Ar buvau nulaužtas? Sužinokite, ar Equifax pažeidimas jus veikia

„Equifax Inc.“ (EFX) 2017 m. Rugsėjo 7 d. Paskelbė, kad nuo gegužės vidurio iki liepos įvykęs įsilaužimas paveikė 143 milijonus jos klientų. Per ateinančias savaites šis skaičius buvo sumažėjęs iki 145, 5 mln., Vėliau - iki 147, 9 mln. 2018 m. Kovo 1 d., Kai bendrovė teigė, kad ji nustatė 2, 4 mln. Papildomų aukų.

Pasibaigus rinkai tą pačią dieną, bendrovė pranešė ketvirtojo ketvirčio ir visų metų finansinius rezultatus. Bendrovės ketvirtojo ketvirčio pajamos per metus padidėjo 5% ir sudarė 838, 5 mln. USD. Grynosios pajamos per ketvirtį per metus padidėjo 40% ir sudarė 172, 3 mln. USD. Palyginti su 2016 m., Padidėjo ir visų metų pajamos bei pelnas: pajamos padidėjo 7% iki 3, 4 milijardo USD, o grynosios pajamos padidėjo 20% iki 587, 3 milijono USD. Bendrovė teigė, kad įsilaužimas jai kainavo 26, 5 mln. USD per ketvirtąjį ketvirtį ir 114, 0 mln. USD per visus metus, atėmus draudimo išmokas. Akcijos, kurios uždarė 1, 3% pagal „S&P 500“, prekiaujant prekėmis po darbo valandų rašymo metu padidėjo 0, 6%.

„Equifax“ duomenimis, buvo paviešinta 209 000 klientų kreditinių kortelių numerių ir buvo pakenkta ginčo dokumentams, susijusiems su 182 000 JAV vartotojų, įskaitant asmeninę informaciją. Pažeidimas taip pat paveikė Britanijos vartotojus; gali būti, kad kai kuriems kanadiečiams kilo pavojus. Remiantis „Wall Street Journal“, cituojant neįvardytą šaltinį, pažeidžiant pavogta 10, 9 mln. Amerikiečių vairuotojų pažymėjimų duomenų.

Bendrovė apie išpuolį žinojo nuo liepos 29 dienos, tačiau laukė daugiau nei mėnesį, kad įspėtų visuomenę. Rugsėjo 20 d. Pranešta, kad „Mandiant“, „FireEye Inc.“ (FEYE) dukterinė įmonė, kurią sudarė „Equifax“, vertina iki šiol padarytą pažeidimą bent jau kovo 10 d.

Informacijos apie išpuolio šaltinį, kurį tiria FTB, yra nedaug, tačiau, „Bloomberg“ duomenimis, panašumai su ankstesniais išpuoliais prieš Personalo valdymo biurą ir „Anthem Inc.“ rodo, kad užpuolikas gali būti remiamas valstybės, galbūt Kinijos. Tai, kad „Equifax“ klientų informacija nepasirodė juodojoje rinkoje, taip pat rodo, kad įsilaužėliai nebuvo paprasčiausias nusikaltėlis. „Bloomberg“ taip pat praneša, kad užpuolikai nusitaikė į konkrečius asmenis, galbūt dėl ​​jų turtų ar žvalgybos vertės.

Atsižvelgiant į tai, kad suaugusių JAV gyventojų yra apie 250 milijonų, yra tikimybė, kad pažeidimas jus paveikė. Taip pat įmanoma, kad jūs jau buvote sukčiavimo auka, nes išpuolis prasidėjo beveik prieš šešis mėnesius.

