Equifax Inc. (EFX) ilmoitti 7. syyskuuta 2017, että toukokuun puolivälin ja heinäkuun välillä tapahtunut hakkerointi koski 143 miljoonaa asiakasta. Luku laskeutui 145, 5 miljoonaan seuraavien viikkojen aikana, sitten 147, 9 miljoonaan 1. maaliskuuta 2018, kun yritys ilmoitti tunnistaneensa 2, 4 miljoonaa uhria.
Kun markkinat olivat sulkeneet samana päivänä, yhtiö antoi neljännen vuosineljänneksen ja koko vuoden taloudellisen tuloksen. Yhtiön neljännen vuosineljänneksen liikevaihto nousi 5% edellisvuodesta ja oli 838, 5 miljoonaa dollaria. Neljänneksen nettotuotot nousivat 40% edellisvuodesta ja olivat 172, 3 miljoonaa dollaria. Myös koko vuoden liikevaihto ja voitot kasvoivat vuoteen 2016 verrattuna: liikevaihto kasvoi 7% 3, 4 miljardiin dollariin, kun taas nettotuotot kasvoivat 20% 587, 3 miljoonaan dollariin. Yhtiön mukaan hakkeri oli maksanut sille 26, 5 miljoonaa dollaria viimeisellä vuosineljänneksellä ja 114, 0 miljoonaa dollaria koko vuonna, vakuutusmaksuista vähennettynä. Osake, joka sulki S&P 500: n mukaisesti 1, 3%, on lisääntynyt 0, 6% työpäivän jälkeisessä kaupassa kirjoitushetkellä.
Equifaxin mukaan paljastettiin jopa 209 000 asiakkaan luottokorttinumeroa, ja 182 000 Yhdysvaltain kuluttajaan liittyvät riida-asiakirjat - jotka sisältävät henkilökohtaisia tietoja - olivat vaarantuneet. Rikkominen on vaikuttanut myös brittiläisiin kuluttajiin; on mahdollista, että jotkut kanadalaiset olivat vaarantuneet. Wall Street Journal -lehden mukaan nimeämättömälle lähteelle viitaten 10, 9 miljoonan amerikkalaisen ajokorttitiedot varastettiin rikkomuksen yhteydessä.
Yhtiö oli tiennyt hyökkäyksestä 29. heinäkuuta lähtien, mutta odotti yli kuukauden varoittaakseen yleisöä. 20. syyskuuta ilmoitettiin, että Mifiant, FireEye Inc. -yrityksen (FEYE) tytäryhtiö, jonka Equifax on hankkinut, arvioi rikkomuksen menneen ainakin 10. maaliskuuta.
FBI: n tutkimasta hyökkäyksen lähteestä on vähän tietoa, mutta Bloombergin mukaan samankaltaisuudet aikaisempiin hyökkäyksiin henkilöstöhallinnon toimistossa ja Anthem Inc. -yrityksessä viittaavat siihen, että hyökkääjä voi olla valtion tukema, ehkä kiinalainen. Se, että Equifax-asiakkaiden tietoja ei ole näkynyt mustilla markkinoilla, viittaa myös siihen, että hakkerit eivät olleet vain rikollisia. Bloomberg raportoi myös, että hyökkääjät kohdistuivat tiettyihin henkilöihin, ehkä heidän varallisuutensa tai tiedusteluarvonsa takia.
Ottaen huomioon, että Yhdysvaltain aikuisväestö on noin 250 miljoonaa, on todennäköistä, että rikkomus koski sinua. On myös mahdollista, että olet jo joutunut petosten uhreiksi hyökkäyksen alkamisen jälkeen lähes kuusi kuukautta sitten.
Atlantalainen Equifax, yksi kolmesta suurimmasta kuluttajaluottoja käsittelevästä virastosta - kaksi muuta ovat Experian PLC (Lontoo: EXPN) ja TransUnion (TRU) - kerää tietoja, mukaan lukien sosiaaliturva-, luottokortti-, ajokortti-, vuokra- ja apuohjelmanumerot. maksutiedot ja väestötiedot. Koska Equifaxin malli on ensisijaisesti yritysten välinen, monet asiakkaista eivät tiedä, että yritys tallentaa heidän tietonsa. Sen lisäksi, että vältetään rahoitus- ja luottojärjestelmä kokonaan, ei ole suoraviivaista tapaa luopua siitä, että Equifax tallentaa henkilötiedot. (Katso myös 5 historian suurinta luottokorttitietoa ).
