Меня взломали? Узнайте, влияет ли нарушение Equifax на вас

7 сентября 2017 года Equifax Inc. (EFX) объявила, что 143 миллиона ее клиентов пострадали от взлома, произошедшего с середины мая по июль. Эта цифра была увеличена до 145,5 миллиона в течение следующих недель, а затем до 147,9 миллиона 1 марта 2018 года, когда компания заявила, что выявила еще 2,4 миллиона жертв.

После закрытия рынка в тот же день компания опубликовала финансовые результаты за четвертый квартал и год. Выручка компании в четвертом квартале выросла на 5% по сравнению с аналогичным периодом прошлого года до 838,5 млн долларов. Чистая прибыль за квартал выросла на 40% по сравнению с аналогичным периодом прошлого года до 172,3 миллиона долларов. Годовая выручка и прибыль также выросли по сравнению с 2016 годом: выручка увеличилась на 7% до 3,4 млрд долларов США, а чистая прибыль увеличилась на 20% до 587,3 млн долларов США. Компания заявила, что взлом обошелся ей в 26,5 млн долларов в четвертом квартале и 114,0 млн долларов за полный год без учета страховых выплат. Акции, которые закрылись на 1,3% в соответствии с индексом S&P 500, на момент написания выросли на 0,6% после закрытия торгов.

По данным Equifax, были раскрыты номера кредитных карт 209 000 клиентов, а документы по спорам, относящиеся к 182 000 потребителей в США, включая личную информацию, были скомпрометированы. Британские потребители также пострадали от взлома; возможно, что некоторые канадцы были скомпрометированы. Как сообщает The Wall Street Journal со ссылкой на неназванный источник, в результате взлома были украдены данные о водительских правах 10,9 миллиона американцев.

Компания знала об атаке с 29 июля, но ждала более месяца, чтобы предупредить общественность. 20 сентября стало известно, что Mandiant, дочерняя компания FireEye Inc. (FEYE), с которой Equifax заключила контракт, считает, что нарушение произошло как минимум 10 марта.

Существует мало информации об источнике атаки, который расследуется ФБР, но, согласно Bloomberg, сходство с более ранними атаками на Управление персонала и Anthem Inc. предполагает, что злоумышленник мог быть спонсируемым государством, возможно, китайцем. То, что информация о клиентах Equifax не появилась на черном рынке, также предполагает, что хакеры были не просто преступниками. Bloomberg также сообщает, что злоумышленники нацелены на конкретных людей, возможно, из-за их богатства или интеллекта.

Учитывая, что взрослое население США составляет около 250 миллионов человек, велика вероятность, что вы пострадали от взлома. Также возможно, что вы уже стали жертвой мошенничества, поскольку атака началась почти полгода назад.

Расположенное в Атланте Equifax, одно из трех крупнейших агентств по предоставлению отчетов о потребительских кредитах - два других - Experian PLC (Лондон: EXPN) и TransUnion (TRU) - собирает данные, включая номера социального страхования, номера кредитных карт, номера водительских прав, аренду и коммунальные услуги. платежная информация и демографические данные. Поскольку модель Equifax в первую очередь ориентирована на взаимодействие между предприятиями, многие из ее клиентов не знают, что их данные хранятся в фирме. Помимо полного отказа от финансовой и кредитной системы, нет простого способа отказаться от хранения личных данных в Equifax.

Как проверить, пострадали ли вы

Equifax создал сайт, на котором вы можете проверить, не была ли ваша информация скомпрометирована, указав свою фамилию и последние шесть цифр вашего номера социального страхования. Этот сайт подвергался интенсивной критике, и мы удалили ссылку из-за вопросов относительно ее безопасности. Он был создан с использованием WordPress, стандартной платформы для ведения блогов. Он размещен в отдельном домене от основного сайта Equifax. Компания не зарегистрировала аналогичные URL-адреса, которые могли быть использованы для фишинговых атак; один хакер в белой шляпе создал именно такой сайт, чтобы доказать свою точку зрения, а официальный аккаунт Equifax разместил в Твиттере ссылку на поддельный сайт. Больше чем единожды.

Equifax предлагал клиентам - затронутым или нет - следующие услуги, которые он называет TrustedID Premier: копии кредитного отчета Equifax, кредитный мониторинг и автоматические оповещения для всех трех основных кредитных бюро, возможность блокировать доступ третьих лиц к вашему кредитному отчету Equifax (за исключением), мониторинг номеров социального страхования и 1 миллион долларов на страхование от кражи личных данных. Крайний срок подачи заявок - 21 ноября 2017 г.

Компания заявляет, что все эти услуги бесплатны, но замораживание кредитного файла изначально не было бесплатным - по крайней мере, не для всех. Когда я попытался заблокировать кредитный файл Equifax 8 сентября, сайт компании сообщил, что эта услуга будет стоить 3 доллара США, и запросил информацию о кредитной карте для обработки платежа.

