Да ли сам био хакован? Откријте да ли вас повреда равнотеже утиче

Екуифак Инц. (ЕФКС) објавио је 7. септембра 2017. да је 143 милиона његових купаца било под утицајем хака који се догодио између средине маја и јула. Та бројка је током наредних недеља нарасла на 145, 5 милиона, затим на 147, 9 милиона 1. марта 2018. године, када је компанија саопштила да је идентификовала 2, 4 милиона додатних жртава.

Након затварања тржишта истог дана, компанија је известила о финансијским резултатима у четвртом и тромесечном периоду. Приходи компаније у четвртом тромјесечју порасли су за 5% у односу на исто раздобље прошле године, на 838, 5 милиона долара. Нето приход у кварталу порастао је за 40% у односу на исти период претходне године, на 172, 3 милиона долара. Цјелогодишњи приходи и добит такође су порасли у односу на 2016. годину: приходи су порасли за 7% на 3, 4 милијарде долара, док су нето приходи порасли за 20% на 587, 3 милиона долара. Компанија је саопштила да ју је хак коштао 26, 5 милиона долара у четвртом кварталу и 114, 0 милиона долара у целој години, без исплате осигурања. Залихе, које су се затвориле за 1, 3% у складу са С&П 500, повећале су 0, 6% у трговању након радног времена у време писања.

Према изложби Екуифака, изложено је чак 209.000 бројева кредитних картица купаца, а компромисни документи везани за 182.000 америчких потрошача - који укључују личне податке - били су угрожени. Кршење је такође погођено британским потрошачима; могуће је да су неки Канађани били угрожени. Према Валл Стреет Јоурналу, позивајући се на неименовани извор, 10, 9 милиона америчких возачких дозвола украдено је због кршења закона.

Компанија је за напад знала од 29. јула, али је чекала више од месец дана да упозори јавност. 20. септембра објављено је да Мандиант, подружница ФиреЕие Инц. (ФЕИЕ), коју је уговорио Екуифак, процењује да тај прекршај датира бар до 10. марта.

Мало је информација о извору напада, који истражује ФБИ, али према Блоомбергу, сличности ранијих напада на Канцеларију за управљање особљем и Антхем Инц. сугерирају да нападач може бити спонзорисан, а можда и Кинези. Да се ​​информације купаца компаније Екуифак нису појавиле на црном тржишту, такође указује на то да хакери нису били само криминалци. Блоомберг такође преноси да су нападачи циљали одређене особе, можда због њиховог богатства или обавештајне вредности.

С обзиром на то да је одрасла популација у САД око 250 милиона, велике су шансе да сте били погођени прекршајем. Могуће је и да сте већ били жртва преваре, јер је напад почео пре готово шест месеци.

Атлантска компанија Екуифак, једна од три велике агенције за извештавање о потрошачким кредитима - остале две су Екпериан ПЛЦ (Лондон: ЕКСПН) и ТрансУнион (ТРУ) - прикупља податке укључујући бројеве социјалног осигурања, бројеве кредитних картица, бројеве возачких дозвола, станарину и услужни програм информације о плаћању и демографски подаци. Будући да је Екуифаков модел пре свега посао-посао, многи његови купци нису свесни да њихове податке чува фирма. Поред тога што уопште не избегавате финансијски и кредитни систем, не постоји директан начин да се одустанете од складиштења личних података од стране компаније Екуифак. (Погледајте такође, 5 највећих хакова са подацима о кредитној картици у историји. )

Како проверити да ли сте погођени

Екуифак је основао веб локацију на којој можете проверити да ли су ваши подаци угрожени тако што ћете дати своје презиме и последњих шест цифара вашег броја социјалног осигурања. Ова веб страница била је предмет интензивних критика, а ми смо уклонили везу због питања која се тичу њене безбедности. Постављен је помоћу ВордПресс-а, ванбергетске платформе за писање блогова. Смештен је у посебном домену до главне локације компаније Екуифак. Компанија је занемарила регистровање сличних УРЛ адреса, која би се могла користити за пхисхинг нападе; један хакер са белим шеширом поставио је управо такву страницу како би доказао поанту, а званични Екуифак рачун твеетао је везу до лажне странице. Више од једанпут.

Екуифак је понудио клијентима - погођене или не - следеће услуге, које назива ТрустедИД Премиер: копије кредитног извештаја Екуифак, надгледање кредита и аутоматизована обавештења за сва три главна кредитна бироа, могућност блокирања треће стране приступа вашем Екуифак кредитном извештају (са изузецима), надгледање броја социјалног осигурања и осигурање од крађе идентитета од милион долара. Крајњи рок за пријаву био је 21. новембар 2017.

Из компаније кажу да су ове услуге бесплатне, али стављање сигурносног замрзавања на кредитни досије није у почетку било бесплатно - барем не за све. Када сам 8. септембра покушао да замрзнем кредитну датотеку Екуифак-а, сајт компаније рекао је да ће та услуга коштати 3, 00 долара и затражио је податке о кредитној картици да би обрадили плаћање.

