Equifax Inc. (EFX) объявила 7 сентября 2017 года, что 143 миллиона ее клиентов пострадали от взлома, произошедшего в период с середины мая по июль. Эта цифра была увеличена до 145, 5 млн в течение следующих недель, а затем до 147, 9 млн на 1 марта 2018 года, когда компания заявила, что определила 2, 4 млн дополнительных жертв.
После закрытия рынка в тот же день компания сообщила о финансовых результатах за четвертый квартал и весь год. Выручка компании в четвертом квартале выросла на 5% по сравнению с аналогичным периодом прошлого года и составила 838, 5 млн долларов. Чистая прибыль за квартал выросла на 40% по сравнению с аналогичным периодом прошлого года и составила 172, 3 млн долларов. Годовая выручка и прибыль также выросли по сравнению с 2016 годом: выручка выросла на 7% до 3, 4 млрд долларов, а чистая прибыль увеличилась на 20% до 587, 3 млн долларов. Компания заявила, что взлом стоил ей 26, 5 млн долларов в четвертом квартале и 114, 0 млн долларов за весь год без учета страховых выплат. Акции, которые закрылись на 1, 3% в соответствии с S & P 500, выросли на 0, 6% после закрытия торгов на момент написания статьи.
По данным Equifax, было раскрыто до 209 000 номеров кредитных карт клиентов, и были скомпрометированы документы, касающиеся 182 000 потребителей в США, включая личную информацию. Британские потребители также пострадали от нарушения; Возможно, что некоторые канадцы были скомпрометированы. По данным Wall Street Journal со ссылкой на неназванный источник, в результате взлома были украдены данные о водительских правах 10, 9 миллиона американцев.
Компания знала об атаке с 29 июля, но более месяца ждала оповещения общественности. 20 сентября поступило сообщение о том, что Mandiant, дочерняя компания FireEye Inc. (FEYE), заключившая договор с Equifax, оценивает это нарушение как минимум до 10 марта.
Существует мало информации об источнике атаки, которая расследуется ФБР, но, по словам Bloomberg, сходство с более ранними атаками на Управление персонала и Anthem Inc. предполагает, что злоумышленник может быть спонсируемым государством, возможно, китайским. То, что информация клиентов Equifax не появилась на черном рынке, также предполагает, что хакеры были не просто преступниками. Bloomberg также сообщает, что злоумышленники были нацелены на конкретных людей, возможно, из-за их богатства или интеллекта.
Учитывая, что взрослое население США составляет около 250 миллионов, велика вероятность того, что вы пострадали от нарушения. Также возможно, что вы уже стали жертвой мошенничества, поскольку атака началась почти шесть месяцев назад.
Расположенное в Атланте Equifax, одно из трех крупнейших агентств по отчетности о потребительских кредитах - два других - Experian PLC (Лондон: EXPN) и TransUnion (TRU) - собирают данные, включая номера социального страхования, номера кредитных карт, номера водительских прав, арендную плату и коммунальные услуги. информация об оплате и демографические данные. Поскольку модель Equifax прежде всего бизнес-бизнес, многие его клиенты не знают, что их данные хранятся фирмой. Помимо полного отказа от финансовой и кредитной системы, нет простого способа отказаться от хранения личных данных в Equifax. (См. Также, 5 самых больших взломов данных кредитных карт в истории. )
Как проверить, были ли вы затронуты
Equifax создал сайт, где вы можете проверить, была ли ваша информация взломана, указав свою фамилию и последние шесть цифр номера социального страхования. Этот сайт подвергся интенсивной критике, и мы удалили ссылку из-за вопросов, касающихся его безопасности. Он был создан с использованием готовой платформы блогов WordPress. Он размещен в отдельном домене для основного сайта Equifax. Компания забыла зарегистрировать аналогичные URL-адреса, которые можно использовать для фишинговых атак; один хакер из белой шляпы создал именно такой сайт, чтобы доказать свою точку зрения, и официальный аккаунт Equifax написал в Твиттере ссылку на фальшивый сайт. Больше чем единожды.
Equifax предложил клиентам - затронутым или нет - следующие услуги, которые он называет TrustedID Premier: копии кредитного отчета Equifax, мониторинг кредитов и автоматические оповещения для всех трех основных кредитных бюро, возможность блокировать сторонний доступ к вашему кредитному отчету Equifax (за исключением), мониторинг номера социального страхования и 1 миллион долларов на страхование кражи личных данных. Последний срок подачи заявок - 21 ноября 2017 года.
Компания заявляет, что все эти услуги являются бесплатными, но размещение замораживания безопасности в кредитном файле изначально не было бесплатным - по крайней мере, не для всех. Когда я пытался заморозить кредитный файл Equifax 8 сентября, сайт компании сказал, что услуга обойдется в 3 доллара, и запросил информацию о кредитной карте для обработки платежа.
