Jesam li bio sjeckan? Otkrijte utječe li vas povreda ravnoteže

Equifax Inc. (EFX) objavio je 7. rujna 2017. godine da je 143 milijuna njegovih kupaca bilo pod utjecajem haka koji se dogodio između sredine svibnja i srpnja. Ta je brojka sljedećih tjedana narasla na 145, 5 milijuna, zatim na 147, 9 milijuna 1. ožujka 2018., kada je tvrtka priopćila kako je identificirala 2, 4 milijuna dodatnih žrtava.

Nakon zatvaranja tržišta istog dana, tvrtka je izvijestila o financijskim rezultatima u četvrtom tromjesečju i cijeloj godini. Prihodi tvrtke u četvrtom tromjesečju porasli su za 5% u odnosu na isto razdoblje prošle godine na 838, 5 milijuna dolara. Neto prihod u tromjesečju porastao je za 40% u odnosu na isto razdoblje prošle godine na 172, 3 milijuna USD. Cjelogodišnji prihodi i dobit također su porasli u odnosu na 2016. godinu: prihodi su porasli za 7% na 3, 4 milijarde dolara, dok su neto prihodi porasli za 20% na 587, 3 milijuna dolara. Tvrtka je navela da ju je hack koštao 26, 5 milijuna USD u četvrtom tromjesečju i 114, 0 milijuna USD u cijeloj godini, bez isplate osiguranja. Zalihe, koje su se zatvorile za 1, 3% u skladu sa S&P 500, povećale su 0, 6% u trgovanju nakon radnog vremena u vrijeme pisanja.

Prema izložbi Equifaxa, izloženo je čak 209.000 kupaca, a dokumenti spora vezani za 182.000 američkih potrošača - koji uključuju osobne podatke - bili su ugroženi. Kršenje je također pogođeno britanskim potrošačima; moguće je da su neki Kanađani bili ugroženi. Prema Wall Street Journalu, pozivajući se na neimenovani izvor, 10, 9 milijuna Američkih vozačkih podataka ukradeno je zbog kršenja zakona.

Tvrtka je za napad znala od 29. srpnja, ali čekala je više od mjesec dana da upozori javnost. 20. rujna objavljeno je da Mandiant, podružnica FireEye Inc. (FEYE), koju je ugovorio Equifax, procjenjuje da je kršenje bilo barem do 10. ožujka.

Malo je podataka o izvoru napada, koji istražuje FBI, ali prema Bloombergu, sličnosti ranijim napadima na Ured za upravljanje osobljem i Anthem Inc. sugeriraju da napadač može biti sponzoriran od strane države, možda Kinezi. Da se informacije kupaca Equifaxa nisu pojavile na crnom tržištu, također ukazuje na to da hakeri nisu bili samo kriminalci. Bloomberg također izvještava da su napadači ciljali određene pojedince, možda zbog njihovog bogatstva ili inteligencijske vrijednosti.

S obzirom na to da je odrasla populacija SAD-a oko 250 milijuna, velike su šanse da ste bili pogođeni prekršajem. Moguće je i da ste već bili žrtva prijevare, jer je napad počeo prije gotovo šest mjeseci.

Atlantska Equifax, jedna od tri velike agencije za izvještavanje o potrošačkim kreditima - ostala dva su Experian PLC (London: EXPN) i TransUnion (TRU) - prikuplja podatke, uključujući brojeve socijalnog osiguranja, brojeve kreditnih kartica, brojeve vozačkih dozvola, stanarinu i komunalne usluge podatke o plaćanju i demografske podatke. Budući da je Equifaxov model prvenstveno posao-posao, mnogi njegovi kupci nisu svjesni da njihova tvrtka pohranjuje podatke. Osim u potpunosti izbjegavanja financijskog i kreditnog sustava, ne postoji direktan način odustajanja od pohrane osobnih podataka u Equifax. (Pogledajte također, 5 najvećih hakova s ​​podacima o kreditnoj kartici u povijesti. )

Kako provjeriti jeste li pogođeni

Equifax je uspostavio web mjesto na kojem možete provjeriti jesu li vaši podaci ugroženi tako da navedete svoje prezime i zadnjih šest znamenki vašeg broja socijalnog osiguranja. Ova web lokacija bila je predmet intenzivnih kritika, a mi smo uklonili vezu zbog pitanja koja se tiču ​​njene sigurnosti. Postavljen je koristeći WordPress, izvanmrežnu platformu za bloganje. Smješten je na zasebnoj domeni, do glavne web stranice Equifaxa. Tvrtka je zapostavila registrirati slične URL-ove, koji bi se mogli koristiti za phishing napade; jedan haker za bijeli šešir stvorio je upravo takvu stranicu kako bi dokazao poantu, a službeni račun Equifaxa tweetao je vezu do lažne stranice. Više od jednom.