Atlantoje įsikūrusi „Equifax“, viena iš trijų didžiausių vartojimo kreditų ataskaitas teikiančių agentūrų - kitos dvi yra „Experian PLC“ (Londonas: EXPN) ir „TransUnion“ (TRU) - renka duomenis, įskaitant socialinio draudimo numerius, kreditinių kortelių numerius, vairuotojo pažymėjimų numerius, nuomą ir naudingumą. mokėjimo informacija ir demografiniai duomenys. Kadangi „Equifax“ modelis visų pirma yra verslas verslui, daugelis jos klientų nežino, kad jų duomenis saugo įmonė. Be to, kad būtų išvengta visos finansų ir kredito sistemos, nėra paprasčiausio būdo atsisakyti asmens duomenų saugojimo „Equifax“. (Taip pat žiūrėkite 5 didžiausius kreditinės kortelės duomenų įsilaužimus istorijoje. )

Kaip patikrinti, ar jums tai nebuvo padaryta

„Equifax“ sukūrė svetainę, kurioje galite patikrinti, ar nepažeidėte informacijos, nurodydami savo pavardę ir šešis paskutinius socialinio draudimo numerio skaitmenis. Ši svetainė buvo smarkiai kritikuojama, todėl pašalinome saitą dėl klausimų, susijusių su jos saugumu. Jis buvo sukurtas naudojant „WordPress“, internetinių dienoraščių platformą. Jis yra atskirame pagrindiniame „Equifax“ tinklalapyje. Bendrovė pamiršo įregistruoti panašius URL, kurie galėtų būti naudojami sukčiavimo apsimetant; vienas baltų skrybėlių įsilaužėlis įsteigė būtent tokią svetainę, kad įrodytų tašką, o oficiali „Equifax“ paskyra tviteryje pateikė nuorodą į suklastotą svetainę. Daugiau nei kartą.

„Equifax“ klientams, paveiktiems ar neįtakojantiems, siūlo šias paslaugas, kurias ji vadina „TrustedID Premier“: „Equifax“ kredito ataskaitos kopijos, kredito stebėjimas ir automatiniai įspėjimai visoms trims pagrindinėms kredito įstaigoms, galimybė blokuoti trečiųjų šalių prieigą prie jūsų „Equifax“ kredito ataskaitos. (su išimtimis), socialinio draudimo numerio stebėjimas ir 1 mln. USD asmens tapatybės vagystės draudimas. Galutinis paraiškų pateikimo terminas buvo 2017 m. Lapkričio 21 d.

Bendrovė sako, kad visos šios paslaugos yra nemokamos, tačiau iš pradžių nemokamai nebuvo suteikta galimybė įšaldyti kredito bylą - bent jau ne visiems. Kai aš bandžiau įšaldyti „Equifax“ kredito bylą rugsėjo 8 d., Bendrovės svetainė teigė, kad paslauga kainuos 3, 00 USD, ir paprašė pateikti kredito kortelės informaciją, kad būtų galima apdoroti mokėjimą.

Ekrano griebtuvas iš www.freeze.equifax.com (2017 m. Rugsėjo 8 d. 11:46, EDT).

Būdamas Niujorko gyventojas, aš galėjau nemokamai įšaldyti savo „Experian“ failą. „TransUnion“ svetainė iš pradžių negalėjo apdoroti užklausos - greičiausiai padidėjusio srauto požymis -, bet vėliau man leido nemokamai įšaldyti.

El. Laiške „Equifax“ atstovas spaudai „Investopedia“ sakė rugsėjo 14 d., Kad įmonė atsisako visų mokesčių už įšaldytas kredito bylas ir automatiškai grąžina klientams, kurie už tai sumokėjo po įsilaužimo paskelbimo. Naujas rūpestis ir aiškus saugumo panaikinimas iškilo dėl PIN kodų, kuriuos įmonė išdavė klientams, įšaldžiusiems savo kredito ataskaitas. Šie PIN kodai, kurie leidžia klientams atšaldyti kredito ataskaitas, yra lengvai atpažįstami. Pašnekovas teigė, kad klientai, turintys šiuos neteisingus PIN kodus, turi paskambinti 866-349-5191, kad pasikalbėtų su tiesioginiu agentu.

