Podjetje Equifax Inc. (EFX) je 7. septembra 2017 sporočilo, da je med helikopterjem, ki se je zgodil sredi maja in julija, prizadel 143 milijonov kupcev. Ta številka se je v naslednjih tednih zvišala na 145, 5 milijona, nato na 1. marca 2018 na 147, 9 milijona, ko je družba dejala, da je odkrila 2, 4 milijona dodatnih žrtev.
Po zaključku trženja še isti dan je podjetje poročalo o finančnih rezultatih v četrtem četrtletju in celoletnem obdobju. Prihodki družbe so se v četrtem četrtletju povečali za 5% na 838, 5 milijona USD. Čisti dohodek v četrtletju se je medletno povečal za 40%, na 172, 3 milijona dolarjev. Celoletni prihodki in dobički so se prav tako povečali v primerjavi z letom 2016: prihodki so se povečali za 7% na 3, 4 milijarde dolarjev, čisti dohodek pa se je povečal za 20% na 587, 3 milijona dolarjev. Družba je dejala, da ga je hack v četrtem četrtletju stalo 26, 5 milijona dolarjev in celoten mesec v višini 114, 0 milijona dolarjev, brez izplačil zavarovalnic. Zaloga, ki se je v skladu s S&P 500 zaprla za 1, 3%, se je v času pisanja posla zvišala za 0, 6%.
Po podatkih portala Equifax je bilo izpostavljenih kar 209.000 številk kreditnih kartic strank, ogroženi pa so bili dokumenti o sporih v zvezi z 182.000 ameriškimi potrošniki - ki vključujejo osebne podatke. Kršitev so prizadeli tudi britanski potrošniki; možno je, da so bili nekateri Kanadci ogroženi. Kot poroča Wall Street Journal, ki navaja neimenovani vir, je bilo v kršitvi ukradeno 10, 9 milijona ameriških vozniških podatkov.
Družba je za napad vedela od 29. julija, a je čakala več kot mesec dni, da je opozorila javnost. 20. septembra je bilo objavljeno, da Mandiant, podružnica FireEye Inc. (FEYE), ki jo je sklenil Equifax, ocenjuje, da je bila kršitev zajeta vsaj 10. marca.
Glede izvora napada je malo informacij, ki jih preiskuje FBI, toda po navedbah Bloomberga podobnosti kot prejšnji napadi na Urad za upravljanje osebja in Anthem Inc. kažejo, da bi napadalca lahko sponzorirala država, morda Kitajce. Da podatki kupcev družbe Equifax na črnem trgu niso prikazani, tudi kažejo, da hekerji niso bili zgolj kriminalci. Bloomberg poroča tudi, da so napadalci ciljali na določene posameznike, morda zaradi njihovega bogastva ali inteligence.
Glede na to, da je odraslih prebivalcev ZDA približno 250 milijonov, obstaja velika verjetnost, da ste bili zaradi kršitve prizadeti. Možno je tudi, da ste bili že žrtev goljufije, saj se je napad začel pred skoraj pol leta.
Atlantska družba Equifax, ena od treh velikih agencij za poročanje o potrošniških kreditih - druga dva sta Experian PLC (London: EXPN) in TransUnion (TRU) - zbira podatke, vključno s številkami socialnega zavarovanja, številkami kreditnih kartic, številk vozniških dovoljenj, najemninami in pripomočki podatke o plačilu in demografske podatke. Ker je Equifaxov model predvsem za podjetja, se mnogi njegovi kupci ne zavedajo, da njihove podatke hrani podjetje. Poleg tega, da bi se v celoti izognili finančnemu in kreditnemu sistemu, ni nobenega preprostega načina, da ne bi mogli hraniti osebnih podatkov, ki jih hrani Equifax. (Glej tudi 5 največjih kramp podatkov o kreditnih karticah v zgodovini. )
Kako preveriti, če ste bili prizadeti
Equifax je vzpostavil spletno mesto, kjer lahko preverite, ali so bili vaši podatki ogroženi, tako da navedete svoj priimek in zadnjih šest številk vaše številke socialnega zavarovanja. To spletno mesto je bilo predmet kritičnih kritik, povezavo pa smo odstranili zaradi vprašanj v zvezi z njegovo varnostjo. Nastavili so ga z uporabo WordPress-a, izvirne platforme za bloganje. Nahaja se na ločeni domeni do glavnega mesta Equifax. Podjetje je zanemarilo registracijo podobnih URL-jev, ki bi jih lahko uporabili za phishing napade; en heker za beli klobuk je postavil prav takšno spletno mesto, da bi dokazal poanto, in uradni račun Equifaxa je tvitnil povezavo do ponarejenega spletnega mesta. Več kot enkrat.
