7 вересня 2017 року компанія Equifax Inc. (EFX) оголосила, що 143 мільйони клієнтів зазнали хак, що стався в середині травня по липень. Ця цифра збільшилася до 145, 5 мільйона протягом наступних тижнів, потім до 147, 9 мільйонів 1 березня 2018 року, коли компанія заявила, що виявила 2, 4 мільйона додаткових жертв.
Після закриття ринку того ж дня компанія повідомила про фінансові результати четвертого кварталу та повного року. Доходи компанії в четвертому кварталі зросли на 5% за рік та склали 838, 5 млн доларів. Чистий дохід у кварталі зріс на 40% порівняно з минулим роком до 172, 3 млн доларів. Цілорічні доходи та прибутки також зросли порівняно з 2016 роком: доходи зросли на 7% до 3, 4 млрд доларів, а чистий дохід збільшився на 20% до 587, 3 млн доларів. Компанія заявила, що хак коштував їй 26, 5 мільйонів доларів у четвертому кварталі та 114, 0 мільйонів доларів за весь рік, за вирахуванням страхових виплат. Фондовий обсяг, який закрився на 1, 3% відповідно до S&P 500, піднявся на 0, 6% в позачасових торгах на момент написання.
За даними Equifax, було викрито 209 000 номерів кредитних карток клієнтів, а документи, що стосуються спорів, пов’язаних із 182 000 споживачами США, включаючи особисту інформацію, були порушені. Британські споживачі також постраждали від порушення; можливо, що деякі канадці були піддані компрометації. За даними Wall Street Journal, посилаючись на неназване джерело, 10, 9 мільйонів американських водійських даних було викрадено в порушенні.
Компанія знала про напад з 29 липня, але чекала понад місяць, щоб оповістити громадськість. 20 вересня повідомлялося, що Mandiant, дочірнє підприємство FireEye Inc. (FEYE), укладене компанією Equifax, вважає, що таке порушення було принаймні 10 березня.
Інформація щодо джерела нападу, яку розслідує ФБР, є мало, але, як стверджує Bloomberg, схожість на попередні напади на Управління управління персоналом та "Гімн Інк." Припускають, що зловмисник може бути державним, можливо, китайським. Те, що інформація клієнтів Equifax не з’явилася на чорному ринку, також говорить про те, що хакери не були просто злочинцями. Також Bloomberg повідомляє, що нападники націлилися на конкретних осіб, можливо, через їх багатство чи інтелектуальну цінність.
Зважаючи на те, що доросле населення США становить близько 250 мільйонів, великі шанси на те, що на вас вплинули порушення. Можливо також, що ви вже стали жертвою шахрайства, оскільки напад почався майже півроку тому.
На базі Атланти Equifax, одне з трьох великих агентств звітності споживчих кредитів - інші два - Experian PLC (Лондон: EXPN) та TransUnion (TRU) - збирає дані, включаючи номери соціального страхування, номери кредитних карток, номери посвідчень водіїв, оренду та комунальні послуги платіжна інформація та демографічні дані. Оскільки модель Equifax - це передусім бізнес-бізнес, багато її клієнтів не знають, що їх дані зберігає фірма. Окрім уникнення взагалі фінансової та кредитної системи, немає жодного прямого способу відмовитися від зберігання особистих даних Equifax. (Дивіться також, 5 найбільших злому даних про кредитну карту в історії. )
Як перевірити, якщо вас постраждали
Equifax створив веб-сайт, на якому ви можете перевірити, чи було порушено вашу інформацію, вказавши своє прізвище та останні шість цифр вашого номера соціального страхування. Цей сайт зазнав гострої критики, і ми видалили посилання через питання щодо його безпеки. Він був створений за допомогою WordPress, позаштатної платформи для блогів. Він розміщений в окремому домені до головного сайту Equifax. Компанія нехтувала реєстрацією подібних URL-адрес, які можна використовувати для фішинг-атак; один хакер з білої шапки створив саме такий сайт, щоб довести свою точку, а офіційний обліковий запис Equifax написав посилання на підроблений сайт. Більше одного разу.
Equifax запропонував клієнтам - постраждалим чи ні - такі послуги, які він називає TrustedID Premier: копії кредитного звіту Equifax, моніторинг кредитування та автоматизовані сповіщення для всіх трьох основних кредитних бюро, можливість блокувати доступ сторонніх осіб до вашого кредитного звіту Equifax (за винятком), моніторинг номерів соціального страхування та 1 мільйон доларів страхування на викрадення особистих даних. Кінцевий термін подачі заявки - 21 листопада 2017 року.
Компанія каже, що всі ці послуги є безкоштовними, але розміщення заморожених файлів на кредитних файлах спочатку не було безкоштовним - принаймні, не для всіх. Коли я спробував заморозити кредитний файл Equifax 8 вересня, сайт компанії сказав, що послуга обійдеться в 3, 00 долара, і попросив інформацію про кредитну карту для обробки платежу.