Снимок экрана с сайта www.freeze.equifax.com (8 сентября 2017 г., 11:46 по восточноевропейскому времени).

Как житель Нью-Йорка, я мог бесплатно заморозить свой файл Experian. Сайт TransUnion изначально не смог обработать запрос - вероятно, из-за увеличения трафика, - но позже разрешил мне бесплатно заморозить его.

В заявлении, отправленном по электронной почте, представитель Equifax сообщил Investopedia 14 сентября, что фирма отказывается от всех сборов за замораживание кредитных файлов и автоматически возмещает клиентам, которые заплатили за это, после того, как взлом был обнародован. Новая проблема - и явная потеря безопасности - теперь возникла в связи с PIN-кодами, которые компания выдавала клиентам, которые заморозили свои кредитные отчеты. Эти ПИН-коды, которые позволяют клиентам разблокировать кредитные отчеты, следуют легко идентифицируемой схеме. Представитель сказал, что клиенты с такими ошибочными PIN-кодами должны позвонить 866-349-5191, чтобы поговорить с действующим агентом.

Если вы получили PIN-код после сообщения о взломе, возможно, ваш PIN-код является одним из ошибочных. Исправить это непросто. Двенадцать звонков на линию утром 15 сентября дали восемь сигналов «занято» и четыре случая полной тишины.

Услуги TrustedID Premier, указанные Equifax в качестве бесплатных, предоставляются бесплатно только в течение года. Представитель Equifax сообщил Investopedia, что компания не запрашивает информацию о кредитной карте, когда клиенты подписываются на услугу, и что компания не будет автоматически продлевать ее или взимать плату. Стандартная ставка Equifax за кредитный мониторинг составляет 17 долларов в месяц.

Что делать, если вы пострадали

Лиз Уэстон, специалист по личным финансам в NerdWallet, дает следующий совет для пострадавших от взлома Equifax, которым она поделилась с Investopedia в электронном письме: «Equifax свяжется с жертвами и предложит им кредитный мониторинг. Жертвы должны убедиться, что согласие на мониторинг не мешает им участвовать в судебных процессах или других действиях в будущем ».

Первоначально страница условий обслуживания TrustedID Premier (архивная версия) действительно требовала от пользователей отказаться от своего права присоединиться к коллективному иску против Equifax: «Соглашаясь подавать свои иски в арбитраж, вы теряете свое право подавать иски или участвовать в них. в любом коллективном иске (будь то поименованный истец или член группы) или для участия в любых решениях по групповому иску, включая иски класса, если класс еще не был сертифицирован, даже если факты и обстоятельства, на которых основаны иски, уже имели место или существовали ". После негативной реакции страница часто задаваемых вопросов компании была обновлена, чтобы указать, что пункт применяется к службе TrustedID Premier, а не к взлому. По состоянию на утро 12 сентября условия обслуживания больше не включают арбитражную оговорку.

Уэстон говорит, что пострадавшим клиентам следует рассмотреть возможность замораживания своих кредитных отчетов во всех трех крупных бюро. Как упоминалось выше, кредитные бюро могут взимать плату за инициирование этого замораживания. С вас также может взиматься плата за размораживание счетов, когда вам потребуется проверка кредитоспособности (например, для подачи заявки на обслуживание мобильного телефона). Эти сборы обычно составляют менее 10 долларов, но они могут увеличиваться. Уэстон отмечает, что еще один вариант - разместить предупреждение о мошенничестве в ваших кредитных отчетах в трех кредитных бюро.

Ответ Equifax

Ричард Смит, тогдашний председатель и генеральный директор Equifax, сказал после взлома, что это «явно разочаровывающий инцидент для нашей компании, который наносит удар в самое сердце того, кто мы есть и что мы делаем». Он ушел в отставку 26 сентября и не получит бонусов за 2017 год. Его уход последовал за уходом директора службы безопасности Сьюзан Молдин и директора по информационным технологиям Дэвида Уэбба 14 сентября.

Спустя несколько дней после того, как компания раскрыла взлом внутри компании - и до того, как нарушение было раскрыто общественности, финансовый директор Equifax Джон Гэмбл, его президент по решениям для персонала Родольфо Плодер и президент по информационным решениям в США Джозеф Лофран продали свои акции Equifax. В заявлении Equifax говорится, что руководители не знали о взломе, когда продавали свои акции. Гэмбл, Плодер и Лафран в совокупности заработали от продаж почти 1,8 миллиона долларов.

По состоянию на 28 февраля акции Equifax упали на 20,1% по сравнению с закрытием 7 сентября (до объявления о взломе) до 113 долларов. После нескольких задержек Equifax сообщает, что отчитается о прибыли за четвертый квартал после закрытия торгов 1 марта.