Как житель Нью-Йорка, я смог бесплатно заблокировать файл Experian. Первоначально сайт TransUnion не смог обработать запрос - вероятно, это был признак увеличения трафика - но позже позволил мне бесплатно заблокировать его.
В заявлении по электронной почте представитель Equifax сказал Investopedia 14 сентября, что фирма отменяет все обвинения в замораживании кредитных файлов и автоматически возвращает деньги клиентам, которые заплатили за это после того, как взлом был обнародован. Новая проблема - и очевидная ошибка в безопасности - теперь возникла вокруг PIN-кодов, которые компания выдавала клиентам, которые заморозили свои кредитные отчеты. Эти PIN-коды, которые позволяют клиентам размораживать кредитные отчеты, следуют легко опознаваемому шаблону. Представитель сказал, что клиенты с этими ошибочными PIN-кодами должны позвонить по номеру 866-349-5191, чтобы поговорить с живым агентом.
Списки услуг Equifax TrustedID Premier являются бесплатными только в течение года. Представитель Equifax сказал Investopedia, что компания не запрашивает информацию о кредитной карте, когда клиенты подписываются на услугу, и что компания не будет автоматически продлевать ее или взимать плату. Стандартная ставка Equifax для кредитного мониторинга составляет $ 17 в месяц.
Что делать, если вы пострадали
Лиз Вестон, писатель по личным финансам в NerdWallet, дает следующие советы для тех, кто пострадал от нарушения Equifax, которым она поделилась с Investopedia в электронном письме: «Equifax свяжется с жертвами и предложит им кредитный мониторинг. Жертвы должны убедиться, что согласие на мониторинг не мешает им участвовать в судебных процессах или других действиях в будущем ».
Первоначально страница условий обслуживания TrustedID Premier (архивная версия) фактически требовала, чтобы пользователи отказались от своего права присоединиться к групповому иску против Equifax: «Соглашаясь подать свои претензии в арбитраж, вы утрачиваете свое право на участие или участие. в любом групповом иске (будь то в качестве названного истца или члена класса) или участвовать в каких-либо наградах группового иска, в том числе претензиях класса, если класс еще не был сертифицирован, даже если факты и обстоятельства, на которых основаны претензии, уже имели место или существовал. " После обратной реакции страница часто задаваемых вопросов компании была обновлена, чтобы сообщить, что пункт применяется к сервису TrustedID Premier, а не к хаку. По состоянию на утро 12 сентября, условия обслуживания больше не включают арбитражную оговорку.
Вестон говорит, что пострадавшие клиенты должны рассмотреть возможность замораживания своих кредитных отчетов во всех трех основных бюро. Как упоминалось выше, кредитные бюро могут взимать плату за инициирование такого замораживания. С вас может также взиматься плата за разморозку аккаунтов, когда вам нужна проверка кредитоспособности (например, для подачи заявки на обслуживание мобильного телефона). Эти сборы, как правило, составляют менее 10 долларов, но они могут складываться. Уэстон отмечает, что другой вариант - это разместить предупреждение о мошенничестве в ваших кредитных отчетах в трех кредитных бюро. (Подробнее см. Как восстановить данные после кражи личных данных .)
Другие услуги кредитного мониторинга, не спонсируемые Equifax, также доступны. Услуги по защите от кражи личных данных: стоит иметь? перечисляет несколько из них для расследования.
Ответ Equifax
Тогдашний председатель и главный исполнительный директор Equifax Ричард Смит заявил после взлома, что «это был явно разочаровывающий инцидент для нашей компании, который поразил сердце того, кто мы и чем занимаемся». Он ушел в отставку 26 сентября и не получит бонуса за 2017 год. Его отъезд последовал за уходом главного офицера безопасности Сьюзен Молдин и главного информационного директора Дэвида Уэбба 14 сентября.
Через несколько дней после того, как компания раскрыла взлом на внутреннем рынке - и до того, как об этом стало известно общественности, - главный финансовый директор Equifax Джон Гэмбл, президент по кадровым решениям Родольфо Плодер и президент по информационным решениям в США Джозеф Лафран продали свои акции Equifax. В заявлении Equifax говорится, что руководители не знали о нарушении, когда продавали свои акции. Gamble, Ploder и Loughran коллективно заработали почти 1, 8 миллиона долларов от продаж.
По состоянию на 28 февраля акции Equifax упали на 20, 1% с закрытия 7 сентября (до объявления о взломе) до 113, 00 долларов. Equifax сообщает, что после нескольких задержек отчитается о доходах в четвертом квартале после закрытия 1 марта.
