Equifax Inc. (EFX) a anunțat pe 7 septembrie 2017 că 143 milioane dintre clienții săi au fost afectați de un hack care a avut loc între jumătatea lunii mai și iulie. Această cifră a fost ridicată la 145, 5 milioane în săptămânile următoare, apoi la 147, 9 milioane la 1 martie 2018, când compania a declarat că a identificat 2, 4 milioane de victime suplimentare.
După închiderea pieței în aceeași zi, compania a raportat rezultate financiare din trimestrul IV și întregul an. Veniturile companiei din trimestrul al patrulea au crescut cu 5% an de an, la 838, 5 milioane dolari. Venitul net din trimestru a crescut cu 40% față de an la 172, 3 milioane dolari. Veniturile și profiturile pe parcursul întregului an au crescut, de asemenea, comparativ cu 2016: veniturile au crescut cu 7%, până la 3, 4 miliarde de dolari, în timp ce venitul net a crescut cu 20%, până la 587, 3 milioane USD. Compania a spus că hackul l-a costat 26, 5 milioane dolari în trimestrul al patrulea și 114, 0 milioane dolari în întregul an, net de plățile de asigurare. Stocul, care a închis 1, 3% în conformitate cu S&P 500, este în creștere cu 0, 6% în tranzacționarea după ore la momentul scrierii.
Până la 209.000 de numere de carduri de credit ale clienților au fost expuse, conform Equifax, și documentele privind litigiile legate de 182.000 de consumatori din SUA - care includ informații personale - au fost compromise. De asemenea, consumatorii britanici au fost afectați de încălcare; este posibil ca unii canadieni să fi fost compromiși. Potrivit Wall Street Journal, care citează o sursă fără nume, 10, 9 milioane de americani date de licență de conducere au fost furate în încălcare.
Compania știa despre atac încă din 29 iulie, dar a așteptat peste o lună să avertizeze publicul. Pe 20 septembrie, sa raportat că Mandiant, filiala FireEye Inc. (FEYE) contractată de Equifax, estimează încălcarea până în prezent până la cel puțin 10 martie.
Există puține informații cu privire la sursa atacului, care este investigată de FBI, dar, conform Bloomberg, asemănările cu atacurile anterioare asupra Biroului de gestionare a personalului și Imn Inc. sugerează că atacatorul ar putea fi sponsorizat de stat, poate chinez. Că informațiile clienților Equifax nu au apărut pe piața neagră sugerează, de asemenea, că hackerii nu au fost pur și simplu infractori. De asemenea, Bloomberg raportează că atacatorii au vizat anumite persoane, poate datorită bogăției sau valorii lor de inteligență.
Având în vedere că populația adultă din SUA este de aproximativ 250 de milioane, șansele sunt bune să fii afectat de încălcare. Este posibil să fi fost deja victimă a fraudei, de când atacul a început în urmă cu aproape șase luni.
Equifax, cu sediul în Atlanta, una dintre cele mai mari trei agenții de raportare a creditelor de consum - celelalte două sunt Experian PLC (Londra: EXPN) și TransUnion (TRU) - colectează date, inclusiv numere de securitate socială, numere de cărți de credit, numere de permis de conducere, chirie și utilitate informații de plată și date demografice. Deoarece modelul Equifax este în primul rând business-to-business, mulți dintre clienții săi nu știu că datele lor sunt stocate de către firmă. În afară de evitarea cu totul a sistemului financiar și de credit, nu există o modalitate simplă de a renunța la păstrarea datelor cu caracter personal stocate de Equifax. (A se vedea, de asemenea, cele mai mari 5 Hack-uri de date despre cardurile de credit din istoric. )
Cum să verificați dacă ați fost afectat
Equifax a creat un site unde puteți verifica dacă informațiile dvs. au fost compromise, dându-vă numele și ultimele șase cifre ale numărului dvs. de securitate socială. Acest site a făcut obiectul unor critici intense și am eliminat linkul din cauza întrebărilor referitoare la securitatea acestuia. A fost înființată folosind WordPress, o platformă de bloguri off-the-raft. Acesta este găzduit într-un domeniu separat de site-ul principal al Equifax. Compania a neglijat să înregistreze adrese URL similare, care ar putea fi utilizate pentru atacuri de phishing; un hacker de pălării albe a creat doar un astfel de site pentru a demonstra un punct, iar un cont oficial Equifax a trimis linkul către site-ul fals. Mai mult de o dată.
