Společnost Equifax Inc. (EFX) 7. září 2017 oznámila, že hackerem, ke kterému došlo v období od poloviny května do července, bylo zasaženo 143 milionů zákazníků. Tato částka byla v následujících týdnech narostlá na 145, 5 milionu, poté na 147, 9 milionu 1. března 2018, když společnost uvedla, že identifikovala 2, 4 milionu dalších obětí.
Po uzavření trhu téhož dne společnost vykázala finanční výsledky za čtvrté a čtvrtletní období. Tržby společnosti za čtvrté čtvrtletí vzrostly meziročně o 5% na 838, 5 milionu USD. Čistý zisk v tomto čtvrtletí vzrostl meziročně o 40% na 172, 3 milionu USD. Celoroční výnosy a zisky se ve srovnání s rokem 2016 rovněž zvýšily: tržby vzrostly o 7% na 3, 4 miliardy USD, zatímco čistý zisk vzrostl o 20% na 587, 3 milionů USD. Společnost uvedla, že hack stojí ve čtvrtém čtvrtletí 26, 5 milionu dolarů a za celý rok 114, 0 milionu dolarů, bez zaplacení pojistného. Akcie, které uzavřely 1, 3% v souladu s S&P 500, vzrostly o 0, 6% v obchodech po hodině v době psaní.
Podle společnosti Equifax bylo vystaveno až 209 000 čísel kreditních karet zákazníků a dokumenty týkající se sporů týkající se 182 000 amerických zákazníků - včetně osobních údajů - byly ohroženy. Toto porušení se dotklo také britských spotřebitelů; je možné, že někteří Kanaďané byli ohroženi. Podle časopisu Wall Street Journal, citujícího nejmenovaný zdroj, bylo při narušení odcizeno 10, 9 milionu amerických řidičských průkazů.
Společnost o útoku věděla od 29. července, ale čekala více než měsíc na varování veřejnosti. 20. září bylo oznámeno, že společnost Mandif, dceřiná společnost FireEye Inc. (FEYE), se kterou uzavřela smlouva společnost Equifax, odhaduje, že toto porušení bylo dosud provedeno alespoň do 10. března.
Existuje jen málo informací o zdroji útoku, který vyšetřuje FBI, ale podle Bloomberga podobnost s dřívějšími útoky na Úřad pro správu personálu a Anthem Inc. naznačuje, že by útočník mohl být státem sponzorovaným, možná čínským. To, že se informace zákazníků společnosti Equifax na černém trhu neobjevily, také naznačuje, že hackeři nebyli pouhými zločinci. Bloomberg také uvádí, že útočníci zacílili na konkrétní jedince, snad kvůli jejich bohatství nebo inteligenci.
Vzhledem k tomu, že dospělá populace v USA je kolem 250 milionů, je pravděpodobné, že vás toto porušení ovlivnilo. Je také možné, že jste již byli obětí podvodu, protože útok začal téměř před šesti měsíci.
Equifax se sídlem v Atlantě, jedna z velkých tří agentur pro hlášení spotřebitelských úvěrů - další dvě jsou Experian PLC (Londýn: EXPN) a TransUnion (TRU) - shromažďuje data včetně čísel sociálního zabezpečení, čísel kreditních karet, čísel řidičských průkazů, nájemného a pomůcek platební údaje a demografické údaje. Protože je model Equifax primárně business-to-business, mnoho jeho zákazníků si neuvědomuje, že jejich data jsou uložena firmou. Kromě toho, že jsme se vyhnuli finančnímu a úvěrovému systému úplně, neexistuje přímý způsob, jak se odhlásit od ukládání osobních údajů společností Equifax. (Viz také 5 největších datových hacků na kreditní kartě v historii. )
Jak zkontrolovat, zda jste byli postiženi
Společnost Equifax zřídila web, kde můžete zkontrolovat, zda vaše informace byla ohrožena, a to uvedením příjmení a posledních šest číslic vašeho čísla sociálního zabezpečení. Tento web byl předmětem intenzivní kritiky a odkaz jsme odstranili kvůli otázkám týkajícím se jeho bezpečnosti. Byla zřízena pomocí WordPress, což je platforma pro blogování na běžných místech. Je umístěn v samostatné doméně hlavního webu společnosti Equifax. Společnost zanedbávala registraci podobných adres URL, které by mohly být použity pro phishingové útoky; jeden hacker z bílého klobouku vytvořil právě takový web, aby dokázal bod, a oficiální účet Equifax odešel z odkazu na falešný web. Více než jednou.