Equifax je ponudio klijentima - pogođene ili ne - sljedeće usluge, koje naziva TrustedID Premier: kopije kreditnog izvještaja Equifax, nadgledanje kredita i automatizirana upozorenja za sva tri glavna kreditna biroa, mogućnost blokiranja treće strane pristupa vašem Equifax kreditnom izvješću (s iznimkama), nadgledanje broja socijalnog osiguranja i osiguranje od krađe identiteta od milion dolara. Rok za prijavu bio je 21. studenog 2017.

Iz tvrtke kažu kako su ove usluge besplatne, ali stavljanje sigurnosnog zamrzavanja na kreditnu datoteku u početku nije bilo besplatno - barem ne za sve. Kada sam 8. rujna pokušao zamrznuti kreditnu datoteku Equifax-a, stranica tvrtke rekla je da će ta usluga koštati 3, 00 USD i zatražila je podatke o kreditnoj kartici da bi obradila plaćanje.

Zaslon zaslona sa web stranice www.freeze.equifax.com (8. rujna 2017. u 11.46 EDT).

Kao stanovnik New Yorka, bio sam u mogućnosti besplatno staviti na moj Experian dosje. Web lokacija TransUniona nije u početku uspjela obraditi zahtjev - što je vjerojatno simptom povećanog prometa - ali kasnije mi je omogućila besplatno postavljanje zamrzavanja.

U izjavi e-poštom, glasnogovornik tvrtke Equifax rekao je za Investopedia 14. rujna da se tvrtka odriče svih optužbi za zamrzavanje kreditnih datoteka i da automatski vraća kupcima koji su to platili nakon što je hack objavljen. Nova zabrinutost - i očigledan nestanak sigurnosti - sada se pojavila oko PIN-ova koje je tvrtka izdala kupcima koji su zamrznuli svoja kreditna izvješća. Ti PIN-ovi koji kupcima omogućuju zamrzavanje kreditnih izvještaja slijede obrazac koji se lako prepoznaje. Glasnogovornik je rekao da kupci s tim neispravnim PIN-ovima moraju nazvati 866-349-5191 da bi razgovarali sa živim agentom.

Ako ste dobili PIN nakon prijave haka, vaš svibanj biti jedan od neispravnih. Popraviti to nije lako. Dvanaest poziva na liniju ujutro 15. rujna dalo je osam zauzetih signala i četiri slučaja potpune tišine.

TrustedID Premier usluge Equifax popisi kao besplatne besplatne su samo godinu dana. Glasnogovornik portala Equifax rekao je za Investopediju da tvrtka ne traži podatke o kreditnim karticama kada se kupci prijave na uslugu i da ih tvrtka neće automatski obnoviti ili naplatiti naknadu. Standardna stopa Equifaxa za nadzor kredita je 17 USD mjesečno.

Što učiniti ako ste pogođeni

Liz Weston, osobna spisateljica financija iz NerdWallet, ima sljedeće savjete za one koji su pogođeni prekršajem Equifaxa, a koje je s e-mailom podijelila s Investopedijom: "Equifax će pružiti priliku žrtvama i ponuditi im nadzor nad kreditima. Žrtve bi trebale osigurati to pristanak na nadzor ne sprečava ih da se pridruže tužbama ili drugim radnjama niz put. "

U početku, stranica usluge usluge (arhivirana inačica TrustedID Premier) zapravo zahtijeva od korisnika da se odriču prava sudjelovanja u tužbi klase protiv Equifaxa: "Pristajući na podnošenje zahtjeva za arbitražu, oduzet ćete pravo na podnošenje ili sudjelovanje u bilo kojoj radnji klase (bilo kao imenovani tužitelj ili član klase) ili dijeliti nagradu za klasu, uključujući zahtjeve za klasu gdje klasa još nije certificirana, čak i ako su se već dogodile činjenice i okolnosti na kojima se zasnivaju zahtjevi ili je postojao. " Nakon nasrtaja, stranica s FAQ-om tvrtke ažurirana je kako bi se rekla da se klauzula primjenjivala na TrustedID Premier uslugu, a ne na hack. Od jutra 12. rujna, uvjeti pružanja usluge više ne uključuju arbitražnu klauzulu.