Пусть начнутся судебные процессы
Агентство Reuters сообщило 11 сентября, что в суды США против Equifax было подано более 30 исков, многие из которых требуют группового иска. Несколько утверждают о нарушениях законодательства о ценных бумагах; другие обвиняют TrustedID в предоставлении дорогостоящих услуг клиентам, пострадавшим от взлома данных. Пять жителей Юты подали в суд на компанию в окружном суде США за неспособность защитить конфиденциальные данные клиентов. Иск требует компенсации в размере 5 миллиардов долларов и введения более строгих отраслевых стандартов.
Несколько пострадавших клиентов выбирают менее привычный путь в поисках выхода из Equifax. Чат-бот DoNotPay предоставляет помощь в подаче жалобы в государственные суды по мелким искам, где максимальные штрафы варьируются от 2500 до 25 000 долларов США. Согласно Verge, бот может генерировать документы только для судебного процесса, а не подавать его или предавать суду.
ФБР и находящийся в Атланте американский прокурор Джон Хорн объявили о возбуждении уголовного дела по факту нарушения 18 сентября. Бюро финансовой защиты потребителей и 34 генеральных прокурора штата проводят расследования.
Мистер Смит едет в Вашингтон
3 октября бывший генеральный директор Ричард Смит дал показания перед подкомитетом «Цифровая коммерция и защита прав потребителей». Он несколько раз извинялся за то, что Equifax не смог защитить данные потребителей, и столкнулся с вопросами о ряде проблем, связанных с нарушением и ответом Equifax. Акции компании выросли после показаний, но оставались значительно ниже уровней, на которых торговались, прежде чем хак был раскрыт.
В ответ на вопросы, касающиеся спорную арбитражную оговорку, первоначально включенных в терминах TrustedID ПРЕМЬЕРА службы, Смит сказал, что «шаблонная» оговорка никогда не предназначалась для применения к нарушению и назвала его включение «ошибка». Он не сказал бы то же самое в отношении аналогичных положений, регулирующих другие службы Equifax, которые он назвал «стандартными».
Подозрительно рассчитанные продажи исполнительных акций также подверглись тщательному анализу: член палаты представителей Ян Шаковски, демократ из Иллинойса, сказал, что продажа «не проходит тест на запах», но Смит заявил, что «насколько мне известно, они не знали» о нарушение в то время.
Смит описал нарушение как результат человеческой ошибки и технологического сбоя: лицо, ответственное за обеспечение исправления программного обеспечения Apache Struts - которое имело общеизвестную уязвимость, которую использовали злоумышленники, - не смогло сделать это, и сканер, который имел бы Оповестить компанию об этой ошибке тоже не удалось.
Сильный ответ компании на кризис также вызвал критику: создание сайта WordPress с подозрительным URL-адресом, неспособность защитить аналогичные домены (и даже направление клиентов на один из этих доменов), неспособность адекватно укомплектовать колл-центры и вообще создание сложилось впечатление, что компания, которая существует для сбора, защиты и продажи конфиденциальных данных, была совершенно не готова к кибератаке в своих базах данных. Член палаты представителей Марквейн Маллин, республиканец из Оклахомы, сказал Смиту, что его ответ должен был походить на нажатие пожарной сигнализации: «она немедленно встает на место». Смит ответил, что его команда «следовала протоколу». Несколько представителей упомянули, что Смит выступил с речью, описав мошенничество как «огромную возможность» и «масштабный растущий бизнес» в августе - после того, как он узнал о нарушении.
Смит отказался отвечать на вопросы об источнике атаки, в том числе о том, может ли это быть государственный актер. Он просто сказал, что ФБР проводит расследование. Он защищал инвестиции Equifax в кибербезопасность во время своего пребывания в должности, сказав, что, когда он прибыл двенадцать лет назад, практически не было инвестиций в защиту данных. По словам Смита, компания потратила четверть миллиарда долларов и наняла команду из 225 человек для защиты данных компании, инвестировав 10–14% отраслевого бюджета компании в кибербезопасность.
Некоторые представители указали, что нарушение вскрыло фундаментальные вопросы о роли индустрии кредитного мониторинга и прав потребителей. "Что если я захочу выбрать наш Equifax?" Спросил Щаковский. Смит ответил: «Это требует гораздо более широкого обсуждения роли кредитных агентств». Член палаты представителей Тонко, нью-йоркский демократ, поддержал мнение, отметив, что он на самом деле не «клиент», никогда не решавший вести дела с Equifax. «Почему этой компании разрешено продолжать существование?» он спросил. В различных моментах Смит поставил под сомнение ценность номеров социального страхования как способа доказать свою личность и сделал смутные ссылки на возвращение «власти потребителю».
Самый большой вопрос дня пришел от калифорнийского демократа Дорис Мацуи: «Владею ли я своими данными?» Смит не мог ответить. (См. Также, Блокчейн может сделать вас - не Equifax - владельцем ваших данных. )
