Екуифак Инц. (ЕФКС) објавио је 7. септембра 2017. да је 143 милиона његових купаца било под утицајем хака који се догодио између средине маја и јула. Та цифра је током наредних недеља нарасла на 145, 5 милиона, затим на 147, 9 милиона 1. марта 2018, када је компанија саопштила да је идентификовала 2, 4 милиона додатних жртава.
Након затварања тржишта истог дана, компанија је известила о финансијским резултатима у четвртом и тромесечном периоду. Приходи компаније у четвртом тромјесечју порасли су за 5% у односу на исто раздобље прошле године, на 838, 5 милиона долара. Нето приход у кварталу порастао је за 40% у односу на исто раздобље претходне године, на 172, 3 милиона долара. Цјелогодишњи приходи и добит такође су порасли у односу на 2016. годину: приходи су порасли за 7% на 3, 4 милијарде долара, док су нето приходи порасли за 20% на 587, 3 милиона долара. Компанија је саопштила да ју је хак коштао 26, 5 милиона долара у четвртом кварталу и 114, 0 милиона долара у целој години, без исплате осигурања. Залихе, које су се затвориле за 1, 3% у складу са С&П 500, повећале су 0, 6% у трговању након радног времена у време писања.
Према изложби Екуифака, изложено је чак 209.000 бројева кредитних картица купаца, а компромисни документи везани за 182.000 америчких потрошача - који укључују личне податке - били су угрожени. Кршење је погођено и британским потрошачима; могуће је да су неки Канађани били угрожени. Према Валл Стреет Јоурналу, позивајући се на неименовани извор, 10, 9 милиона америчких возачких дозвола украдено је због кршења закона.
Компанија је за напад знала од 29. јула, али је чекала више од месец дана да упозори јавност. 20. септембра објављено је да Мандиант, подружница ФиреЕие Инц. (ФЕИЕ), коју је уговорио Екуифак, процењује да тај прекршај датира најмање 10. марта.
Мало је информација о извору напада, који истражује ФБИ, али према Блоомбергу, сличности ранијих напада на Канцеларију за управљање особљем и Антхем Инц. сугерирају да нападач може бити спонзорисан, можда Кинези. Да се информације купаца компаније Екуифак нису појавиле на црном тржишту, такође указује на то да хакери нису били само криминалци. Блоомберг такође преноси да су нападачи циљали одређене особе, можда због њиховог богатства или обавештајне вредности.
С обзиром на то да је одрасла популација у САД око 250 милиона, велике су шансе да сте били погођени прекршајем. Такође је могуће да сте већ били жртва преваре, јер је напад почео пре готово шест месеци.
Атлантска компанија Екуифак, једна од три највеће агенције за извештавање о потрошачким кредитима - остале две су Екпериан ПЛЦ (Лондон: ЕКСПН) и ТрансУнион (ТРУ) - прикупља податке укључујући бројеве социјалног осигурања, бројеве кредитних картица, бројеве возачких дозвола, станарину и комуналне услуге информације о плаћању и демографски подаци. Будући да је Екуифаков модел пре свега посао-посао, многи његови купци нису свесни да њихове податке чува фирма. Поред тога што уопште не избегавате финансијски и кредитни систем, не постоји директан начин да се одустанете од складиштења личних података од стране компаније Екуифак. (Погледајте такође, 5 највећих хакова са подацима о кредитној картици у историји. )
Како проверити да ли сте погођени
Екуифак је поставио сајт на коме можете проверити да ли су ваши подаци угрожени тако што ћете дати своје презиме и последњих шест цифара вашег броја социјалног осигурања. Ова веб локација била је предмет интензивних критика, а ми смо уклонили везу због питања која се тичу њене безбедности. Постављен је помоћу ВордПресс-а, ванбергетске платформе за писање блогова. Смештен је у посебном домену до главне локације компаније Екуифак. Компанија је занемарила регистровање сличних УРЛ адреса, која би се могла користити за пхисхинг нападе; један хакер са белим шеширом поставио је управо такву страницу како би доказао поанту, а званични Екуифак рачун твеетао је везу до лажне странице. Више од једанпут.
Екуифак је понудио клијентима - погођене или не - следеће услуге, које назива ТрустедИД Премиер: копије кредитног извештаја Екуифак, надгледање кредита и аутоматизована упозорења за сва три главна кредитна бироа, могућност блокирања треће стране приступа вашем Екуифак кредитном извештају (са изузецима), надгледање броја социјалног осигурања и осигурање од крађе идентитета од милион долара. Рок за пријаву био је 21. новембар 2017.
Из компаније кажу да су ове услуге бесплатне, али стављање сигурносног замрзавања на кредитни досије није у почетку било бесплатно - барем не за све. Када сам 8. септембра покушао да замрзнем кредитну датотеку Екуифак-а, сајт компаније рекао је да ће та услуга коштати 3, 00 долара и затражио је податке о кредитној картици да би обрадили уплату.