Jei gavote PIN kodą pranešę apie įsilaužimą, jūsų gali būti vienas iš klaidingų. Tvirtinti tai nėra lengva. Dvylika skambučių į liniją rugsėjo 15 d. Ryte davė aštuonis užimtus signalus ir keturis visiškos tylos atvejus.

„TrustedID Premier“ paslaugų „Equifax“ sąrašai yra nemokami tik metus. „Equifax“ atstovas sakė „Investopedia“, kad įmonė neprašo pateikti kreditinės kortelės informacijos, kai klientai prisiregistruoja naudotis šia paslauga, ir kad įmonė jos automatiškai neatnaujins ir nemokės mokesčio. „Equifax“ standartinė kredito stebėjimo norma yra 17 USD per mėnesį.

Ką daryti, jei buvai paveiktas

Asmeninių „NerdWallet“ finansų rašytoja Liz Weston turi šiuos patarimus tiems, kuriuos paveikė „Equifax“ pažeidimas, kuriais ji pasidalino su „Investopedia“ el. Laiške: „„ Equifax “susisieks su aukomis ir pasiūlys jiems kredito stebėjimą. Aukos turėtų įsitikinti, kad sutikimas su stebėjimu netrukdo jiems įsitraukti į ieškinius ar kitus veiksmus kelyje “.

Iš pradžių „TrustedID Premier“ paslaugų teikimo sąlygų puslapis (archyvuota versija) iš tikrųjų reikalavo vartotojų atsisakyti savo teisės prisijungti prie „Equifax“ ieškinio dėl ieškinio: „Sutikdami pateikti savo reikalavimus arbitraže, jūs neteksite savo teisės pareikšti ar dalyvauti bet kuriame kolektyviniame ieškinyje (nesvarbu, ar jis nurodytas kaip ieškovas, ar klasės narys) arba dalijamasi bet kuriais klasės ieškiniais, įskaitant ieškinius dėl klasės, kai klasė dar nebuvo atestuota, net jei faktai ir aplinkybės, kuriais grindžiami ieškiniai, jau įvyko arba egzistavo “. Po atsakymo bendrovės DUK puslapis buvo atnaujintas, kad būtų pasakyta, jog išlyga buvo taikoma „TrustedID Premier“ paslaugai, o ne įsilaužimui. Nuo rugsėjo 12 d. Ryto į tarnybos sąlygas nebebus įtraukta arbitražinė išlyga.

Westonas sako, kad paveikti klientai turėtų apsvarstyti galimybę įšaldyti savo kredito ataskaitas visuose trijuose pagrindiniuose biuruose. Kaip minėta aukščiau, kreditų agentūros gali imti mokesčius už šio įšaldymo inicijavimą. Jūs taip pat gali būti apmokestinti už įšaldytas sąskaitas, kai jums reikia kredito patikrinimo (pavyzdžiui, norint kreiptis dėl mobiliųjų telefonų paslaugos). Šie mokesčiai paprastai yra mažesni nei 10 USD, tačiau jie gali sudėti. Westonas pažymi, kad dar viena galimybė - į tris kredito įstaigas pateikti įspėjimą apie sukčiavimą savo kredito ataskaitose. (Norėdami daugiau sužinoti, kaip atsigauti nuo tapatybės vagystės .)

Taip pat siūlomos ir kitos kredito stebėjimo paslaugos, kurių ne remia „Equifax“. Asmens tapatybės vagysčių apsaugos paslaugos: verta jas turėti ">

„Equifax“ atsakymas

Tuometinis „Equifax“ valdybos pirmininkas ir generalinis direktorius Richardas Smithas po įsilaužimo teigė, kad tai buvo „akivaizdžiai apgailėtinas įvykis mūsų įmonei ir tas, kuris smogia į širdį, kas mes esame ir ką mes darome“. Jis pasitraukė rugsėjo 26 d. Ir negaus premijos už 2017 m. Rugsėjo 14 d. Jis išvyko iš vyriausiojo saugumo pareigūno Susano Mauldino ir vyriausiojo informacijos pareigūno Davido Webbo.