Podjetje Equifax je strankam, ki jih prizadenejo ali ne, ponudilo naslednje storitve, ki jih imenuje TrustedID Premier: kopije kreditnega poročila Equifax, spremljanje kreditnega stanja in samodejna opozorila za vse tri glavne kreditne biroje, možnost blokiranja dostopa tretjih oseb do vašega kreditnega poročila Equifax. (z izjemami), spremljanje številk socialnega zavarovanja in zavarovanje kraje identitete za milijon dolarjev. Rok za prijavo je bil 21. november 2017.
V podjetju pravijo, da so te storitve brezplačne, vendar dajanje varnostne zamrznitve na kreditno datoteko sprva ni bilo brezplačno - vsaj ne za vse. Ko sem 8. septembra poskusil zamrzniti kreditno datoteko Equifax, je spletna stran podjetja dejala, da bo storitev stala 3, 00 dolarja, in zahtevala podatke o kreditni kartici za obdelavo plačila.
Kot prebivalka New Yorka sem lahko brezplačno postavil svoj zapisnik v datoteko Experian. Spletna stran TransUniona ni mogla prvotno obdelati zahteve - verjetno simptom povečanega prometa -, a pozneje mi je omogočila brezplačno zamrznitev.
V izjavi po elektronski pošti je tiskovni predstavnik podjetja Equifax za Investopedijo 14. septembra povedal, da se podjetje odpoveduje vsem stroškom zamrznitve kreditnih datotek in kupcem, ki so to plačali po objavi kramp, samodejno povrne. Zdaj se je pojavila nova zaskrbljenost - in očiten iztek varnosti - okoli PIN-jev, ki jih je družba izdala strankam, ki so zamrznile njihova kreditna poročila. Te kode PIN, ki strankam omogočajo odmrzovanje kreditnih poročil, sledijo zlahka prepoznavnemu vzorcu. Tiskovni predstavnik je povedal, da morajo stranke s temi napačnimi kodami PIN poklicati 866-349-5191, da se pogovorijo z živim agentom.
Storitve TrustedID Premier Equifax navajajo kot brezplačne samo eno leto. Tiskovni predstavnik podjetja Equifax je za Investopedia povedal, da podjetje ne zahteva podatkov o kreditnih karticah, ko se stranke prijavijo na storitev in da jih podjetje ne bo samodejno obnovilo ali zaračunalo pristojbine. Standardna stopnja Equifaxa za spremljanje kreditne sposobnosti je 17 dolarjev na mesec.
Kaj storiti, če ste bili prizadeti
Liz Weston, osebna pisateljica financ v podjetju NerdWallet, ima naslednje nasvete za tiste, ki jih je prizadela kršitev Equifaxa, ki jih je z e-poštnim sporočilom delila z Investopedijo: "Equifax bo dosegel žrtve in jim ponudil kreditno spremljanje. Žrtve bi morale poskrbeti, da bodo če se strinjajo s spremljanjem, jim to ne preprečuje, da bi se pridružili tožbam ali drugim dejanjem."
Na začetku je stran s pogoji storitve TrustedID Premier (arhivirana različica) dejansko zahtevala, da se uporabniki odpovejo svoji pravici, da se pridružijo tožbi razreda proti družbi Equifax: "S soglasjem za predložitev svojih zahtevkov v arbitražo boste odvzeli pravico, da vložite ali sodelujete v katerem koli razredu tožbe (bodisi kot imenovani tožnik ali razrednik) ali deliti kakršne koli nagrade za razredne akcije, vključno z zahtevki za razred, kjer razred še ni bil potrjen, čeprav so dejstva in okoliščine, na katerih temeljijo zahtevki, že nastali ali obstajal. " Po povratnem vklopu je bila stran s pogostimi vprašanji podjetja posodobljena, da je klavzula veljala za storitev TrustedID Premier in ne za kramp. Od 12. septembra dopoldne pogoji vročitve ne vključujejo arbitražne klavzule.