Weston kaže da bi pogođeni kupci trebali razmotriti zamrzavanje svojih kreditnih izvještaja na sva tri glavna biroa. Kao što je gore spomenuto, kreditni biroi mogu naplatiti naknade za pokretanje ove zamrzavanja. Može vam se naplatiti i odmrzavanje računa kada trebate provjeru kreditne sposobnosti (na primjer, da biste se prijavili za uslugu mobitela). Te su naknade obično manje od 10 USD, ali mogu se zbrojiti. Weston napominje da je druga mogućnost da na tri kreditna biroa podnesete upozorenje o prijevari na vaše kreditne izvještaje. (Za više detalja, pogledajte Kako se oporaviti od krađe identiteta .)

Dostupne su i druge usluge praćenja kreditne sposobnosti koje ne sponzorira Equifax. Usluge zaštite krađe identiteta: vrijedi ih imati>>

Odgovor Equifaxa

Tadašnji predsjedavajući i izvršni direktor Equifaxa Richard Smith rekao je nakon haka da je to "očito razočaravajući incident za našu tvrtku i onaj koji srce udara u to tko smo i što radimo". Odstupio je 26. rujna i neće primiti bonus za 2017. Njegov je odlazak uslijedio nakon rujna glavne sigurnosne službenice Susan Mauldin i glavnog informativnog službenika Davida Webba 14. rujna.

Nekoliko dana nakon što je kompanija otkrila hack interno - i prije nego što je kršenje otkriveno javnosti - glavni financijski direktor Equifaxa John Gamble, njegov predsjednik rješenja za radnu snagu Rodolfo Ploder i njegov predsjednik američkih informacijskih rješenja Joseph Loughran prodali su svoje dionice Equifaxa. Equifax je u izjavi naveo da izvršitelji nisu znali za prekršaj kad su prodali svoje zalihe. Gamble, Ploder i Loughran zajedno su zaradili gotovo 1, 8 milijuna dolara od prodaje.

Od 28. veljače dionice Equifaxa pale su za 20, 1% od zatvaranja 7. rujna (prije nego što je hack najavljen) na 113, 00 USD. Nakon nekoliko kašnjenja, Equifax kaže da će izvijestiti o dobiti u četvrtom tromjesečju nakon što se 1. ožujka zatvori.

Neka započnu parnice

Reuters je 11. rujna izvijestio da je protiv Equifaxa podneseno više od 30 tužbi - od kojih su mnoge tražile klasne tužbe - na američkim sudovima. Nekoliko navodnih kršenja zakona o vrijednosnim papirima; drugi optužuju TrustedID da baca skupe usluge kupcima koji su pogođeni kršenjem podataka. Pet stanovnika Utahe tužilo je tvrtku na američkom Okružnom sudu zbog zaštite zaštite osjetljivih podataka kupaca. Tužba traži novčanu štetu od 5 milijardi dolara i nametanje strožijih industrijskih standarda.

Nekolicina pogođenih kupaca kreće se manje tradicionalnim putem u potrazi za povratom od Equifaxa. Chat za DoNotPay pruža pomoć u podnošenju žalbe na državnim sudovima za male zahtjeve, gdje se maksimalne kazne kreću u rasponu od 2.500 do 25.000 dolara. Robot može stvoriti papirologiju samo za parnicu, a zapravo ga ne podnijeti ili pojaviti na sudu, navodi Verge.

Američki odvjetnik sa sjedištem u FBI-ju i John Horn najavio je kriminalističku istragu zbog kršenja zakona 18. rujna. Istragu vodi Ured za financijsku zaštitu potrošača i 34 državna odvjetnika.