Снимање екрана са ввв.фреезе.екуифак.цом (8. септембра 2017 у 11:46 ЕДТ).

Као становник Њујорка, могао сам бесплатно да ставим на мој Екпериан спис. Сајт ТрансУнион-а није у почетку могао да обради захтев - вероватно симптом повећаног саобраћаја - али касније ми је омогућио да бесплатно поставим замрзавање.

У изјави е-поштом, портпарол компаније Екуифак рекао је за Инвестопедиа 14. септембра да се фирма одриче свих оптужби за замрзавање кредитних досијеа и да аутоматски враћа купцима који су то платили након што је хацк објављен. Нова забринутост - и очигледан пропуст у безбедности - сада се појавила око ПИН-ова које је компанија издала купцима који су замрзнули своје кредитне извештаје. Ови ПИН-ови који купцима омогућавају да одмрзавају кредитне извештаје прате лако препознати образац. Портпарол је рекао да купци са тим неисправним ПИН-овима морају позвати 866-349-5191 да би разговарали са живим агентом.

Ако сте добили ПИН након пријављивања хака, ваш свибањ бити један од неисправних. Поправити га није лако. Дванаест позива на линију ујутро 15. септембра дало је осам заузетих сигнала и четири случаја потпуне тишине.

ТрустедИД Премиер услуге Екуифак наводи да су бесплатне само годину дана. Портпарол компаније Екуифак рекао је за Инвестопедију да компанија не тражи податке о кредитним картицама када се купци пријаве на услугу и да их компанија неће аутоматски обновити или наплатити накнаду. Стандардна стопа Екуифака за надгледање кредита је 17 УСД месечно.

Шта учинити ако сте погођени

Лиз Вестон, лична списатељица финансија из НердВаллет-а, има следеће савете за оне који су погођени кршењем Екуифака, а које је она е-маилом поделила са Инвестопедијом: "Екуифак ће се обратити жртвама и понудити им надзор над кредитима. Жртве би морале осигурати слагање са надгледањем не спречава их да се придруже тужбама или другим радњама низ пут. "

У почетку је страница услуге коришћења услуге ТрустедИД Премиер (архивирана верзија) у ствари захтевала од корисника да се одричу права да се придруже класној тужби против Екуифака: "Сагласношћу да своје захтеве поднесете арбитражама, одузећете вам право на подношење или учествовање у било којој класној акцији (било као именовани тужитељ или члан класе) или делити било коју награду за класну акцију, укључујући и захтев за класу где класа још није сертификована, чак и ако су чињенице и околности на којима се заснивају захтеви већ наступили или је постојало. " Након грешке, страница са ФАК-ом компаније је ажурирана како би се рекло да се клаузула односи на ТрустедИД Премиер услугу, а не на хацк. Од јутра 12. септембра, услови услуге више не укључују арбитражну клаузулу.

Вестон каже да би погођени купци требали размотрити замрзавање својих кредитних извјештаја на сва три главна бироа. Као што је горе поменуто, кредитни бирои могу наплаћивати накнаде за покретање ове замрзавања. Може вам се наплатити и одмрзавање рачуна када вам је потребан кредитни чек (на пример да бисте се пријавили за услугу мобилних телефона). Те накнаде су углавном мање од 10 УСД, али могу се збројити. Вестон напомиње да је друга опција да на три кредитна бироа поднесете упозорење о превари на ваше кредитне извештаје. (Више информација потражите у чланку Како се опоравити од крађе идентитета .)

Доступне су и друге услуге праћења кредитне способности, које спонзорира Екуифак. Услуге заштите крађе идентитета: коју вреди ">

Одговор Екуифака

Тадашњи председавајући и извршни директор Екуифака, Рицхард Смитх, изјавио је након хака да је "очигледно разочаравајући инцидент за нашу компанију и онај који погоди срце ко смо и шта радимо". Одступио је 26. септембра и неће примити бонус за 2017. Његов одлазак уследио је након одласка главне сефице безбедности Сусан Маулдин и главног информативног службеника Давида Вебба 14. септембра.

Неколико дана након што је компанија открила хацк интерно - и пре него што је кршење откривено јавности - главни финансијски директор Екуифака Јохн Гамбле, његов председник за радну снагу Родолфо Плодер и његов председник америчких информационих решења Јосепх Лоугхран продали су своје акције Екуифак-а. Екуифак је у изјави рекао да руководиоци нису знали за прекршај када су продали своје залихе. Гамбле, Плодер и Лоугхран заједно су зарадили скоро 1, 8 милиона долара од продаје.

Од 28. фебруара акције Екуифака опале су за 20, 1% у односу на затварање 7. септембра (пре него што је хак најављен) на 113, 00 УСД. Након неколико одлагања, Екуифак каже да ће пријавити зараду у четвртом кварталу након затварања 1. марта.