Weston pravi, da bi morali prizadeti kupci razmisliti o zamrznitvi svojih kreditnih poročil na vseh treh glavnih birojih. Kot že omenjeno, lahko kreditni biroji zaračunajo pristojbine za začetek zamrznitve. Prav tako vam lahko zaračunamo zamrznitev računov, ko potrebujete kreditni ček (na primer za prijavo na storitev mobilnih telefonov). Te pristojbine so običajno manjše od 10 USD, vendar se lahko seštejejo. Weston ugotavlja, da je na treh kreditnih uradih možno opozoriti tudi na vaša kreditna poročila. (Če želite več, glejte Kako se povrniti od kraje identitete .)
Na voljo so tudi druge storitve spremljanja kreditne sposobnosti, ki jih ne sponzorira Equifax. Storitve zaščite pred krajo identitete: kaj jih je vredno? navaja več njih, ki jih morate raziskati.
Odziv Equifaxa
Takratni predsednik in izvršni direktor podjetja Equifax Richard Smith je po krampju dejal, da je to "očitno razočaralen incident za naše podjetje in tisti, ki v srce zadene, kdo smo in kaj počnemo". Odstopil je 26. septembra in ne bo dobil dodatka za leto 2017. Njegov odhod je sledil odhodom glavnega varnostnega direktorja Susan Mauldin in glavnega direktorja za informacije Davida Webba 14. septembra.
Nekaj dni po tem, ko je podjetje odkrilo kramp v notranjosti - in preden je bila kršitev razkrita javnosti - je glavni finančni direktor podjetja Equifax John Gamble, njen predsednik rešitev za delovno silo Rodolfo Ploder in njegov predsednik ameriških informacijskih rešitev Joseph Loughran prodal svoje delnice Equifax. Equifax je v izjavi dejal, da izvršitelji niso vedeli za kršitev, ko so prodali svoje zaloge. Gamble, Ploder in Loughran so skupaj zaslužili skoraj 1, 8 milijona dolarjev prodaje.
Od 28. februarja se je zaloga Equifaxa zmanjšala za 20, 1% od zaključka 7. septembra (še preden je bil napovedan kramp) na 113, 00 USD. Po več zamudah Equifax pravi, da bo po zaključku 1. marca poročal o zaslužku v četrtem četrtletju.
Naj se začnejo tožbe
Reuters je 11. septembra poročal, da je bilo na ameriških sodiščih zoper družbo Equifax vloženih več kot 30 tožb - od katerih jih je bilo veliko, ki iščejo odškodninske tožbe. Več domnevnih kršitev zakonodaje o vrednostnih papirjih; drugi obtožujejo TrustedID, da je skušal dragocene storitve strankam, ki so jih prizadele kršitve podatkov. Pet prebivalcev Utaha je tožilo družbo na ameriškem okrožnem sodišču, ker ni zaščitilo občutljivih podatkov strank. Tožba želi denarno škodo v višini 5 milijard dolarjev in naložitev strožjih industrijskih standardov.
Nekaj prizadetih kupcev se pri iskanju regresa pri Equifaxu loti manj tradicionalne poti. Klepet DoNotPay nudi pomoč pri vložitvi pritožbe na državnih sodiščih za majhne zahtevke, kjer najvišje kazni znašajo od 2.500 do 25.000 dolarjev. Vert lahko ustvari papir samo za tožbo, ne pa ga dejansko vloži ali se pojavi na sodišču, trdi Verge.
Ameriški pravobranilec FBI in ameriški pravobranilec John Horn sta 18. septembra napovedala kazensko preiskavo kršitve. Preiskovalni urad vodi potrošniški finančni urad za varstvo potrošnikov in 34 državnih državnih pravobranilcev.