Equifax a oferit clienților - afectați sau nu - următoarele servicii, pe care le numește TrustedID Premier: copii ale unui raport de credit Equifax, monitorizare a creditelor și alerte automatizate pentru toate cele trei birouri majore de credit, posibilitatea de a bloca accesul terților la raportul dvs. de credit Equifax. (cu excepții), monitorizarea numărului de securitate socială și 1 milion USD în asigurare de furt de identitate. Termenul limită pentru depunerea cererii a fost 21 noiembrie 2017.
Compania spune că aceste servicii sunt gratuite, însă plasarea unui îngheț de securitate într-un fișier de credit nu a fost inițial gratuită - cel puțin nu pentru toată lumea. Când am încercat să îngheț un dosar de credit Equifax pe 8 septembrie, site-ul companiei a spus că serviciul va costa 3, 00 USD și a cerut informații despre cardul de credit pentru a procesa plata.
Ca rezident din New York, am putut să pun gratuit o fișieră în fișierul Experian. Site-ul TransUnion nu a putut prelucra inițial cererea - probabil un simptom al traficului crescut - dar mai târziu mi-a permis să pun gratuit o înghețare.
Într-o declarație prin e-mail, un purtător de cuvânt al Equifax a declarat la 14 septembrie la Investopedia că firma renunță la toate taxele pentru înghețarea dosarelor de credit și restituie automat clienții care au plătit acest lucru după ce hack-ul a fost făcut public. O nouă preocupare - și o scurgere clară în materie de securitate - a apărut acum în jurul codurilor PIN pe care compania le-a emis clienților care și-au înghețat rapoartele de credit. Aceste coduri PIN, care permit clienților să desfășoare rapoarte de credit, urmează un model ușor de identificat. Purtătorul de cuvânt a spus că clienții cu aceste coduri PIN defecte trebuie să sune la 866-349-5191 pentru a vorbi cu un agent live.
Serviciile TrustedID Premier listele Equifax ca fiind gratuite sunt gratuite doar un an. Un purtător de cuvânt al Equifax a declarat pentru Investopedia că compania nu solicită informații despre cardul de credit atunci când clienții se înscriu la serviciu și că compania nu o va reînnoi automat și nu va percepe o taxă. Rata standard Equifax pentru monitorizarea creditului este de 17 dolari pe lună.
Ce să faci dacă ai fost afectat
Liz Weston, scriitoare de finanțe personale la NerdWallet, oferă următoarele sfaturi pentru persoanele afectate de încălcarea Equifax, pe care a distribuit-o cu Investopedia într-un e-mail: „Equifax va contacta victimele și le va oferi monitorizarea creditului. Victimele ar trebui să se asigure că Acordul monitorizării nu-i împiedică să se alăture în procese sau alte acțiuni în drum."
Inițial, termenii serviciului TrustedID Premier (versiunea arhivată) au cerut de fapt utilizatorilor să renunțe la dreptul lor de a se alătura unei acțiuni de clasă împotriva Equifax: „Acceptând să îți trimit revendicările la arbitraj, îți vei pierde dreptul de a aduce sau participa. în orice acțiune de clasă (fie ca reclamant numit sau membru al clasei), fie pentru a participa la orice premii de acțiune de clasă, inclusiv revendicări de clasă în care o clasă nu a fost încă certificată, chiar dacă faptele și circumstanțele pe care se bazează revendicările au avut deja loc. sau a existat ". În urma unei reacții, pagina de întrebări frecvente a companiei a fost actualizată pentru a spune că clauza se aplică serviciului TrustedID Premier, nu hack-ul. Începând cu dimineața zilei de 12 septembrie, termenii serviciului nu mai includ o clauză de arbitraj.