Kuinka tarkistaa, olitko vaikuttuneita
Equifax on perustanut sivuston, jolla voit tarkistaa tietojesi vaarantuvan antamalla sukunimesi ja sosiaaliturvatunnuksesi kuusi viimeistä numeroa. Tätä sivua on kritisoitu voimakkaasti, ja poistimme linkin sen turvallisuutta koskevista kysymyksistä. Se perustettiin käyttämällä WordPressiä, hyllystä vapaata bloggausalustaa. Se on sijoitettu erilliselle verkkotunnukselle Equifaxin pääsivulle. Yhtiö ei lainkaan rekisteröinyt samanlaisia URL-osoitteita, joita voitaisiin käyttää tietojenkalasteluhyökkäyksiin. yksi valkoinen hattu hakkeri perusti juuri tällaisen sivuston osoittaakseen pisteen, ja virallinen Equifax-tili tweettoi linkin väärennettyyn sivustoon. Enemmän kuin kerran.
Equifax tarjosi asiakkaille - vaikuttaneita tai ei - seuraavia palveluita, joita se kutsuu TrustedID Premier -tapahtumiksi: Equifax-luottotietojen kopioita, luottoseurantaa ja automaattisia hälytyksiä kaikille kolmelle suurimmalle luottotoimistolle, mahdollisuus estää kolmansien osapuolien pääsy Equifax-luottotietoraporttiin (poikkeuksia lukuun ottamatta), sosiaaliturvatunnusten seuranta ja miljoonan dollarin henkilöllisyysvakuutus. Hakemuksen jättämisen määräaika oli 21. marraskuuta 2017.
Yrityksen mukaan nämä palvelut ovat kaikki ilmaisia, mutta vakuuden jäädyttämisen asettaminen luottotiedostoon ei alun perin ollut ilmaista - ainakaan kaikille. Kun yritin jäädyttää Equifax-luottotiedoston 8. syyskuuta, yrityksen sivusto sanoi, että palvelu maksaa 3, 00 dollaria ja pyysi luottokorttitietoja maksun käsittelemiseksi.
New Yorkin asukkaana pystyin jäädyttämään Experian-tiedostoni ilmaiseksi. TransUnionin sivusto ei pystynyt käsittelemään pyyntöä alun perin - todennäköisesti oire lisääntyneestä liikenteestä -, mutta myöhemmin antoi minulle mahdollisuuden sijoittaa jäädyttäminen ilmaiseksi.
Equifaxin edustaja kertoi sähköpostitse päivätyssä lausunnossaan Investopedialle 14. syyskuuta, että yritys luopuu kaikista maksuista luottotiedostojen jäädyttämiseksi ja palauttaa automaattisesti asiakkaat, jotka maksoivat sen, kun hakkerointi oli julkistettu. Uusi huolenaihe - ja selkeä turvallisuuden raukeaminen - on nyt noussut niiden PIN-tunnusten ympärille, jotka yritys antoi asiakkaille, jotka olivat jäädyttäneet luottotiedot. Nämä PIN-koodit, joiden avulla asiakkaat voivat vapauttaa luottotiedot, noudattavat helposti tunnistettavaa mallia. Tiedottaja sanoi, että asiakkaiden, joilla on nämä vialliset PIN-koodit, on soitettava numeroon 866-349-5191 puhuaksesi live-agentin kanssa.
TrustedID Premier -palvelut, jotka Equifax-luettelot ovat ilmaisia, ovat ilmaisia vain vuodeksi. Equifaxin edustaja kertoi Investopedialle, että yritys ei pyydä luottokorttitietoja, kun asiakkaat kirjautuvat palveluun ja että yritys ei uusitse sitä automaattisesti eikä peri maksua. Equifaxin vakiokorko luotonvalvonnalle on 17 dollaria kuukaudessa.
Mitä tehdä, jos sinuun vaikutettiin
NerdWalletin henkilökohtaisen rahoituksen kirjoittaja Liz Westonilla on seuraavat neuvot Equifax-rikkomuksesta kärsineille, jotka hän kertoi Investopedian kanssa sähköpostissa: "Equifax tavoittaa uhrit ja tarjoaa heille luottotarkkailua. Uhrien tulisi varmistaa, että seurannan hyväksyminen ei estä heitä osallistumasta oikeusjuttuihin tai muihin toimiin tiellä ".
Alun perin TrustedID Premier -palvelun ehdot -sivu (arkistoitu versio) käytännössä vaati käyttäjiä luopumaan oikeudestaan liittyä ryhmäkanteeseen Equifaxia vastaan: "Hyväksymälläsi vaatimuksesi välimiesmenettelyyn, menetät oikeutesi tuoda tai osallistua missä tahansa ryhmäkanteessa (joko nimettynä kantajana tai luokan jäsenenä) tai jaettavaksi kaikissa ryhmäkanteen palkinnoissa, mukaan lukien luokan vaatimukset, joissa luokkaa ei ole vielä varmennettu, vaikka vaatimukset perustuvat tosiseikat ja olosuhteet ovat jo tapahtuneet tai oli olemassa. " Vastauksen jälkeen yrityksen UKK-sivu päivitettiin sanomalla, että lauseke koski TrustedID Premier -palvelua, ei hakkerointia. Palvelusehdoissa ei enää ole välityslauseketta 12. syyskuuta aamusta alkaen.
