Byl jsem hacknut? Zjistěte, zda se na vás vyskytne porušení Equifaxu

Společnost Equifax Inc. (EFX) dne 7. září 2017 oznámila, že hackerem, ke kterému došlo v období od poloviny května do července, bylo postiženo 143 milionů zákazníků. Tato částka byla v následujících týdnech narostlá na 145, 5 milionu, poté na 147, 9 milionu 1. března 2018, když společnost uvedla, že identifikovala 2, 4 milionu dalších obětí.

Po uzavření trhu téhož dne společnost vykázala finanční výsledky za čtvrté a čtvrtletní období. Tržby společnosti za čtvrté čtvrtletí vzrostly meziročně o 5% na 838, 5 milionu USD. Čistý zisk v tomto čtvrtletí vzrostl meziročně o 40% na 172, 3 milionu USD. Celoroční výnosy a zisky se oproti roku 2016 také zvýšily: tržby vzrostly o 7% na 3, 4 miliardy USD, zatímco čistý zisk vzrostl o 20% na 587, 3 milionů USD. Společnost uvedla, že hack to ve čtvrtém čtvrtletí stálo 26, 5 milionu dolarů a za celý rok 114, 0 milionu dolarů, bez zaplacení pojistného. Akcie, které uzavřely 1, 3% v souladu s S&P 500, vzrostly v době psaní o 0, 6% v obchodech po hodinách.

Podle společnosti Equifax bylo vystaveno až 209 000 čísel kreditních karet zákazníků a dokumenty týkající se sporů týkající se 182 000 amerických zákazníků - včetně osobních údajů - byly ohroženy. Toto porušení se dotklo také britských spotřebitelů; je možné, že někteří Kanaďané byli ohroženi. Podle časopisu Wall Street Journal, citujícího nejmenovaný zdroj, bylo při narušení odcizeno 10, 9 milionu amerických řidičských průkazů.

Společnost o útoku věděla od 29. července, ale čekala více než měsíc na varování veřejnosti. 20. září bylo oznámeno, že společnost Mandif, dceřiná společnost FireEye Inc. (FEYE), se kterou uzavřela smlouva společnost Equifax, odhaduje, že toto porušení je datováno alespoň do 10. března.

Existuje jen málo informací o zdroji útoku, který vyšetřuje FBI, ale podle Bloomberga podobnost s dřívějšími útoky na Úřad pro správu personálu a Anthem Inc. naznačuje, že by útočník mohl být státem sponzorovaným, možná čínským. To, že se informace zákazníků společnosti Equifax na černém trhu neobjevily, také naznačuje, že hackeři nebyli pouhými zločinci. Bloomberg také uvádí, že útočníci zacílili na konkrétní jedince, snad kvůli jejich bohatství nebo inteligenci.

Vzhledem k tomu, že dospělá populace v USA je kolem 250 milionů, je pravděpodobné, že vás toto porušení ovlivnilo. Je také možné, že jste se již stali obětí podvodu, protože útok začal téměř před šesti měsíci.

Equifax se sídlem v Atlantě, jedna z tří největších agentur pro hlášení spotřebitelských úvěrů - další dvě jsou Experian PLC (Londýn: EXPN) a TransUnion (TRU) - shromažďuje data včetně čísel sociálního zabezpečení, čísel kreditních karet, čísel řidičských průkazů, nájemného a pomůcek platební údaje a demografické údaje. Protože je model Equifax primárně business-to-business, mnoho jeho zákazníků si neuvědomuje, že jejich data jsou uložena firmou. Kromě toho, že jsme se vyhnuli finančnímu a úvěrovému systému úplně, neexistuje přímý způsob, jak se odhlásit od ukládání osobních údajů společností Equifax. (Viz také 5 největších datových hacků na kreditní kartě v historii. )

Jak zkontrolovat, zda jste byli postiženi

Společnost Equifax zřídila web, kde můžete zkontrolovat, zda vaše informace byla ohrožena, a to uvedením příjmení a posledních šest číslic vašeho čísla sociálního zabezpečení. Tento web byl předmětem intenzivní kritiky a odkaz jsme odstranili kvůli otázkám týkajícím se jeho bezpečnosti. Byla zřízena pomocí WordPress, což je platforma pro blogování na běžných místech. Je umístěn v samostatné doméně hlavního webu společnosti Equifax. Společnost zanedbávala registraci podobných adres URL, které by mohly být použity pro phishingové útoky; jeden hacker z bílého klobouku vytvořil právě takový web, aby dokázal bod, a oficiální účet Equifax odešel z odkazu na falešný web. Více než jednou.

