Equifax Inc. (EFX) objavio je 7. rujna 2017. godine da je 143 milijuna njegovih kupaca bilo pod utjecajem haka koji se dogodio između sredine svibnja i srpnja. Ta se brojka slijedila za 145, 5 milijuna tijekom sljedećih tjedana, a zatim na 147, 9 milijuna 1. ožujka 2018., kada je tvrtka priopćila kako je identificirala 2, 4 milijuna dodatnih žrtava.
Nakon zatvaranja tržišta istog dana, tvrtka je izvijestila o financijskim rezultatima u četvrtom tromjesečju i cijeloj godini. Prihodi tvrtke u četvrtom tromjesečju porasli su za 5% u odnosu na isto razdoblje prošle godine na 838, 5 milijuna dolara. Neto prihod u tromjesečju porastao je za 40% u odnosu na isto razdoblje prošle godine na 172, 3 milijuna USD. Cjelogodišnji prihodi i dobit također su porasli u odnosu na 2016. godinu: prihodi su porasli za 7% na 3, 4 milijarde dolara, dok su neto prihodi porasli za 20% na 587, 3 milijuna dolara. Tvrtka je navela da ju je hack koštao 26, 5 milijuna USD u četvrtom tromjesečju i 114, 0 milijuna USD u cijeloj godini, bez isplate osiguranja. Zalihe, koje su se zatvorile za 1, 3% u skladu sa S&P 500, povećale su 0, 6% u trgovanju nakon radnog vremena u vrijeme pisanja.
Prema izložbi Equifaxa, izloženo je čak 209.000 kupaca, a dokumenti spora vezani za 182.000 američkih potrošača - koji uključuju osobne podatke - bili su ugroženi. Kršenje je također pogođeno britanskim potrošačima; moguće je da su neki Kanađani bili ugroženi. Prema Wall Street Journalu, pozivajući se na neimenovani izvor, 10, 9 milijuna Američkih vozačkih podataka ukradeno je zbog kršenja zakona.
Tvrtka je za napad znala od 29. srpnja, ali čekala je više od mjesec dana da upozori javnost. 20. rujna objavljeno je da Mandiant, podružnica FireEye Inc. (FEYE), koju je ugovorio Equifax, procjenjuje da je kršenje bilo barem do 10. ožujka.
Malo je podataka o izvoru napada, koji istražuje FBI, ali prema Bloombergu, sličnosti ranijim napadima na Ured za upravljanje osobljem i Anthem Inc. sugeriraju da napadač može biti sponzoriran od strane države, možda Kinezi. Da se podaci o kupcima Equifaxa nisu pojavili na crnom tržištu, također upućuje na to da hakeri nisu bili samo kriminalci. Bloomberg također izvještava da su napadači ciljali određene pojedince, možda zbog njihovog bogatstva ili inteligencijske vrijednosti.
S obzirom na to da je odrasla populacija SAD-a oko 250 milijuna, velike su šanse da ste bili pogođeni prekršajem. Moguće je i da ste već bili žrtva prijevare, jer je napad počeo prije gotovo šest mjeseci.
Atlantska kompanija Equifax, jedna od tri najveće agencije za izvještavanje o potrošačkim kreditima - ostala dva su Experian PLC (London: EXPN) i TransUnion (TRU) - prikuplja podatke, uključujući brojeve socijalnog osiguranja, brojeve kreditnih kartica, brojeve vozačkih dozvola, najamninu i uslužni program podatke o plaćanju i demografske podatke. Budući da je Equifaxov model prvenstveno posao-posao, mnogi njegovi kupci nisu svjesni da njihove podatke pohranjuje firma. Osim u potpunosti izbjegavanja financijskog i kreditnog sustava, ne postoji direktan način odustajanja od pohrane osobnih podataka u Equifax. (Pogledajte također, 5 najvećih hakova s podacima o kreditnoj kartici u povijesti. )
Kako provjeriti jeste li pogođeni
Equifax je uspostavio web mjesto na kojem možete provjeriti jesu li vaši podaci ugroženi tako da navedete svoje prezime i zadnjih šest znamenki vašeg broja socijalnog osiguranja. Ova web lokacija bila je predmet intenzivnih kritika, a mi smo uklonili vezu zbog pitanja koja se odnose na njezinu sigurnost. Postavljen je koristeći WordPress, izvanmrežnu platformu za bloganje. Smješten je na zasebnoj domeni, do glavne web stranice Equifaxa. Tvrtka je zapostavila registrirati slične URL-ove, koji bi se mogli koristiti za phishing napade; jedan haker za bijeli šešir stvorio je upravo takvu stranicu kako bi dokazao poantu, a službeni račun Equifaxa tweetao je vezu do lažne stranice. Više od jednom.