Společnost Equifax nabídla zákazníkům - ovlivněné či nikoli - následující služby, které nazývá TrustedID Premier: kopie úvěrové zprávy Equifax, sledování úvěru a automatická upozornění pro všechny tři hlavní úvěrové kanceláře, možnost zablokovat přístup třetích stran k vaší kreditní zprávě Equifax (s výjimkami), sledování sociálního zabezpečení a pojištění proti krádeži identity ve výši 1 milionu USD. Uzávěrka přihlášek byla 21. listopadu 2017.
Společnost tvrdí, že tyto služby jsou všechny bezplatné, ale umístění zmrazení zabezpečení do kreditního souboru nebylo zpočátku bezplatné - alespoň ne pro každého. Když jsem se 8. září pokusil zmrazit úvěrový soubor Equifaxu, web společnosti řekl, že by služba stála 3, 00 $ a požádala o informace o kreditní kartě, aby mohla platbu zpracovat.
Jako rezident v New Yorku jsem mohl zdarma umístit zmrazení do svého souboru Experian. Web společnosti TransUnion nemohl zpočátku zpracovat požadavek - pravděpodobně příznak zvýšeného provozu - ale později mi umožnil bezplatně umístit zmrazení.
V e-mailovém prohlášení mluvčí společnosti Equifax řekl Investopedii 14. září, že firma se vzdává všech poplatků za zmrazení kreditních souborů a automaticky vrací zákazníkům, kteří za to zaplatili poté, co byl hack zveřejněn. V souvislosti s PINy, které společnost vydala zákazníkům, kteří zmrazili své kreditní zprávy, se nyní objevila nová obava - a jasný pokles bezpečnosti. Tyto kódy PIN, které umožňují zákazníkům uvolňovat úvěrové zprávy, se řídí snadno identifikovatelným vzorem. Mluvčí řekl, že zákazníci s těmito chybnými PINy musí zavolat na číslo 866-349-5191, aby promluvili s živým agentem.
Seznam služeb TrustedID Premier Equifax jako bezplatný je zdarma pouze po dobu jednoho roku. Mluvčí společnosti Equifax řekl společnosti Investopedia, že společnost nepožaduje informace o kreditní kartě, když se zákazníci zaregistrují pro tuto službu, a že společnost ji automaticky neobnoví ani neúčtuje poplatek. Standardní sazba společnosti Equifax pro monitorování úvěrů je 17 $ měsíčně.
Co dělat, když jste byli zasaženi
Liz Weston, spisovatelka osobních financí v NerdWallet, má následující rady pro ty, kteří byli postiženi porušením Equifaxu, které sdílila s Investopedií v e-mailu: „Equifax osloví oběti a nabídne jim sledování úvěrů. Oběti by se měly ujistit, že souhlas s monitorováním jim nebrání v tom, aby se zapojili do soudních sporů nebo jiných akcí po silnici. “
Na začátku stránky s podmínkami poskytování služeb TrustedID Premier (archivovaná verze) ve skutečnosti vyžadovala, aby se uživatelé vzdali svého práva připojit se ke třídě žaloby proti společnosti Equifax: „Souhlasem s odesláním svých nároků k rozhodčímu řízení propadnete své právo podat nebo se účastnit v jakékoli žalobě na kolektivní žalobu (ať už jako jmenovaný žalobce nebo člen třídy) nebo podílet se na jakémkoli ocenění skupinové žaloby, včetně nároků na třídu, kde třída ještě nebyla certifikována, i když skutečnosti a okolnosti, na nichž jsou nároky založeny, již nastaly nebo existoval. “ Po vůli došlo k aktualizaci stránky FAQ společnosti, aby bylo uvedeno, že klauzule platí pro službu TrustedID Premier, nikoli pro hack. Od rána 12. září již podmínky služby neobsahují rozhodčí doložku.