Westonin mukaan asiaankuuluvien asiakkaiden tulee harkita luottotietojen jäädyttämistä kaikissa kolmessa suurimmassa toimistossa. Kuten edellä mainittiin, luottotoimistot voivat periä maksuja jäädyttämisen aloittamisesta. Sinua voidaan laskuttaa myös tilien vapauttamisesta, kun tarvitset luoton tarkistusta (esimerkiksi matkapuhelinpalvelun hakemiseen). Nämä maksut ovat yleensä alle 10 dollaria, mutta ne voivat lisätä. Weston toteaa, että toinen vaihtoehto on sijoittaa petosilmoitus luottotietoihisi kolmeen luottotoimistoon. (Lisätietoja on artikkelissa Kuinka toipua henkilöllisyysvarkauksista .)
Saatavana on myös muita luotonvalvontapalveluita, joita Equifax ei tue. Henkilöllisyysvarkauksien suojauspalvelut: kannattaa ottaa? luettelee useita niistä tutkittavaksi.
Equifaxin vastaus
Equifaxin silloinen puheenjohtaja ja toimitusjohtaja Richard Smith sanoi hakkeroinnin jälkeen, että se oli "selvästi pettymys tapahtumallemme yrityksellemme ja tapahtumassa, joka iskee ytimeen siitä, keitä olemme ja mitä teemme." Hän astui eroon 26. syyskuuta eikä saa palkkiota vuodeksi 2017. Hänen lähtöään seurasi turvallisuuspäällikkö Susan Mauldin ja tiedottaja David Webb 14. syyskuuta.
Muutaman päivän kuluttua siitä, kun yritys paljasti hakkeroinnin sisäisesti - ja ennen kuin rikkomus paljastettiin yleisölle - Equifaxin talousjohtaja John Gamble, sen työvoimaratkaisujen johtaja Rodolfo Ploder ja Yhdysvaltojen tietoratkaisujen johtaja Joseph Loughran myivät Equifaxin osakkeet. Equifax sanoi lausunnossaan, että avainhenkilöt eivät tienneet rikkomuksesta myyessään osakkeitaan. Gamble, Ploder ja Loughran yhdessä ansaitsivat lähes 1, 8 miljoonaa dollaria myynnistä.
Elokuun 28. päivästä lähtien Equifaxin osake on laskenut 20, 1% sen loppumisesta 7. syyskuuta (ennen hakkeri ilmoittamista) 113, 00 dollariin. Useiden viivästysten jälkeen Equifax sanoo raportoivan viimeisen vuosineljänneksen tuloksensa maaliskuun 1. päivän lopun jälkeen.
Anna oikeudenkäyntien alkaa
Reuters kertoi 11. syyskuuta, että yli 30 oikeusjuttua - monet heistä etsivät ryhmäkannetta - on nostettu Equifaxia vastaan Yhdysvaltojen tuomioistuimissa. Useat väittävät, että arvopaperilakia on rikottu; toiset syyttävät TrustedID: tä kalliiden palvelujen sovittamisesta asiakkaille, joille tiedon rikkominen vaikuttaa. Viisi Utahin asukasta on haastanut yrityksen Yhdysvaltain käräjäoikeuteen siitä, ettei ole suojattu asiakkaiden arkaluontoisia tietoja. Oikeudenkäynnissä vaaditaan 5 miljardin dollarin rahavahinkoja ja tiukempien teollisuusstandardien asettamista.
Muutamat asiaankuuluvat asiakkaat käyttävät vähemmän perinteistä reittiä hakeessaan turvautumista Equifaxista. DoNotPay-chatbot tarjoaa apua valituksen tekemisessä valtion vähäisiin vaatimuksiin liittyvissä tuomioistuimissa, joissa enimmäisrangaistukset vaihtelevat 2500–25 000 dollaria. Botti voi tuottaa vain paperityötä oikeusjuttua varten, ei tosiasiallisesti jättää sitä tai ilmestyä oikeuteen Vergen mukaan.
FBI ja Atlantassa toimiva Yhdysvaltain asianajaja John Horn ilmoittivat rikostutkinnasta 18. syyskuuta. Kuluttajansuojavirasto ja 34 valtion lakimiestä suorittavat tutkimuksia.