Equifax je ponudio klijentima - pogođene ili ne - sljedeće usluge, koje naziva TrustedID Premier: kopije kreditnog izvještaja Equifax, nadgledanje kredita i automatizirana upozorenja za sva tri glavna kreditna biroa, mogućnost blokiranja treće strane pristupa vašem Equifax kreditnom izvješću (s iznimkama), nadgledanje broja socijalnog osiguranja i osiguranje od krađe identiteta od milion dolara. Rok za prijavu bio je 21. studenog 2017.
Iz tvrtke kažu kako su ove usluge besplatne, ali stavljanje sigurnosnog zamrzavanja na kreditnu datoteku u početku nije bilo besplatno - barem ne za sve. Kada sam 8. rujna pokušao zamrznuti kreditnu datoteku Equifax-a, stranica tvrtke je rekla da će ta usluga koštati 3, 00 USD i zatražila je podatke o kreditnoj kartici da bi obradila plaćanje.
Kao stanovnik New Yorka, bio sam u mogućnosti besplatno staviti na moj Experian dosje. Web mjesto TransUniona nije u početku moglo obraditi zahtjev - što je vjerojatno simptom povećanog prometa - ali kasnije mi je omogućilo besplatno postavljanje zamrzavanja.
U izjavi e-poštom, glasnogovornik portala Equifax rekao je za Investopedia 14. rujna da se tvrtka odriče svih optužbi za zamrzavanje kreditnih datoteka i da automatski vraća kupcima koji su to platili nakon što je hack objavljen. Nova zabrinutost - i očigledan nestanak sigurnosti - sada se pojavila oko PIN-ova koje je tvrtka izdala kupcima koji su zamrznuli svoja kreditna izvješća. Ti PIN-ovi koji kupcima omogućuju zamrzavanje kreditnih izvještaja slijede obrazac koji se lako prepoznaje. Glasnogovornik je rekao da kupci s tim neispravnim PIN-ovima moraju nazvati 866-349-5191 da bi razgovarali sa živim agentom.
TrustedID Premier usluge Equifax popisi kao besplatne besplatne su samo godinu dana. Glasnogovornik portala Equifax rekao je za Investopediju da tvrtka ne traži podatke o kreditnim karticama kada se kupci prijave na uslugu i da ih tvrtka neće automatski obnoviti ili naplatiti naknadu. Standardna stopa Equifaxa za nadgledanje kredita je 17 dolara mjesečno.
Što učiniti ako ste pogođeni
Liz Weston, osobna spisateljica financija u NerdWallet, ima sljedeće savjete za one koji su pogođeni prekršajem Equifaxa, a koje je s e-mailom podijelila s Investopedijom: "Equifax će pružiti priliku žrtvama i ponuditi im nadzor nad kreditima. Žrtve trebaju osigurati to pristanak na nadzor ne sprečava ih da se pridruže tužbama ili drugim radnjama niz put."
U početku je stranica usluge uvjeta usluge TrustedID Premier (arhivirana inačica) zapravo zahtijevala da se korisnici odriču prava sudjelovanja u tužbi klase protiv Equifaxa: "Pristajući na podnošenje zahtjeva za arbitražu, oduzet ćete pravo na podnošenje ili sudjelovanje u bilo kojoj radnji klase (bilo kao imenovani tužitelj ili član klase) ili dijeliti nagradu za klasu, uključujući zahtjeve za klasu gdje klasa još nije certificirana, čak i ako su se već dogodile činjenice i okolnosti na kojima se zasnivaju zahtjevi ili je postojao. " Nakon nasrtaja, stranica s FAQ-om tvrtke ažurirana je kako bi se rekla da se klauzula primjenjivala na TrustedID Premier uslugu, a ne na hack. Od jutra 12. rujna, uvjeti pružanja usluge više ne uključuju arbitražnu klauzulu.
