -át az iparági szabványokba kiberbiztonságba fektette be.
Néhány képviselő szerint a jogsértés alapvető kérdéseket vetett fel a hitel-ellenőrző iparág szerepével és a fogyasztók jogaival kapcsolatban. "Mi lenne, ha az Equifaxot választanánk?" - kérdezte Schakowski. Smith azt válaszolta: "Ehhez sokkal szélesebb körű megbeszélésre van szükség a hitelinformációs ügynökségek szerepéről." Tonko, a New York-i demokratikus képviselő visszatért az érzelmekre, rámutatva, hogy ő valójában nem „ügyfél”, és soha nem döntött úgy, hogy üzletet folytat az Equifax-szal. "Miért engedélyezik ennek a társaságnak a fennmaradását?" kérdezte. Különböző pontokban Smith megkérdőjelezte a társadalombiztosítási számok értékét, mint az identitás igazolásának egyik módját, és homályos hivatkozásokat tett a „hatalom visszaszolgáltatására a fogyasztó számára”.
A nap legnagyobb kérdése Doris Matsui, a demokratikus kaliforniai demokratától érkezett: "Adatom van-e?" Smith nem tudott válaszolni. (Lásd még: A Blockchain tehet téged - Nem Equifax - az Ön adatainak tulajdonosa. )