Společnost Equifax nabídla zákazníkům - ovlivněné či nikoli - následující služby, které nazývá TrustedID Premier: kopie úvěrové zprávy Equifax, sledování úvěru a automatická upozornění pro všechny tři hlavní úvěrové kanceláře, možnost zablokovat přístup třetích stran k vaší kreditní zprávě Equifax (s výjimkami), sledování sociálního zabezpečení a pojištění proti krádeži identity ve výši 1 milionu USD. Uzávěrka přihlášek byla 21. listopadu 2017.

Společnost tvrdí, že tyto služby jsou všechny bezplatné, ale umístění zmrazení zabezpečení do kreditního souboru nebylo zpočátku bezplatné - alespoň ne pro každého. Když jsem se 8. září pokusil zmrazit úvěrový soubor Equifaxu, web společnosti řekl, že by služba stála 3, 00 $ a požádala o informace o kreditní kartě, aby mohla platbu zpracovat.

Uchopení obrazovky z www.freeze.equifax.com (8. září 2017 v 11:46 hodin EDT).

Jako rezident v New Yorku jsem mohl zdarma umístit zmrazení do svého souboru Experian. Web společnosti TransUnion nemohl zpočátku zpracovat požadavek - pravděpodobně příznak zvýšeného provozu - ale později mi umožnil bezplatně umístit zmrazení.

V e-mailovém prohlášení mluvčí společnosti Equifax řekl Investopedii 14. září, že firma se vzdává všech poplatků za zmrazení kreditních souborů a automaticky vrací zákazníkům, kteří za to zaplatili poté, co byl hack zveřejněn. V souvislosti s PINy, které společnost vydala zákazníkům, kteří zmrazili své úvěrové zprávy, nyní vyvstala nová obava - a jasný pokles bezpečnosti. Tyto kódy PIN, které umožňují zákazníkům uvolňovat úvěrové zprávy, se řídí snadno identifikovatelným vzorem. Mluvčí řekl, že zákazníci s těmito chybnými PINy musí zavolat na číslo 866-349-5191, aby promluvili s živým agentem.

Pokud jste dostali PIN po nahlášení hacku, váš může být jedním z vadných. Jeho upevnění není snadné. Dvanáct hovorů na linku ráno 15. září vyneslo osm rušných signálů a čtyři případy úplného ticha.

Seznamy důvěryhodných služeb TrustedID Premier Equifax jsou zdarma po dobu jednoho roku. Mluvčí společnosti Equifax řekl Investopedii, že společnost nepožaduje informace o kreditní kartě, když se zákazníci zaregistrují ke službě, a že společnost ji automaticky neobnoví ani neúčtuje poplatek. Standardní sazba společnosti Equifax pro monitorování úvěrů je 17 $ měsíčně.

Co dělat, když jste byli zasaženi

Liz Weston, spisovatelka osobních financí v NerdWallet, má následující rady pro osoby postižené porušením zásady Equifax, které sdílila s Investopedií v e-mailu: „Equifax osloví oběti a nabídne jim sledování úvěrů. Oběti by se měly ujistit, že souhlas s monitorováním jim nebrání v tom, aby se zapojili do soudních sporů nebo jiných akcí po silnici. “

Na začátku stránky s podmínkami poskytování služeb TrustedID Premier (archivovaná verze) ve skutečnosti požadovalo, aby se uživatelé vzdali práva na připojení ke třídě žaloby proti společnosti Equifax: „Souhlasem s odesláním svých nároků k rozhodčímu řízení propadnete své právo podat nebo se účastnit v jakékoli žalobě na třídu (ať už jako jmenovaný žalobce nebo člen třídy) nebo se podílet na jakémkoli ocenění za třídní žalobu, včetně nároků na třídu, kde třída ještě nebyla certifikována, i když skutečnosti a okolnosti, na nichž jsou nároky založeny, již nastaly nebo existoval. “ Po vůli došlo k aktualizaci stránky FAQ společnosti, aby bylo uvedeno, že klauzule platí pro službu TrustedID Premier, nikoli pro hack. Od rána 12. září již smluvní podmínky neobsahují rozhodčí doložku.