G. Smith odhaja v Washington
3. oktobra je nekdanji predsednik uprave Richard Smith pričal pred pododborom za digitalno trgovino in zaščito potrošnikov. Večkrat se je opravičil, ker Equifax ni zaščitil podatkov o potrošnikih, in se soočil z vprašanji o številnih vprašanjih, povezanih s kršitvijo in odgovorom Equifaxa. Delnice družbe so se po pričevanju zvišale, vendar so ostale precej pod ravnmi, s katerimi so trgovale, preden so razkrili kramp.
Kot odgovor na vprašanja v zvezi s sporno arbitražno klavzulo, ki je bila sprva vključena v pogoje storitve TrustedID Premier, je Smith dejal, da klavzula o "kotlovski plošči" ni nikoli namenjena uporabi kršitve in da je vključitev "napaka". Ne bi rekel enako od podobnih klavzul, ki urejajo druge storitve Equifaxa, ki jih je imenoval "standardne".
Pod drobnogledom je bila pod nadzorom tudi sumljivo tempirana prodaja zalog: poslanec Jan Schakowsky, Illinois demokrat, je dejal, da prodaja "ne opravi preskusa vonja", vendar se je Smith strnil, "kolikor vem, niso vedeli" o kršitev v tistem času.
Smith je kršitev opisal kot posledico človeških napak in tehnoloških neuspehov: oseba, zadolžena za varovanje programske opreme Apache Struts - ki je imela javno znano ranljivost, ki so jo napadalci izkoristili - tega ni storila, in skener, ki bi moral imeti podjetje je opozoril, da napaka tudi ni uspela.
Nenapoveden odziv podjetja na krizo je naletel tudi na kritiko: vzpostavitev spletnega mesta WordPress s sumljivim URL-jem, neuspešno varovanje podobnih domen (in celo usmerjanje strank na eno od teh domen), neuspeh v ustreznih klicnih centrih osebja in na splošno ustvarjanje vtis, da je podjetje - ki obstaja za zbiranje, varovanje in prodajo občutljivih podatkov - popolnoma nepripravljeno na kibernetski napad na svoje baze podatkov. Rep. Markwayne Mullin, republikanec v Oklahomi, je povedal Smithu, da bi moral biti odziv, kot da bi sprožil požarni alarm: "takoj začne." Smith je odgovoril, da je njegova ekipa "sledila protokolu". Več predstavnikov je omenilo, da je Smith govoril, da je goljufijo opisal kot "ogromno priložnost" in "ogromen, naraščajoč posel" avgusta - potem ko je vedel za kršitev.
Smith ni želel odgovarjati na vprašanja o izvoru napada, vključno s tem, ali gre morda za državnega akterja. Povedal je preprosto, da FBI vodi preiskavo. V času svojega mandata je zagovarjal naložbe podjetja Equifax v kibernetsko varnost in dejal, da ob prihodu pred dvanajstimi leti v varstvo podatkov praktično ni bilo naložb. Družba je porabila četrt milijarde dolarjev in najela ekipo z 225 osebami, da bi zagotovila podatke o podjetju, je dejal Smith, ki je v spletno varnost vlagal 10-14% IT-jevega proračuna v panogo.
Nekateri predstavniki so navedli, da je kršitev odprla temeljna vprašanja o vlogi panoge kreditnega spremljanja in pravicah potrošnikov. "Kaj pa, če se želim odločiti za Equifax?" Je vprašal Schakowski. Smith je odgovoril, "da je potrebna veliko širša razprava o vlogi agencij za poročanje o kreditnih sposobnostih." Veleposlanik Tonko, newyorški demokrat, je izrazil svoje mnenje in poudaril, da v resnici ni "stranka", saj se nikoli ni odločil za poslovanje s podjetjem Equifax. "Zakaj je dovoljeno, da ta družba še naprej obstaja?" je vprašal. Na različnih točkah je Smith podvomil o vrednosti številk socialnega zavarovanja kot načinu dokazovanja identitete in se nejasno skliceval na vračanje "moči potrošniku".
Največje vprašanje dne je postavilo kalifornijsko demokratko Doris Matsui: "Ali imam v lasti svoje podatke?" Smith ni mogel odgovoriti. (Glej tudi, Blockchain bi vas lahko naredil - ne enakovreden - lastnik vaših podatkov. )