Gospodin Smith odlazi u Washington

3. listopada bivši izvršni direktor Richard Smith svjedočio je pred pododborom za digitalnu trgovinu i zaštitu potrošača. Izvinio se više puta zbog toga što Equifax nije uspio zaštititi podatke o potrošačima i suočio se s nizom pitanja koja su povezana s kršenjem i odgovorom Equifaxa. Dionice tvrtke porasle su nakon svjedočenja, ali ostale su znatno ispod nivoa kojima se trgovalo prije otkrića haka.

Odgovarajući na pitanja u vezi s kontroverznom arbitražnom klauzulom koja je prvobitno uključena u uvjete pružanja usluge TrustedID Premier, Smith je rekao da klauzula o "kotlovskoj ploči" nikada nije bila namijenjena primjeni na kršenje zakona i nazvao je njezino uključivanje "pogreškom". Ne bi rekao isto što i slične klauzule koje upravljaju drugim uslugama Equifaxa, a koje je nazvao "standardnim".

Sumnjivo tempirana izvršna prodaja dionica također je bila pod budnim nadzorom: izaslanik Jan Schakowsky, Illinois demokrata, rekao je da prodaja "ne prolazi test mirisa", ali Smith je otklonio, "koliko ja znam, nisu znali" o kršenje u to vrijeme.

Smith je opisao kršenje kao posljedicu ljudske pogreške i tehnološkog propusta: osoba odgovorna za zakrpanje softvera Apache Struts - koji je imao javno poznatu ranjivost koju su napadači iskoristili - nije to uspjela, a skener koji bi imao upozorio tvrtku da pogreška također nije uspjela.

Tvrtkov neodlučni odgovor na krizu naišao je i na kritiku: postavljanje WordPress stranice s sumnjivim URL-om, neuspjeh u osiguranju sličnih domena (pa čak i usmjeravanje kupaca na jednu od tih domena), neuspjeh u adekvatnom centru za pozive osoblja i općenito stvaranje stječe se dojam da je tvrtka - koja postoji za prikupljanje, sigurnost i prodaju osjetljivih podataka - bila potpuno nespremna za cyber-napad u svojim bazama podataka. Veleposlanik Markwayne Mullin, republikanac iz Oklahome, rekao je Smithu da je njegov odgovor trebao biti poput povlačenja alarma: "to odmah postaje na mjestu". Smith je odgovorio da je njegov tim "slijedio protokol". Nekoliko predstavnika spomenulo je da je Smith održao govor opisujući prevaru kao "ogromnu priliku" i "masivan, rastući posao" u kolovozu - nakon što je saznao za kršenje.

Smith je odbio odgovarati na pitanja o izvoru napada, uključujući može li to biti državni akter. Jednostavno je rekao da FBI vodi istragu. Branio je ulaganja Equifaxa u cyber-sigurnost tijekom svog mandata, rekavši da, kada je stigao prije dvanaest godina, praktički nije bilo ulaganja u zaštitu podataka. Tvrtka je potrošila četvrt milijarde dolara i angažirala tim od 225 ljudi koji će osigurati podatke o tvrtki, rekao je Smith, ulažući industrijski standardnih 10-14% IT-jeva proračuna u cyber-sigurnost.

Neki su zastupnici istakli da je kršenje pokrenulo temeljna pitanja o ulozi industrije za nadzor kredita i prava potrošača. "Što ako želim odabrati naš Equifax?" - upita Schakowski. Smith je odgovorio, "što zahtijeva mnogo širu raspravu oko uloge agencija za kreditno izvještavanje". Veleposlanik Tonko, njujorški demokrat, izrazio je raspoloženje, ističući da on zapravo nije "kupac" i da se nikada nije odlučio baviti tvrtkom Equifax. "Zašto je ovom poduzeću dopušteno da postoji?" upitao. U raznim je točkama Smith dovodio u pitanje vrijednost brojeva socijalnog osiguranja kao načina dokazivanja identiteta i dao se nejasnim referencama na vraćanje „moći potrošaču“.

Najveće pitanje dana uslijedilo je od kalifornijske demokratke Doris Matsui: "Posjedujem li svoje podatke?" Smith nije mogao odgovoriti. (Pogledajte također, Blockchain vas može učiniti - ne equifax - vlasnikom vaših podataka. )