Weston říká, že postižení zákazníci by měli zvážit zmrazení svých kreditních zpráv na všech třech hlavních úřadech. Jak bylo uvedeno výše, za zahájení tohoto zmrazení mohou úvěrové úřady účtovat poplatky. Poplatky za uvolnění účtů vám mohou být účtovány také v případě, že potřebujete kontrolu kreditu (například u služby mobilních telefonů). Tyto poplatky jsou obvykle nižší než 10 $, ale mohou sečíst. Weston podotýká, že další možností je umístit na své kreditní zprávy upozornění na podvody na třech úvěrových kancelářích. (Další informace naleznete v tématu Obnovení po krádeži identity .)
K dispozici jsou také další služby sledování úvěru, které nejsou sponzorovány společností Equifax. Služby ochrany před krádeží identity: stojí za to? uvádí několik z nich, abyste je mohli prozkoumat.
Reakce společnosti Equifax
Tehdejší předseda představenstva a generální ředitel společnosti Equifax, Richard Smith, uvedl po hacku, že „pro naši společnost to byl jednoznačně neuspokojivý incident a ten, který zasáhne srdce, kdo jsme a co děláme“. 26. září odstoupil a nedostane bonus za rok 2017. Jeho odjezd následoval 14. září, když odešel od hlavních bezpečnostních důstojníků Susan Mauldin a hlavního informačního důstojníka Davida Webba.
Několik dní poté, co společnost interně odkryla hack - a před odhalením narušení na veřejnosti - prodal finanční ředitel Equifaxu John Gamble, jeho prezident řešení pracovních sil Rodolfo Ploder, a prezident amerických informačních řešení Joseph Loughran jejich akcie Equifax. Equifax uvedl ve svém prohlášení, že vedoucí pracovníci nevěděli o porušení při prodeji svých akcií. Gamble, Ploder a Loughran společně vydělali z obratu téměř 1, 8 milionu dolarů.
K 28. únoru akcie Equifaxu klesly o 20, 1% od svého uzavření 7. září (dříve, než byl oznámen hack) na 113, 00 USD. Po několika zpožděních společnost Equifax uvedla, že po uzavření 1. března bude vykazovat příjmy za čtvrté čtvrtletí.
Nechte soudní spory začít
Agentura Reuters 11. září informovala, že u amerických soudů bylo proti společnosti Equifax podáno více než 30 soudních sporů - mnoho z nich se domáhá hromadné žaloby. Několik tvrdí, že došlo k porušení zákona o cenných papírech; jiní obviňují TrustedID z nadstavby nákladných služeb zákazníkům, kteří byli zasaženi porušením dat. Pět obyvatel Utahu žalovalo společnost u Okresního soudu USA za to, že nechránila citlivá data zákazníků. Žaloba požaduje peněžní náhradu 5 miliard dolarů a zavedení přísnějších průmyslových standardů.
Několik postižených zákazníků se při hledání možnosti u společnosti Equifax vydává méně tradiční cestou. Chatbot DoNotPay poskytuje pomoc při podání stížnosti u soudů pro drobné nároky, kde jsou maximální pokuty v rozmezí od 2 500 do 25 000 $. Podle Verge může bot vytvořit papírování pouze pro soudní řízení, nikoli jej podat nebo se objevit u soudu.
Americký právník FBI a americký právní zástupce v Atlantě John Horn oznámil dne 18. září trestní vyšetřování porušení předpisů. Úřad pro ochranu spotřebitele a 34 státních zástupců provádí šetření.