Као становник Њујорка, могао сам бесплатно да ставим на мој Екпериан досје. Сајт ТрансУнион-а није у почетку могао да обради захтев - што је вероватно симптом повећаног саобраћаја - али касније ми је омогућио бесплатно постављање замрзавања.
У изјави е-поштом, портпарол компаније Екуифак рекао је за Инвестопедиа 14. септембра да се фирма одриче свих оптужби за замрзавање кредитних досијеа и да аутоматски враћа купцима који су то платили након што је хацк објављен. Нова забринутост - и очигледан пропуст у безбедности - сада се појавила око ПИН-ова које је компанија издала купцима који су замрзнули своје кредитне извештаје. Ови ПИН-ови који купцима омогућавају да одмрзавају кредитне извештаје прате лако препознати образац. Портпарол је рекао да купци са тим неисправним ПИН-овима морају назвати 866-349-5191 да би разговарали са живим агентом.
ТрустедИД Премиер услуге Екуифак наводи да су бесплатне само годину дана. Портпарол компаније Екуифак рекао је за Инвестопедију да компанија не тражи податке о кредитним картицама када се купци пријаве на услугу и да их компанија неће аутоматски обновити или наплатити накнаду. Стандардна стопа Екуифака за надгледање кредита је 17 УСД месечно.
Шта учинити ако сте погођени
Лиз Вестон, лична списатељица финансија из НердВаллет-а, има следеће савете за оне који су погођени кршењем Екуифака, а које је она е-маилом поделила са Инвестопедијом: "Екуифак ће се обратити жртвама и понудити им надгледање кредита. Жртве би морале осигурати да слагање са надгледањем не спречава их да се придруже тужбама или другим радњама низ пут."
Првобитно, страница услуге коришћења услуге ТрустедИД Премиер (архивирана верзија) у ствари је захтевала од корисника да се одричу права да се придруже класној тужби против Екуифака: "Сагласношћу да своје захтеве поднесете арбитражама, одузећете вам право на подношење или учествовање у било којој класној акцији (било као именовани тужитељ или члан класе) или делити било какве награде за класну акцију, укључујући и захтев за класу где класа још није сертификована, чак и ако су чињенице и околности на којима се заснивају захтеви већ наступили или је постојало. " Након грешке, страница са ФАК-ом компаније је ажурирана како би се рекло да се клаузула односи на ТрустедИД Премиер услугу, а не на хацк. Од јутра 12. септембра, услови услуге више не укључују арбитражну клаузулу.
Вестон каже да би погођени купци требали размотрити замрзавање својих кредитних извјештаја на сва три главна бироа. Као што је горе поменуто, кредитни бирои могу наплаћивати накнаде за покретање ове замрзавања. Може вам се наплатити и одмрзавање рачуна када вам је потребан кредитни чек (на пример да бисте се пријавили за услугу мобилних телефона). Те накнаде су углавном мање од 10 УСД, али могу се збројити. Вестон напомиње да је друга опција да на три кредитна бироа поднесете упозорење о превари на ваше кредитне извештаје. (Више информација потражите у чланку Како се опоравити од крађе идентитета .)
Доступне су и друге услуге праћења кредитне способности, које спонзорира Екуифак. Услуге заштите крађе идентитета: Шта их има? наводи неколико њих које ћете истражити.
Одговор Екуифака
Тадашњи председавајући и извршни директор Екуифака, Рицхард Смитх, изјавио је након хака да је "очигледно разочаравајући инцидент за нашу компанију и онај који погодује у срце ко смо и шта радимо". Одступио је 26. септембра и неће примити бонус за 2017. Његов одлазак уследио је након одласка главне сефице безбедности Сусан Маулдин и главног информативног службеника Давида Вебба 14. септембра.
Неколико дана након што је компанија открила хацк интерно - и пре него што је кршење откривено јавности - главни финансијски директор Екуифака Јохн Гамбле, његов председник за радну снагу Родолфо Плодер и његов председник америчких информационих решења Јосепх Лоугхран продали су своје акције Екуифак-а. Екуифак је у изјави навео да руководиоци нису знали за прекршај када су продали своје залихе. Гамбле, Плодер и Лоугхран заједно су зарадили скоро 1, 8 милиона долара од продаје.
Од 28. фебруара акције Екуифака пале су за 20, 1% у односу на затварање 7. септембра (пре него што је хак најављен) на 113, 00 УСД. Након неколико одлагања, Екуифак каже да ће пријавити зараду у четвртом кварталу након затварања 1. марта.