Herra Smith menee Washingtoniin
Entinen toimitusjohtaja Richard Smith todisti 3. lokakuuta House Digital Commerce and Consumer Protection -alivaliokunnassa. Hän pyysi monta kertaa anteeksi Equifaxin epäonnistumisesta suojata kuluttajatietoja ja esitti kysymyksiä useista rikkomukseen ja Equifaxin vastauksiin liittyvistä kysymyksistä. Yhtiön osake nousi todistuksen jälkeen, mutta pysyi selvästi alhaisempana kuin ennen kauppaa käytettiin, ennen kuin hakkeri paljastettiin.
Vastauksena kysymyksiin, jotka koskivat kiistanalaista välityslauseketta, joka alun perin sisällytettiin TrustedID Premierin palvelusehtoihin, Smith sanoi, että "kattilalevy" -lauseketta ei ole koskaan tarkoitettu sovellettavaksi rikkomukseen, ja kutsui sen sisällyttämistä "virheeksi". Hän ei sanoisi samoja samanlaisia lausekkeita, jotka koskevat muita Equifax-palveluita, joita hän kutsui "standardiksi".
Epäilyttävän ajoitetut osakekaupat myös valvonnassa: Illinoisin demokraatin edustaja Jan Schakowsky sanoi, että myynti "ei läpäise hajutestiä", mutta Smith torjui "parhaan tietoni mukaan he eivät tienneet" rikkomus tuolloin.
Smith kuvaili rikkomuksen inhimillisen erehdyksen ja teknisen vian seurauksena: henkilö, joka on vastuussa Apache Struts -sovelluksen korjaamisesta - jolla oli yleisesti tiedossa oleva haavoittuvuus, jota hyökkääjät käyttivät - eivät tehneet niin, ja skanneriin, jolla olisi ilmoitti yritykselle, että virhe myös epäonnistui.
Yhtiön lievä vastaus kriisiin sai myös kritiikkiä: epäilyttävän URL-osoitteen WordPress-sivuston perustaminen, samanlaisten verkkotunnusten suojaamisen epäonnistuminen (ja jopa asiakkaiden ohjaaminen johonkin näistä verkkotunnuksista), puhelinkeskusten riittämättömyys ja yleensä luominen vaikutelman, että yritys - joka on arkaluonteisten tietojen keräämiseen, suojaamiseen ja myyntiin - ei ollut täysin valmistautunut tietokantoihinsa kohdistuvaan hyökkäykseen. Tasavallan edustaja Markwayne Mullin, Oklahoman republikaani, kertoi Smithille, että hänen vastauksensa olisi pitänyt olla kuin palohälytysten vetäminen: "se menee heti paikalleen." Smith vastasi, että hänen tiiminsä "noudatti pöytäkirjaa". Useat edustajat mainitsivat, että Smith piti elokuussa elokuvassa puheen, jossa kuvaili petoksia "valtavaksi mahdollisuudeksi" ja "massiiviseksi, kasvavaksi yritykseksi" - sen jälkeen kun hän tiesi rikkomuksesta.
Smith kieltäytyi vastaamasta hyökkäyksen lähdettä koskeviin kysymyksiin, mukaan lukien se, olisiko kyseessä valtion toimija. Hän sanoi yksinkertaisesti, että FBI suorittaa tutkinnan. Hän puolusti Equifaxin investointeja verkkoturvallisuuteen toimikautensa aikana sanomalla, että kun hän saapui kaksitoista vuotta sitten, tietosuojaan ei käytännössä ollut mitään investointeja. Yhtiö käytti vuosineljänneksen miljardia dollaria ja palkkasi 225 hengen ryhmän turvaamaan yrityksen tiedot, Smith sanoi, että investoi teollisuuden standardin mukaiset 10–14% yrityksen IT-budjetista kyberturvallisuuteen.
Jotkut edustajat ilmoittivat, että rikkominen on avannut peruskysymyksiä luottotarkkailuteollisuuden roolista ja kuluttajien oikeuksista. "Entä jos haluan valita Equifaxin?" Schakowski kysyi. Smith vastasi: "Se vaatii paljon laajempaa keskustelua luottotietovirastojen roolista". Rep. Tonko, New Yorkin demokraatti, toisti mielipiteensä huomauttaen, että hän ei ole oikeasti "asiakas", koska hän ei ole koskaan päättänyt tehdä liiketoimintaa Equifaxin kanssa. "Miksi tämän yrityksen sallitaan jatkaa toimintaansa?" hän kysyi. Eri vaiheissa Smith kyseenalaisti sosiaaliturvatunnusten arvon tapaksi todistaa henkilöllisyyden ja viittasi epämääräisesti "vallan palauttamiseen kuluttajalle".
Päivän suurin kysymys tuli Kalifornian demokratilta Doris Matsuilta: "Omistanko omat tietoni?" Smith ei voinut vastata. (Katso myös, Blockchain voi tehdä sinusta - ei Equifaxista - tietosi omistajan. )