Weston spune că clienții afectați ar trebui să ia în considerare înghețarea rapoartelor de credit la toate cele trei birouri majore. După cum am menționat mai sus, birourile de credit pot percepe taxe pentru inițierea acestei înghețuri. De asemenea, puteți fi taxat pentru deblocarea conturilor atunci când aveți nevoie de un control de credit (pentru a solicita serviciul de telefonie mobilă, de exemplu). Aceste taxe sunt, în general, mai mici de 10 USD, dar se pot adăuga. Weston observă că o altă opțiune este de a plasa o alertă de fraudă în rapoartele de credit la cele trei birouri de credit. (Pentru mai multe, consultați Cum să vă recuperați din furtul de identitate .)
De asemenea, sunt disponibile și alte servicii de monitorizare a creditelor, care nu sunt sponsorizate de Equifax. Servicii de protecție împotriva furtului de identitate: Merită să aveți? listează mai multe dintre ele pentru a le investiga.
Răspunsul lui Equifax
Atunci, președintele și directorul general al Equifax, Richard Smith, a declarat după hacker că a fost „în mod clar un incident dezamăgitor pentru compania noastră și unul care lovește în centrul cine suntem și ce facem”. El a renunțat la 26 septembrie și nu va primi un bonus pentru 2017. Plecarea sa i-a urmat pe cea a ofițerului de securitate șef Susan Mauldin și a ofițerului șef de informații David Webb pe 14 septembrie.
La câteva zile după ce compania a descoperit hack-ul intern - și înainte ca încălcarea să fie dezvăluită publicului - directorul financiar șef al Equifax, John Gamble, președintele său de soluții pentru forța de muncă Rodolfo Ploder și președintele soluțiilor informaționale din SUA, Joseph Loughran, și-a vândut acțiunile Equifax. Equifax a declarat într-o declarație că directorii nu au știut despre încălcarea atunci când și-au vândut stocul. Gamble, Ploder și Loughran au câștigat colectiv aproape 1, 8 milioane USD din vânzări.
Începând cu 28 februarie, stocul lui Equifax a scăzut cu 20, 1% de la închiderea sa din 7 septembrie (înainte de anunțarea hack-ului) la 113, 00 USD. După mai multe întârzieri, Equifax spune că va raporta câștigurile din trimestrul patru după închiderea de 1 martie.
Să înceapă procesele
Reuters a raportat pe 11 septembrie că peste 30 de procese - multe dintre ele care solicită acțiuni de clasă - au fost înaintate împotriva Equifax în instanțele americane. Câțiva susțin încălcări ale dreptului valorilor mobiliare; alții acuză TrustedID că ar fi oferit servicii costisitoare pentru clienții care au fost afectați de încălcarea datelor. Cinci rezidenți din Utah au dat în judecată compania din Curtea de District din SUA pentru nerespectarea datelor sensibile ale clienților. Costumul urmărește daune monetare de 5 miliarde de dolari și impunerea unor standarde mai stricte din industrie.
Câțiva clienți afectați urmează un traseu mai puțin tradițional în căutarea recursului de la Equifax. Chatbotul DoNotPay oferă asistență în depunerea unei plângeri în instanțele de cerere mici de stat, unde pedepsele maxime variază între 2.500 și 25.000 USD. Bot-ul poate genera doar documente pentru un proces, nu depune de fapt sau apare în instanță, potrivit Verge.
John Horn, avocatul american FBI și Atlanta, a anunțat o anchetă penală cu privire la încălcarea din 18 septembrie. Biroul pentru protecția financiară a consumatorului și 34 de avocați generali de stat efectuează anchete.
Domnul Smith merge la Washington
Pe 3 octombrie, fostul CEO Richard Smith a depus mărturie în fața subcomisiei pentru comerț digital și protecția consumatorilor. El și-a cerut scuze de mai multe ori pentru eșecul Equifax de a proteja datele consumatorilor și s-a confruntat cu întrebări despre o serie de probleme legate de încălcarea și răspunsul lui Equifax. Stocul companiei a crescut în urma mărturiei, dar a rămas cu mult sub nivelurile la care a fost tranzacționat înainte de dezvăluirea hack-ului.