Praėjus kelioms dienoms po to, kai bendrovė atskleidė įsilaužimą iš vidaus - ir prieš tai, kai pažeidimas buvo atskleistas visuomenei, „Equifax“ vyriausiasis finansininkas Johnas Gamble'as, jos darbo jėgos sprendimų prezidentas Rodolfo Ploderis ir JAV informacinių sprendimų prezidentas Josephas Loughranas pardavė savo „Equifax“ akcijas. „Equifax“ pareiškime teigė, kad vadovai, pardavę savo akcijas, nežinojo apie pažeidimą. „Gamble“, „Ploder“ ir „Loughran“ iš pardavimų kartu uždirbo beveik 1, 8 mln.

Nuo vasario 28 dienos „Equifax“ akcijos sumažėjo 20, 1% nuo jos artimo rugsėjo 7 d. (Prieš paskelbiant apie įsilaužimą) iki 113, 00 USD. Po kelių vėlavimų „Equifax“ sako, kad ji praneš ketvirtojo ketvirčio pajamas po kovo 1 dienos.

Tegul prasideda ieškiniai

„Reuters“ rugsėjo 11 d. Pranešė, kad daugiau nei 30 ieškinių - daugelis jų siekia kolektyvinio ieškinio - buvo iškelti „Equifax“ JAV teismuose. Keletas įtaria vertybinių popierių įstatymo pažeidimus; kiti kaltina „TrustedID“ dėl brangių paslaugų perkėlimo klientams, kuriuos paveikė duomenų pažeidimas. Penki Jutos gyventojai pateikė ieškinį įmonei JAV apygardos teisme dėl neapsaugotų slaptų klientų duomenų. Ieškinyje reikalaujama 5 milijardų USD piniginės žalos atlyginimo ir griežtesnių pramonės standartų nustatymo.

Keletas paveiktų klientų, pasirinkdami „Equifax“, renkasi ne tokį tradicinį kelią. „DoNotPay“ pokalbių programa teikia pagalbą paduodant skundą valstybiniuose teismuose dėl nedidelių sumų, kuriuose maksimalios baudos siekia nuo 2500 iki 25 000 USD. Anot „Verge“, robotas gali sugeneruoti tik ieškinį dėl dokumentų, o ne faktiškai jo pateikti ar pasirodyti teisme.

FTB ir Atlantoje įsikūręs JAV advokatas Johnas Hornas paskelbė baudžiamąjį pažeidimo tyrimą rugsėjo 18 d. Vartotojų finansinės apsaugos biuras ir 34 valstijos generaliniai prokurorai atlieka tyrimus.

Ponas Smitas vyksta į Vašingtoną

Spalio 3 d. Buvęs generalinis direktorius Richardas Smithas paliudijo „House Digital Digital Commerce and Consumer Protection“ pakomitetyje. Jis kelis kartus atsiprašė už „Equifax“ neapsaugotą vartotojų duomenų ir susidūrė su klausimais, susijusiais su pažeidimu ir „Equifax“ atsakymais. Po parodymų bendrovės atsargos išaugo, tačiau išliko gerokai mažesnės nei buvo prekiaujama prieš paskelbiant apie įsilaužimą.

Atsakydamas į klausimus dėl ginčytinos arbitražinės išlygos, kuri iš pradžių buvo įtraukta į „TrustedID Premier“ paslaugų teikimo sąlygas, Smithas teigė, kad „katilinės“ išlyga niekada nebuvo ketinama pritaikyti pažeidimui ir pavadino jos įtraukimą „klaida“. Jis nesakytų to paties panašių išlygų, reglamentuojančių kitas „Equifax“ paslaugas, kurias jis vadino „standartinėmis“.