Нека започне тужба
Ројтерс је 11. септембра известио да је против Екуифака поднесено више од 30 тужби - од којих многе траже класне тужбе - на америчким судовима. Неколико навода о кршењу закона о хартијама од вредности; други оптужују ТрустедИД да баца скупе услуге купцима који су погођени кршењем података. Пет становника Утаха тужило је ту компанију на америчком Окружном суду због пропуста у заштити осетљивих података купаца. Тужба тражи новчану штету од 5 милијарди долара и наметање строжијих индустријских стандарда.
Неколицина погођених купаца креће се мање традиционалним путем у потрази за повратом од Екуифака. ДоНотПаи цхатбот пружа помоћ у подношењу жалбе на државним судовима за мале захтеве, где се максималне казне крећу у распону од 2.500 до 25.000 долара. Робот може да генерише папирологију само за парницу, а не да је заправо поднесе или да се појави на суду, наводи Верге.
Амерички адвокат Јохн Хорн са сједиштем у ФБИ-у и Атланти најавио је кривичну истрагу због кршења закона 18. септембра. Биро за финансијску заштиту потрошача и 34 државна одвјетника врше истраге.
Г. Смитх одлази у Васхингтон
3. октобра бивши извршни директор Рицхард Смитх сведочио је пред пододбором за дигиталну трговину и заштиту потрошача. Извинио се више пута због тога што Екуифак није успео да заштити податке о потрошачима и суочио се са читавим низом питања која се односе на кршење и одговор Екуифака. Акције компаније порасле су након сведочења, али су остале знатно испод нивоа којима се трговало пре открића хака.
Одговарајући на питања у вези са контроверзном арбитражном клаузулом која је првобитно била обухваћена условима коришћења ТрустедИД Премиер-а, Смитх је рекао да клаузула о „котловској плочи“ никада није била намењена примени на кршење правила и да је њено укључивање „грешком“. Не би рекао исто што и сличне клаузуле које управљају другим услугама Екуифака, а које је назвао "стандардним".
Сумњиво темпирана извршна продаја акција такође је била под будном контролом: велечасни Јан Сцхаковски, Иллиноис демократа, рекао је да продаја „не пролази тест мириса“, али Смитх се, према мом сазнању, одвратио, „нису знали“ о прекршај у то време.
Смит је описао кршење као резултат људске грешке и технолошког пропуста: особа задужена да се закрпи за софтвер Апацхе Струтс - који је имао јавно познату рањивост коју су нападачи искористили - то није успео, а скенер који би имао упозорио је компанију да грешка такође није успела.
Компанијски одговор на кризу наишао је и на критику: постављање ВордПресс веб странице са сумњивом УРЛ адресом, неуспех у обезбеђивању сличних домена (па чак и преусмеравање клијената на један од тих домена), неуспех у адекватном позивању центара за особље и генерално стварање стиче се утисак да је компанија - која постоји за прикупљање, обезбеђивање и продају осетљивих података - била потпуно неспремна за цибер-напад у својим базама података. Реп. Маркваине Муллин, републиканац из Оклахоме, рекао је Смитху да је његов одговор требао бити попут повлачења аларма: "то одмах постаје на месту". Смит је одговорио да је његов тим "следио протокол". Неколико представника поменуло је да је Смитх одржао говор описујући превару као "огромну прилику" и "масиван, растући посао" у августу - након што је сазнао за кршење.
Смитх је одбио да одговори на питања о извору напада, укључујући да ли је то можда државни актер. Једноставно је рекао да ФБИ води истрагу. Он је бранио улагања компаније Екуифак у цибер-сигурност током свог мандата, рекавши да када је стигао пре дванаест година практично није било улагања у заштиту података. Компанија је потрошила четврт милијарде долара и ангажовала тим од 225 људи који ће осигурати податке компаније, рекао је Смитх, улажући индустријски стандардних 10-14% ИТ буџета компаније у кибернетичку сигурност.
Неки представници су истакли да је кршење отворило темељна питања о улози индустрије за праћење кредита и права потрошача. "Шта ако желим да се одлучим за Екуифак?" - упита Сцхаковски. Смит је одговорио, „то захтева много ширу дискусију око улоге агенција за кредитно извештавање“. Велепосланик Тонко, њујоршки демократа, изразио је расположење, истичући да он у ствари није "купац", а да никада није одлучио да послује с Екуифаком. "Зашто је овој компанији дозвољено да постоји?" упитао. У различитим тачкама, Смитх је доводио у питање вредност бројева социјалног осигурања као начина да се докаже идентитет и дао је нејасне референце на враћање „моћи потрошачу“.
Највеће питање дана стигло је од калифорнијске демократке Дорис Матсуи: "Да ли поседујем своје податке?" Смит није могао да одговори. (Погледајте такође, Блоцкцхаин вас може учинити - не екуифак - власником ваших података. )