Пусть начнутся судебные процессы

11 сентября агентство Reuters сообщило, что против Equifax в суды США было подано более 30 исков, многие из которых требуют коллективных исков. Некоторые заявляют о нарушениях закона о ценных бумагах; другие обвиняют TrustedID в предоставлении дорогостоящих услуг клиентам, пострадавшим от утечки данных. Пятеро жителей штата Юта подали на компанию в окружной суд США иск за неспособность защитить конфиденциальные данные клиентов. Иск требует денежной компенсации в размере 5 миллиардов долларов и введения более строгих отраслевых стандартов.

Некоторые пострадавшие клиенты выбирают менее традиционный путь обращения за помощью в Equifax. Чат-бот DoNotPay оказывает помощь в подаче жалобы в государственные суды мелких тяжб, где максимальный размер штрафа составляет от 2500 до 25000 долларов. Согласно Verge, бот может только создавать документы для иска, а не подавать его или явиться в суд.

18 сентября ФБР и прокурор США из Атланты Джон Хорн объявили о возбуждении уголовного дела по факту нарушения. Бюро финансовой защиты потребителей и 34 генеральных прокурора штата проводят расследования.

Мистер Смит едет в Вашингтон

3 октября бывший генеральный директор Ричард Смит дал показания перед подкомитетом по цифровой коммерции и защите прав потребителей. Он несколько раз извинился за неспособность Equifax защитить данные потребителей и столкнулся с вопросами по ряду проблем, связанных с взломом и ответом Equifax. Акции компании выросли после показаний, но оставались значительно ниже уровней, на которых они торговались до раскрытия информации о взломе.

В ответ на вопросы относительно спорной арбитражной оговорки, которая изначально была включена в условия обслуживания TrustedID Premier, Смит сказал, что «шаблонная» оговорка никогда не предназначалась для применения к нарушению, и назвал ее включение «ошибкой». Он не сказал бы то же самое о подобных пунктах, регулирующих другие услуги Equifax, которые он назвал «стандартными».

Подозрительно рассчитанные по времени продажи акций руководителей также стали предметом пристального внимания: член палаты представителей Ян Шаковски, демократ из Иллинойса, сказал, что продажа «не проходит тест на запах», но Смит утверждал, «насколько мне известно, они не знали» о нарушение в то время.

Смит описал нарушение как результат человеческой ошибки и технологического сбоя: лицо, ответственное за исправление программного обеспечения Apache Struts, которое имело общеизвестную уязвимость, которую использовали злоумышленники, не смог этого сделать, а сканер, который мог бы предупредил компанию об этой ошибке.

Неудачный ответ компании на кризис также подвергся критике: создание сайта WordPress с подозрительным URL-адресом, неспособность защитить аналогичные домены (и даже перенаправление клиентов на один из этих доменов), неспособность адекватно укомплектовать колл-центры и вообще создание создается впечатление, что компания, которая существует для сбора, защиты и продажи конфиденциальных данных, была совершенно не готова к кибератаке на свои базы данных. Член палаты представителей Маркуэйн Маллин, республиканец из Оклахомы, сказал Смиту, что его ответ должен был быть похож на включение пожарной сигнализации: «она немедленно встает на место». Смит ответил, что его команда «следовала протоколу». Несколько представителей упомянули, что Смит выступил с речью, охарактеризовав мошенничество как «огромную возможность» и «массивный, растущий бизнес» в августе - после того, как он узнал о взломе.

Смит отказался отвечать на вопросы об источнике атаки, в том числе о том, мог ли он быть государственным субъектом. Он просто сказал, что ФБР проводит расследование. Он защищал инвестиции Equifax в кибербезопасность во время своего пребывания в должности, говоря, что, когда он пришел туда двенадцать лет назад, практически не было инвестиций в защиту данных. По словам Смита, компания потратила четверть миллиарда долларов и наняла команду из 225 человек для защиты данных компании, инвестировав стандартные в отрасли 10–14% ИТ-бюджета компании в кибербезопасность.

Некоторые представители указали, что нарушение вызвало фундаментальные вопросы о роли индустрии кредитного мониторинга и правах потребителей. "Что, если я захочу выбрать наш Equifax?" - спросил Шаковский. Смит ответил: «Это требует более широкого обсуждения роли кредитных агентств». Член палаты представителей Тонко, демократ из Нью-Йорка, поддержал это мнение, указав, что на самом деле он не является «клиентом», так как никогда не выбирал для ведения бизнеса Equifax. «Почему этой компании позволено продолжать существовать?» он спросил. В разные моменты Смит подвергал сомнению ценность номеров социального страхования как способа подтверждения личности и делал расплывчатые ссылки на возвращение «власти потребителю».

Самый большой вопрос дня пришел от демократа из Калифорнии Дорис Мацуи: «Владею ли я своими данными?» Смит не мог ответить.

ПОПУЛЯРНЫЕ СТАТЬИ