Нека започне тужба

Ројтерс је 11. септембра пренео да је против Екуифака поднесено више од 30 тужби - од којих многе траже класне тужбе - на америчким судовима. Неколико наводних кршења закона о хартијама од вредности; други оптужују ТрустедИД да баца скупе услуге купцима који су погођени кршењем података. Пет становника Јуте поднело је тужбу против компаније на америчком Окружном суду због пропуста у заштити осетљивих података купаца. Тужба тражи новчану штету од 5 милијарди долара и наметање строжијих индустријских стандарда.

Неколико погођених купаца креће се мање традиционалним путем у потрази за повратом од Екуифака. ДоНотПаи цхатбот пружа помоћ у подношењу жалбе на државним судовима за мале захтеве, где се максималне казне крећу у распону од 2.500 до 25.000 долара. Робот може да генерише папирологију само за парницу, а не да је заправо поднесе или да се појави на суду, наводи Верге.

Амерички адвокат Јохн Хорн са сједиштем у ФБИ-ју и Атланти најавио је криминалистичку истрагу због кршења закона 18. септембра. Биро за заштиту потрошача и 34 државна одвјетника врше истраге.

Г. Смитх одлази у Васхингтон

3. октобра бивши извршни директор Рицхард Смитх је свједочио пред пододбором за дигиталну трговину и заштиту потрошача. Извинио се више пута због тога што Екуифак није успео да заштити податке о потрошачима и суочио се са читавим низом питања која се односе на кршење и одговор Екуифака. Акције компаније порасле су након сведочења, али су остале знатно испод нивоа којима се трговало пре открића хака.

Одговарајући на питања у вези са контроверзном арбитражном клаузулом која је првобитно била укључена у услове пружања услуге ТрустедИД Премиер, Смитх је рекао да клаузула о „котловској плочи“ никада није била намењена примени на кршење правила и да је њено укључивање „грешком“. Не би рекао исто што и сличне клаузуле које управљају другим услугама Екуифака, а које је назвао "стандардним".

Сумњиво темпирана извршна продаја акција такође је била под будним надзором: велепосланик Јан Сцхаковски, Иллиноис демократа, рекао је да продаја "не пролази тест мириса", али Смитх се, према мом сазнању, суздржао "да нису знали" о прекршај у то време.

Смит је описао кршење као резултат људске грешке и технолошког пропуста: особа задужена да се закрпи за софтвер Апацхе Струтс - који је имао јавно познату рањивост коју су нападачи искористили - то није успео, а скенер који би имао упозорио је компанију да грешка такође није успела.

Компанијски одговор на кризу наишао је и на критику: постављање ВордПресс веб странице са сумњивом УРЛ адресом, неуспех у обезбеђивању сличних домена (па чак и преусмеравање клијената на један од тих домена), неуспех у адекватном позивању центара за особље и генерално стварање стиче се утисак да је компанија - која постоји за прикупљање, обезбеђивање и продају осетљивих података - била потпуно неспремна за цибер-напад у својим базама података. Реп. Маркваине Муллин, републиканац из Оклахоме, рекао је Смитху да је његов одговор требао бити попут повлачења аларма: "то одмах постаје на месту". Смит је одговорио да је његов тим "следио протокол". Неколико представника поменуло је да је Смитх одржао говор описујући превару као "огромну прилику" и "масиван, растући посао" у августу - након што је сазнао за кршење.

Смитх је одбио да одговори на питања о извору напада, укључујући да ли је то можда државни актер. Једноставно је рекао да ФБИ води истрагу. Он је бранио улагања компаније Екуифак у цибер-сигурност током свог мандата, рекавши да, када је стигао пре дванаест година, практично није било улагања у заштиту података. Компанија је потрошила четврт милијарде долара и ангажовала тим од 225 људи који ће осигурати податке компаније, рекао је Смитх, улажући индустријски стандардних 10-14% ИТ буџета у цибер-сигурност.

Неки представници су истакли да је кршење отворило темељна питања о улози индустрије за праћење кредита и права потрошача. "Шта ако желим да се одлучим за Екуифак?" - упита Сцхаковски. Смит је одговорио, „то захтева много ширу дискусију око улоге агенција за кредитно извештавање“. Реп. Тонко, њујоршки демократа, поновио је мишљење, истичући да он у ствари није „купац“, а да никада није одлучио да послује с Екуифаком. "Зашто је овој компанији дозвољено да настави да постоји?" упитао. У различитим тачкама, Смитх је доводио у питање вредност бројева социјалног осигурања као начина да се докаже идентитет и дао је нејасне референце на враћање „моћи потрошачу“.

Највеће питање дана стигло је од калифорнијске демократа Дорис Матсуи: "Да ли поседујем своје податке?" Смит није могао да одговори. (Погледајте такође, Блоцкцхаин вас може учинити - не екуифак - власником ваших података. )