Weston říká, že postižení zákazníci by měli zvážit zmrazení svých úvěrových zpráv na všech třech hlavních úřadech. Jak je uvedeno výše, za zahájení tohoto zmrazení mohou úvěrové úřady účtovat poplatky. Poplatky za uvolnění účtů vám mohou být účtovány také v případě, že potřebujete provést kontrolu kreditu (například u služby mobilních telefonů). Tyto poplatky jsou obvykle nižší než 10 $, ale mohou sečíst. Společnost Weston podotýká, že další možností je umístit na své kreditní zprávy upozornění na podvody ve třech úvěrových kancelářích. (Další informace naleznete v tématu Obnovení po krádeži identity .)

K dispozici jsou také další služby sledování úvěru, které nejsou sponzorovány společností Equifax. Služby ochrany před krádeží identity: vyplatí se ">

Reakce společnosti Equifax

Tehdejší předseda představenstva a generální ředitel společnosti Equifax, Richard Smith, po hacku řekl, že se jednalo o „zjevně neuspokojivý incident pro naši společnost a ten, který zasáhne srdce, kdo jsme a co děláme“. 26. září odstoupil a nedostane bonus za rok 2017. Jeho odjezd následoval 14. září, když odešel od hlavních bezpečnostních důstojníků Susan Mauldin a hlavního informačního důstojníka Davida Webba.

Několik dní poté, co společnost interně odkryla hack - a předtím, než bylo porušení odhaleno veřejnosti - prodal finanční ředitel Equifax John Gamble, jeho prezident řešení pracovních sil Rodolfo Ploder, a prezident amerických informačních řešení Joseph Loughran své akcie Equifaxu. Equifax uvedl ve svém prohlášení, že vedoucí pracovníci nevěděli o porušení při prodeji svých akcií. Gamble, Ploder a Loughran společně vydělali z obratu téměř 1, 8 milionu dolarů.

K 28. únoru akcie Equifaxu klesly o 20, 1% od svého uzavření 7. září (dříve, než byl oznámen hack) na 113, 00 USD. Po několika zpožděních společnost Equifax uvedla, že po uzavření 1. března bude vykazovat příjmy za čtvrté čtvrtletí.

Nechte soudní spory začít

Agentura Reuters 11. září informovala, že u amerických soudů bylo proti společnosti Equifax podáno více než 30 soudních sporů - mnoho z nich se domáhá hromadné žaloby. Několik tvrdí, že došlo k porušení zákona o cenných papírech; jiní obviňují TrustedID z nadstavby nákladných služeb zákazníkům, kteří byli zasaženi porušením dat. Pět obyvatel Utahu žalovalo společnost u Okresního soudu USA za to, že nechránila citlivá data zákazníků. Žaloba požaduje peněžní náhradu škody ve výši 5 miliard USD a zavedení přísnějších průmyslových standardů.

Několik postižených zákazníků se při hledání možnosti u společnosti Equifax vydává méně tradiční cestou. Chatbot DoNotPay poskytuje pomoc při podání stížnosti u soudů pro drobné nároky, kde jsou maximální pokuty v rozmezí od 2 500 do 25 000 $. Podle Verge může bot vytvořit papírování pouze pro soudní řízení, nikoli jej podat nebo se objevit u soudu.

Americký právník FBI a americký advokát John Horn oznámil trestní vyšetřování porušení zákona dne 18. září. Vyšetřování provádí Úřad pro ochranu spotřebitele a 34 státních zástupců.