Ca răspuns la întrebările referitoare la clauza de arbitraj controversată, care a fost inițial inclusă în termenii de serviciu ai TrustedID Premier, Smith a spus că clauza „boilerplate” nu a fost niciodată destinată să se aplice încălcării și a numit includerea acesteia drept „greșeală”. El nu ar spune același lucru despre clauzele similare care reglementează alte servicii Equifax, pe care le-a numit „standard”.
Vânzările de stoc executiv cronometrate cu suspiciune au fost, de asemenea, examinate: Reprezentantul Jan Schakowsky, un democrat din Illinois, a declarat că vânzarea „nu trece testul mirosului”, dar Smith s-a arătat „din câte știam, nu știau” despre încălcarea la acea vreme.
Smith a descris încălcarea ca urmare a unei erori umane și a unei eșecuri tehnologice: persoana însărcinată să se asigure de aplicarea software-ului Apache Struts - care avea o vulnerabilitate cunoscută public pe care atacatorii exploatați - nu a reușit acest lucru și un scaner care ar fi avut a alertat compania că acea eroare a eșuat.
Răspunsul nereușit al companiei la criză a venit și pentru critici: crearea unui site WordPress cu o adresă URL suspectă, nu a reușit să securizeze domenii similare (și chiar să direcționeze clienții către unul dintre aceste domenii), nu a reușit să aducă în mod corespunzător centre de apeluri și, în general, crearea impresia că compania - care există pentru a colecta, securiza și vinde date sensibile - nu a fost complet pregătită pentru un cyberattack în bazele sale de date. Republica Markwayne Mullin, un republican din Oklahoma, i-a spus lui Smith că răspunsul său ar fi trebuit să fie ca și cum ai trage o alarmă de incendiu: „aceasta merge imediat în loc”. Smith a răspuns că echipa sa „a urmat protocolul”. Câțiva reprezentanți au menționat că Smith a susținut un discurs care descrie frauda drept „o oportunitate uriașă” și o „afacere masivă, în creștere”, în august - după ce a știut despre încălcare.
Smith a refuzat să răspundă la întrebări despre sursa atacului, inclusiv dacă ar putea fi un actor de stat. El a spus pur și simplu că FBI conduce o anchetă. El a apărat investițiile lui Equifax în cibersecuritate în timpul mandatului său, spunând că, când a sosit în urmă cu doisprezece ani, nu a fost practic nicio investiție în protecția datelor. Compania a cheltuit un sfert de miliarde de dolari și a angajat o echipă de 225 de persoane pentru a asigura datele companiei, a spus Smith, investind standardul industriei 10-14% din bugetul IT al cibersecurității.
Unii reprezentanți au indicat că încălcarea a deschis întrebări fundamentale cu privire la rolul industriei de monitorizare a creditelor și a drepturilor consumatorilor. "Ce se întâmplă dacă vreau să optez pentru Equifax?" Întrebă Schakowski. Smith a răspuns: „Asta necesită o discuție mult mai amplă cu privire la rolul agențiilor de raportare a creditelor”. Rep. Tonko, un democrat din New York, a răsunat sentimentul, subliniind că nu este cu adevărat un „client”, nu a ales niciodată să facă afaceri cu Equifax. "De ce este permisă această companie să continue să existe?" el a intrebat. În diferite puncte, Smith a pus sub semnul întrebării valoarea numerelor de securitate socială ca o modalitate de a dovedi identitatea și a făcut referiri vagi la acordarea „puterii înapoi consumatorului”.
Cea mai mare întrebare a zilei a venit de la democrata Doris Matsui din California: „Dețin datele mele?” Smith nu putea să răspundă. (A se vedea, de asemenea, Blockchain te-ar putea face să nu te echifax - proprietarul datelor tale. )