Smith jde do Washingtonu
3. října bývalý generální ředitel Richard Smith svědčil před podvýborem House Digital Commerce and Protection Protection. Několikrát se omluvil za to, že společnost Equifax neochránila údaje o spotřebitelích a čelila otázkám týkajícím se celé řady otázek souvisejících s porušením a reakcí společnosti Equifax. Akcie společnosti vzrostly po svědectví, ale před zveřejněním hacku zůstaly výrazně pod úrovněmi, s nimiž obchodovaly.
V odpovědi na otázky týkající se kontroverzní rozhodčí doložky, která byla původně zahrnuta do smluvních podmínek společnosti TrustedID Premier, Smith uvedl, že doložka o „kotlové desce“ se nikdy neměla vztahovat na porušení a nazvala její zahrnutí „chybou“. Neřekl by to samé o podobných klauzulích upravujících jiné služby Equifaxu, které nazýval „standardem“.
Podezřelý časovaný výkonný akciový prodej se také dostal pod kontrolu: Rep. Jan Schakowsky, Illinois Demokrat, řekl, že prodej „nevyhovuje testu vůně“, ale Smith se zpronevěřil, „podle mého nejlepšího vědomí, nevěděli“ o porušení v té době.
Smith popsal porušení jako důsledek lidské chyby a technologického selhání: osoba odpovědná za zajištění opravy softwaru Apache Struts - který měl veřejně známou zranitelnost, kterou útočníci zneužili - tak neučinil, a skener, který by měl upozornil společnost na tuto chybu také selhal.
Kritická reakce společnosti na krizi se také objevila v kritice: zřízení webu WordPress s podezřelou adresou URL, nezabezpečení podobných domén (a dokonce nasměrování zákazníků do jedné z těchto domén), nedostatečné adekvátní call centra zaměstnanců a obecně vytvoření dojem, že společnost - která existuje, aby shromažďovala, zabezpečovala a prodávala citlivá data - byla zcela nepřipravena na kybernetický útok ve svých databázích. Rep. Markwayne Mullin, Oklahoma republikán, řekl Smithovi, že jeho odpověď by měla být jako vyvolání požárního poplachu: „okamžitě se to na místě.“ Smith odpověděl, že jeho tým „následoval protokol“. Několik zástupců uvedlo, že Smith v srpnu přednesl projev popisující podvod jako „obrovskou příležitost“ a „masivní, rostoucí firmu“ - poté, co věděl o porušení.
Smith odmítl odpovědět na otázky o zdroji útoku, včetně toho, zda by to mohl být státní herec. Jednoduše řekl, že FBI provádí vyšetřování. Během svého funkčního období obhajoval investice společnosti Equifax do kybernetické bezpečnosti a řekl, že když přišel před dvanácti lety, prakticky neexistovaly žádné investice do ochrany údajů. Společnost utratila čtvrt miliardu dolarů a najala tým pro 225 osob na zabezpečení dat společnosti, řekl Smith, přičemž do kybernetické bezpečnosti investoval průmyslový standard 10–14% rozpočtu společnosti na IT.
Někteří zástupci uvedli, že porušení otevřelo zásadní otázky o úloze odvětví sledování úvěrů a práv spotřebitelů. "Co když si budu chtít zvolit náš Equifax?" Zeptal se Schakowski. Smith odpověděl: „to vyžaduje mnohem širší diskusi o úloze agentur poskytujících úvěrové zpravodajství.“ Rep. Tonko, newyorský demokrat, zopakoval sentiment a zdůraznil, že ve skutečnosti není „zákazníkem“, který se nikdy nerozhodl obchodovat se společností Equifax. "Proč je této společnosti dovoleno nadále existovat?" zeptal se. V různých bodech Smith zpochybňoval hodnotu čísel sociálního zabezpečení jako způsob, jak prokázat identitu, a učinil vágní odkazy na to, aby poskytl „energii zpět spotřebiteli“.
Největší otázkou dne přišel kalifornský demokrat Doris Matsui: „Vlastním svá data?“ Smith nemohl odpovědět. (Viz také, Blockchain by vás mohl učinit - nikoli Equifax - vlastník vašich dat. )