Smith jde do Washingtonu

3. října bývalý generální ředitel Richard Smith vypověděl před podvýborem House Digital Commerce and Protection Protection. Několikrát se omluvil za to, že společnost Equifax neochránila údaje o spotřebitelích a čelila otázkám týkajícím se celé řady otázek souvisejících s porušením a reakcí společnosti Equifax. Akcie společnosti vzrostly po svědectví, ale před zveřejněním hacku zůstaly výrazně pod úrovněmi, s nimiž obchodovaly.

V odpovědi na otázky týkající se kontroverzní rozhodčí doložky, která byla původně zahrnuta do smluvních podmínek společnosti TrustedID Premier, Smith uvedl, že doložka o „kotlové desce“ se nikdy neměla vztahovat na porušení a nazvala její zahrnutí „chybou“. Neřekl by to samé o podobných klauzulích upravujících jiné služby Equifaxu, které nazýval „standard“.

Podezřelý načasovaný výkonný akciový prodej se také dostal pod kontrolu: Rep. Jan Schakowsky, Illinois Democrat, řekl, že prodej „neprošel testem vůně“, ale Smith průměroval, „podle mého nejlepšího vědomí, nevěděli“ o porušení v té době.

Smith popsal porušení jako důsledek lidské chyby a technologického selhání: osoba odpovědná za zajištění opravy softwaru Apache Struts - který měl veřejně známou zranitelnost, kterou útočníci zneužili - tak neučinil, a skener, který by měl upozornil společnost na tuto chybu také selhal.

Kritická reakce společnosti na krizi se také objevila v kritice: zřízení webu WordPress s podezřelou adresou URL, nezabezpečení podobných domén (a dokonce nasměrování zákazníků do jedné z těchto domén), nedostatečné adekvátní call centra zaměstnanců a obecně vytvoření dojem, že společnost - která existuje pro sběr, zabezpečení a prodej citlivých dat - byla zcela nepřipravena na kybernetický útok ve svých databázích. Rep. Markwayne Mullin, Oklahoma republikán, řekl Smithovi, že jeho odpověď by měla být jako vyvolání požárního poplachu: „okamžitě se to na místě“. Smith odpověděl, že jeho tým „následoval protokol“. Několik zástupců uvedlo, že Smith v srpnu přednesl projev popisující podvod jako „obrovskou příležitost“ a „masivní, rostoucí firmu“ - poté, co věděl o porušení.

Smith odmítl odpovědět na otázky týkající se zdroje útoku, včetně toho, zda by to mohl být státní herec. Jednoduše řekl, že FBI provádí vyšetřování. Během svého funkčního období hájil investice společnosti Equifax do kybernetické bezpečnosti s tím, že když přišel před dvanácti lety, prakticky neexistovaly žádné investice do ochrany údajů. Společnost utratila čtvrt miliardu dolarů a najala tým pro 225 osob na zabezpečení dat společnosti, řekl Smith, přičemž do kybernetické bezpečnosti investoval průmyslový standard 10–14% rozpočtu společnosti na IT.

Někteří zástupci uvedli, že porušení otevřelo zásadní otázky o úloze odvětví sledování úvěrů a práv spotřebitelů. "Co když si budu chtít zvolit náš Equifax?" Zeptal se Schakowski. Smith odpověděl: „To vyžaduje mnohem širší diskusi o úloze agentur poskytujících úvěrové zprávy.“ Rep. Tonko, demokrat z New Yorku, opakoval tento sentiment a zdůraznil, že ve skutečnosti není „zákazníkem“, který se nikdy nerozhodl obchodovat se společností Equifax. "Proč je této společnosti dovoleno nadále existovat?" zeptal se. V různých bodech Smith zpochybňoval hodnotu čísel sociálního zabezpečení jako způsob, jak prokázat identitu, a učinil vágní odkazy na to, aby poskytl „energii zpět spotřebiteli“.

Největší otázkou dne přišel kalifornský demokrat Doris Matsui: „Vlastním svá data?“ Smith nemohl odpovědět. (Viz také, Blockchain by vás mohl učinit - ne Equifax - vlastník vašich dat. )