Як житель Нью-Йорка, я міг безкоштовно розмістити на своєму файлі Experian файл. Сайт TransUnion не зміг обробити запит спочатку - швидше за все це симптом збільшення трафіку - але пізніше дозволив мені безкоштовно заморозити замовлення.
У повідомленні, надісланому електронною поштою, прес-секретар компанії Equifax повідомив Інвестопедію 14 вересня, що фірма відмовляється від усіх зборів за заморожування кредитних файлів і автоматично відшкодовує клієнтам, які заплатили за це після оприлюднення зламу. Нове занепокоєння - і явний проміжок безпеки - виникло навколо PIN-кодів, які компанія видала клієнтам, які заморозили їхні кредитні звіти. Ці PIN-коди, які дозволяють клієнтам розморожувати кредитні звіти, дотримуються легко ідентифікованої моделі. Прес-секретар заявив, що клієнти з цими несправними PIN-кодами повинні зателефонувати за номером 866-349-5191, щоб поспілкуватися з живим агентом.
Служби TrustedID Premier Equifax перераховують як безкоштовні лише рік. Прес-секретар Equifax повідомив Investopedia, що компанія не запитує інформацію про кредитні картки, коли клієнти підписуються на послугу і що компанія не буде автоматично її поновлювати або стягувати плату. Стандартна ставка Equifax для моніторингу кредитування становить 17 доларів на місяць.
Що робити, якщо вас постраждали
Ліз Вестон, особиста письменниця з фінансів компанії NerdWallet, має такі поради для постраждалих від порушення рівня "Екіфакс", якими вона поділилася з Інвестопедією в електронному листі: "Екіфакс звернеться до жертв і запропонує їм кредитний моніторинг. Жертви повинні переконатися, що погода на моніторинг не заважає їм долучитися до судових позовів чи інших дій у дорозі ".
Спочатку сторінка з умовами надання послуг TrustedID Premier (архівована версія) насправді вимагала від користувачів відмовитися від права приєднатися до позовної заяви проти Equifax: "Погодившись подати Ваші вимоги до арбітражу, ви будете втрачати право на пред'явлення або участь в будь-якій класовій дії (будь то іменований позивач чи член класу) або ділитися в будь-якій нагороді за класову дію, включаючи претензії до класу, коли клас ще не сертифікований, навіть якщо факти та обставини, на яких ґрунтуються претензії, вже відбулися або існували ". Після зворотної реакції сторінку поширених запитів компанії було оновлено, щоб сказати, що стаття застосована до служби TrustedID Premier, а не до злому. Станом на ранок 12 вересня, умови надання послуг більше не включають арбітражне застереження.
Уестон каже, що постраждалі клієнти повинні розглянути питання про заморожування своїх кредитних звітів у всіх трьох основних бюро. Як було сказано вище, кредитні бюро можуть стягувати плату за ініціювання заморозки. Ви також можете стягувати плату за розморожування рахунків, коли вам потрібно чековий кредит (наприклад, щоб подати заявку на послугу мобільного телефону). Зазвичай ці збори не перевищують 10 доларів, але їх можна скласти. Вестон зазначає, що ще одним варіантом є подання попередження про шахрайство у ваших кредитних звітах у трьох кредитних бюро. (Докладніше див. Як відновити після крадіжки особи .)
Також доступні інші послуги з моніторингу кредитування, не спонсоровані Equifax. Служби захисту крадіжок особи: чого варто? перераховує декілька з них, які слід дослідити.
Відповідь Equifax
Тодішній голова та генеральний директор Equifax Річард Сміт заявив після виступу, що це "явно невтішний інцидент для нашої компанії, і той, хто вражає серце, хто ми і що робимо". Він відступив 26 вересня і не отримає бонус за 2017 рік. Його відхід відбувся після виїзду головного співробітника служби безпеки Сьюзан Малдін та головного директора з питань інформації Девіда Вебба 14 вересня.
Кілька днів після того, як компанія виявила злом внутрішньо - і до того, як порушення було розкрито громадськості - головний фінансовий директор компанії Equifax Джон Гембл, її президент з питань трудових рішень Родольфо Плодер та його президент інформаційних рішень у США Джозеф Лофран продали свої акції Equifax. У заяві компанії Equifax сказано, що керівники не знали про порушення, коли продавали свої запаси. Гембл, Плодер та Лофран спільно заробили майже 1, 8 мільйона доларів від продажів.
Станом на 28 лютого акції Equifax знизилися на 20, 1% з моменту його закриття 7 вересня (до того, як було оголошено про злом) до 113, 00 доларів. Після кількох затримок, Equifax каже, що повідомить про прибутки в четвертому кварталі після закриття 1 березня.