Taip pat buvo tikrinamas įtartinai laiku vykdomas vykdomųjų akcijų pardavimas: Ilinojaus demokratų atstovas Janas Schakowsky teigė, kad pardavimai „neišlaiko kvapo testo“, tačiau Smithas pasipriešino „kiek man žinoma, jie nežinojo“ apie pažeidimas tuo metu.

Smithas pažeidimą apibūdino kaip žmogiškosios klaidos ir technologinio gedimo rezultatą: asmuo, atsakingas už tai, kad pataisytų „Apache Struts“ programinę įrangą, kuri turėjo viešai žinomą pažeidžiamumą, kurią užpuolikai išnaudojo, to nepadarė, o skaitytuvas, kuris turėtų perspėjo įmonę, kad ši klaida taip pat nepavyko.

Bendrovės reakcija į krizę taip pat sulaukė kritikos: sukūrė „WordPress“ svetainę su įtartinu URL, nesugeba apsaugoti panašių domenų (ir net nukreipia klientus į vieną iš tų domenų), nesugeba tinkamai aptarnauti skambučių centrų ir paprastai sukuria susidarė įspūdis, kad įmonė, kuri renka, saugo ir parduoda slaptus duomenis, buvo visiškai nepasiruošusi kibernetinei atakai savo duomenų bazėse. Republika Markwayne Mullin, Oklahomos respublikonė, sakė Smithui, kad jo atsakymas turėjo būti toks, kaip iškviesti priešgaisrinę signalizaciją: „ji tuoj pat įsijungia į vietą“. Smithas atsakė, kad jo komanda „laikėsi protokolo“. Keli atstovai paminėjo, kad Smitas kalbėjo kalbą, kurioje sukčiavimą apibūdino kaip „didžiulę galimybę“ ir „didžiulį, augantį verslą“ rugpjūtį - po to, kai jis sužinojo apie pažeidimą.

Smithas atsisakė atsakyti į klausimus apie išpuolio šaltinį, įskaitant tai, ar tai gali būti valstybės veikėjas. Jis paprasčiausiai pasakė, kad FTB vykdo tyrimą. Kadencijos metu jis gynė „Equifax“ investicijas į kibernetinį saugumą, sakydamas, kad kai jis atvyko prieš dvylika metų, į duomenų apsaugą praktiškai nebuvo investuojama. Bendrovė išleido ketvirtadalį milijardo dolerių ir pasamdė 225 žmonių komandą, kad užtikrintų įmonės duomenis, teigė Smithas, investuodamas pramonės standartą 10–14% įmonės IT biudžeto į kibernetinį saugumą.

Kai kurie atstovai nurodė, kad pažeidimas atvėrė esminių klausimų dėl kredito stebėsenos pramonės vaidmens ir vartotojų teisių. "O kas, jei norėčiau pasirinkti mūsų„ Equifax "?" - paklausė Schakovskis. Smithas atsakė: „tam reikia daug platesnių diskusijų apie kredito ataskaitų agentūrų vaidmenį“. Niujorko demokratų atstovas Tonkas atkartojo mintį, pabrėždamas, kad jis tikrai nėra „klientas“, niekada nesirinkęs užsiimti verslu su „Equifax“. "Kodėl šiai įmonei leidžiama toliau egzistuoti?" jis paklausė. Įvairiose vietose Smitas kvestionavo socialinio draudimo numerių, kaip būdo įrodyti tapatybę, vertę ir pateikė neaiškias nuorodas į „galios grąžinimą vartotojui“.

Didžiausias dienos klausimas kilo Kalifornijos demokratai Doris Matsui: „Ar aš turiu savo duomenis?“ Smithas negalėjo atsakyti. (Taip pat žiūrėkite: „ Blockchain“ gali jus paversti ne „Equifax“ - jūsų duomenų savininku. )