Weston kaže da bi pogođeni kupci trebali razmotriti zamrzavanje svojih kreditnih izvještaja na sva tri glavna biroa. Kao što je gore spomenuto, kreditni biroi mogu naplatiti naknade za pokretanje ove zamrzavanja. Također vam se može naplatiti zamrzavanje računa kada trebate provjeru kreditne sposobnosti (na primjer, za prijavu za uslugu mobitela). Te su naknade obično manje od 10 USD, ali mogu se zbrojiti. Weston napominje da je druga mogućnost da na tri kreditna biroa podnesete upozorenje o prijevari na svoja kreditna izvješća. (Za više detalja, pogledajte Kako se oporaviti od krađe identiteta .)
Dostupne su i druge usluge praćenja kreditne sposobnosti koje ne sponzorira Equifax. Usluge zaštite krađe identiteta: Što vrijedi imati? nabraja nekoliko njih koje ćete istražiti.
Odgovor Equifaxa
Tadašnji predsjednik i izvršni direktor Equifaxa, Richard Smith, rekao je nakon haka da je "očito razočaravajući incident za našu tvrtku i onaj koji pogodi u srcu tko smo i što radimo". Odstupio je 26. rujna i neće primiti bonus za 2017. Njegov odlazak uslijedio je nakon rujna glavne sigurnosne službenice Susan Mauldin i glavnog informativnog službenika Davida Webba.
Nekoliko dana nakon što je kompanija otkrila hack interno - i prije nego što je kršenje otkriveno javnosti - glavni financijski direktor Equifaxa John Gamble, njegov predsjednik rješenja za radnu snagu Rodolfo Ploder i njegov predsjednik američkih informacijskih rješenja Joseph Loughran prodali su svoje dionice Equifaxa. Equifax je u izjavi naveo da rukovoditelji nisu znali za prekršaj kad su prodali svoje zalihe. Gamble, Ploder i Loughran zajedno su zaradili gotovo 1, 8 milijuna dolara od prodaje.
Od 28. veljače dionice Equifaxa pale su za 20, 1% u odnosu na zatvaranje 7. rujna (prije nego što je hack najavljen) na 113, 00 USD. Nakon nekoliko kašnjenja, Equifax kaže da će izvijestiti o dobiti u četvrtom tromjesečju nakon što se 1. ožujka zatvori.
Neka započnu parnice
Reuters je 11. rujna izvijestio da je protiv Equifaxa podneseno više od 30 tužbi - od kojih su mnoge tražile klasne tužbe - na američkim sudovima. Nekoliko navodnih kršenja zakona o vrijednosnim papirima; drugi optužuju TrustedID da baca skupe usluge kupcima koji su pogođeni kršenjem podataka. Pet stanovnika Utahe tužilo je tvrtku na američkom Okružnom sudu zbog zaštite zaštite osjetljivih podataka kupaca. Tužba traži novčanu štetu od 5 milijardi dolara i nametanje strožijih industrijskih standarda.
Nekolicina pogođenih kupaca kreće se manje tradicionalnim putem u potrazi za povratom od Equifaxa. Chat za DoNotPay pruža pomoć u podnošenju žalbe na državnim sudovima za male zahtjeve, gdje se maksimalne kazne kreću u rasponu od 2.500 do 25.000 dolara. Robot može stvoriti papirologiju samo za parnicu, a zapravo ga ne podnijeti ili pojaviti na sudu, navodi Verge.
Američki odvjetnik sa sjedištem u FBI-ju i John Horn najavio je kriminalističku istragu zbog kršenja zakona 18. rujna. Istragu provode Povjerenstvo za financijsku zaštitu potrošača i 34 državna odvjetnika.