Нехай почнуться судові справи
Reuters повідомив 11 вересня, що понад 30 судових позовів - багато з яких шукають класових позовів - було порушено проти Equifax в судах США. Кілька тверджень про порушення закону про цінні папери; інші звинувачують TrustedID у виправданні дорогих послуг клієнтам, які постраждали від порушення даних. П’ятеро мешканців штату Юта подали до суду на окружний суд США за не захист конфіденційних даних клієнтів. Позов вимагає грошових збитків у розмірі 5 мільярдів доларів та накладення суворіших галузевих стандартів.
Кілька постраждалих клієнтів проходять менш традиційний маршрут, шукаючи звернення до Equifax. Чат-робот DoNotPay надає допомогу в поданні скарги в державних судах з дрібними позовами, де максимальні штрафи становлять від 2500 до 25000 доларів. Бот може створювати документи лише для судового позову, а не фактично подавати його або з’являтися в суді, повідомляє Verge.
18 вересня ФБР та прокурор США Джон Хорн оголосили про порушення кримінальної справи за порушеннями. Бюро фінансового захисту споживачів та 34 державні адвокати проводять розслідування.
Містер Сміт їде до Вашингтона
3 жовтня колишній генеральний директор Річард Сміт дав свідчення перед підкомітетом "Електронна комерція та захист прав споживачів". Він кілька разів вибачився за неспроможність Equifax захистити дані споживачів і зіткнувся з питаннями щодо низки питань, пов'язаних з порушенням та відповіді Equifax. Акції компанії зросли після показань, але залишилися значно нижче рівнів, на яких торгували до розкриття зламу.
У відповідь на запитання щодо суперечливого арбітражного застереження, яке спочатку було включено в умови надання послуг TrustedID Premier, Сміт заявив, що пункт "котловану" ніколи не мав на меті застосовуватись до порушення та назвав його включення "помилкою". Він не сказав би те саме про аналогічні пункти, що регулюють інші послуги Equifax, які він назвав "стандартними".
Підозрілі терміни продажів акцій також потрапили під ретельний контроль: репутація Яна Шаковського, Іллінойський демократ, заявила, що продаж "не проходить перевірку запаху", але Сміт відмовився, "наскільки мені відомо, вони не знали" про порушення в той час.
Сміт описав це порушення як результат людської помилки та технологічної невдачі: особа, відповідальна за те, щоб виконати виправлення програмного забезпечення Apache Struts - яка мала загальновідому вразливість, яку зловмисники експлуатували - не зробила цього, і сканер, який мав би Попередив компанію про цю помилку також не вдалося.
Кримінальна відповідь компанії на кризу також викликала критику: створення веб-сайту WordPress з підозрілою URL-адресою, не в змозі захистити подібні домени (і навіть спрямувати клієнтів до одного з цих доменів), не в змозі забезпечити належну кількість центрів виклику персоналу та загалом створити складається враження, що компанія - яка існує для збору, захисту та продажу конфіденційних даних - була абсолютно не підготовлена до кібератаки на свої бази даних. Преподобний Марквейн Маллін, республіканець штату Оклахома, сказав Сміту, що його відповідь мала бути як витягнення пожежної тривоги: "це негайно стає на місце". Сміт відповів, що його команда "дотримувалася протоколу". Кілька представників згадували, що Сміт виступив з промовою, описуючи шахрайство як "величезну можливість" та "масований, зростаючий бізнес" в серпні - після того, як він дізнався про порушення.
Сміт відмовився відповідати на запитання про джерело нападу, включаючи, чи може це бути державним актором. Він сказав просто, що ФБР проводить розслідування. Він захищав інвестиції Equifax в кібербезпеку під час свого перебування на посаді, заявивши, що коли він прибув дванадцять років тому, інвестицій у захист даних практично не було. Компанія витратила чверть мільярдів доларів і найняла команду з 225 осіб для захисту даних компанії, заявив Сміт, інвестуючи стандартні 10-14% ІТ-бюджету компанії в кібербезпеку.
Деякі представники відзначили, що порушення відкрило основні питання щодо ролі галузі кредитного моніторингу та прав споживачів. "Що робити, якщо я хочу вибрати наш Equifax?" - запитав Шаковський. Сміт відповів, "що вимагає значно ширшої дискусії щодо ролі агентств звітності з кредитами". Преподобний Тонко, нью-йоркський демократ, повторив почуття, зазначивши, що він насправді не є "замовником", ніколи не вирішивши вести бізнес з Equifax. "Чому цій компанії дозволено продовжувати своє існування?" запитав він. У різні моменти Сміт ставив під сумнів значення номерів соціального страхування як спосіб підтвердження ідентичності та зробив невиразні посилання на те, щоб повернути "споживачам владу".
Найбільше питання дня прийшло від Каліфорнійської демократи Доріс Мацуї: "Чи я володію своїми даними?" Сміт не міг відповісти. (Див. Також, Blockchain може зробити вас - не еквіфакс - власник ваших даних. )