G. Smith odlazi u Washington
3. listopada bivši izvršni direktor Richard Smith svjedočio je pred pododborom za digitalnu trgovinu i zaštitu potrošača. Izvinio se više puta zbog toga što Equifax nije uspio zaštititi podatke o potrošačima i suočio se s čitavim nizom pitanja povezanih s kršenjem i odgovorom Equifaxa. Dionice tvrtke porasle su nakon svjedočenja, ali ostale su znatno ispod razine kojom se trgovalo prije otkrivanja haka.
Odgovarajući na pitanja u vezi s kontroverznom arbitražnom klauzulom koja je prvobitno uključena u uvjete pružanja usluge TrustedID Premier, Smith je rekao da klauzula o "kotlovskoj ploči" nikada nije bila namijenjena primjeni na kršenje zakona i nazvao je njezino uključivanje "pogreškom". Ne bi rekao isto što i slične klauzule koje upravljaju drugim uslugama Equifaxa, a koje je nazvao "standardnim".
Sumnjivo tempirana izvršna prodaja dionica također je bila pod budnim nadzorom: izaslanik Jan Schakowsky, Illinois demokrata, rekao je da prodaja "ne prolazi test mirisa", ali Smith je otklonio, "koliko ja znam, oni nisu znali" o kršenje u to vrijeme.
Smith je opisao kršenje kao posljedicu ljudske pogreške i tehnološkog propusta: osoba zadužena za osiguravanje krpljenja softvera Apache Struts - koji je imao javno poznatu ranjivost koju su napadači iskoristili - nije to uspjela, a skener koji bi imao upozorio je tvrtku da pogreška također nije uspjela.
Tvrtkov neodlučni odgovor na krizu naišao je i na kritiku: postavljanje WordPress stranice s sumnjivim URL-om, neuspjeh u osiguranju sličnih domena (pa čak i usmjeravanje kupaca na jednu od tih domena), neuspjeh u adekvatnom centru za pozivanje osoblja i općenito stvaranje stječe se dojam da je tvrtka - koja postoji za prikupljanje, zaštitu i prodaju osjetljivih podataka - bila potpuno nespremna za cyber-napad u svojim bazama podataka. Rep. Markwayne Mullin, republikanac iz Oklahome, rekao je Smithu da je njegov odgovor trebao biti poput povlačenja alarma: "to odmah postaje na mjestu". Smith je odgovorio da je njegov tim "slijedio protokol". Nekoliko predstavnika spomenulo je da je Smith održao govor opisujući prevaru kao "ogromnu priliku" i "masivan, rastući posao" u kolovozu - nakon što je saznao za kršenje.
Smith je odbio odgovarati na pitanja o izvoru napada, uključujući može li to biti državni akter. Jednostavno je rekao da FBI vodi istragu. Branio je ulaganja Equifaxa u cyber-sigurnost tijekom svog mandata, rekavši da, kada je stigao prije dvanaest godina, praktički nije bilo ulaganja u zaštitu podataka. Tvrtka je potrošila četvrt milijarde dolara i angažirala tim od 225 ljudi koji će osigurati podatke tvrtke, rekao je Smith, ulažući industrijski standardnih 10-14% IT-jevog proračuna u kibernetičku sigurnost.
Neki predstavnici su istakli da je kršenje otvorilo temeljna pitanja o ulozi industrije za praćenje kreditne sposobnosti i prava potrošača. "Što ako želim odabrati naš Equifax?" - upita Schakowski. Smith je odgovorio, "što zahtijeva mnogo širu raspravu oko uloge agencija za kreditno izvještavanje". Veleposlanik Tonko, njujorški demokrat, izrazio je raspoloženje, ističući da on zapravo nije "kupac", a da se nikada nije odlučio baviti Equifaxom. "Zašto je ovom poduzeću dopušteno da postoji?" upitao. U raznim je točkama Smith dovodio u pitanje vrijednost brojeva socijalnog osiguranja kao načina dokazivanja identiteta i dao se nejasnim referencama na vraćanje „moći potrošaču“.
Najveće pitanje dana uslijedilo je od kalifornijske demokratke Doris Matsui: "Posjedujem li svoje podatke?" Smith nije mogao odgovoriti. (Pogledajte također, Blockchain vas može učiniti - ne equifax - vlasnikom vaših podataka. )
