Vaig estar piratejat? Informeu-vos de si l'infracció Equifax us afecta

Equifax Inc. (EFX) va anunciar el 7 de setembre de 2017 que 143 milions dels seus clients estaven afectats per un hack que va tenir lloc entre mitjans de maig i juliol. Aquesta xifra es va assolir a 145, 5 milions durant les setmanes següents, després a 147, 9 milions l'1 de març de 2018, quan la companyia va dir que havia identificat 2, 4 milions de víctimes addicionals.

Després de tancar el mercat el mateix dia, la companyia va informar de resultats financers del quart trimestre i de l'exercici complet. Els ingressos del quart trimestre de la companyia van augmentar el 5% interanual fins als 838, 5 milions de dòlars. El resultat net del trimestre va augmentar el 40% interanual fins als 172, 3 milions de dòlars. Els ingressos i beneficis durant tot l'any també van augmentar respecte al 2016: els ingressos van augmentar del 7% fins als 3.400 milions de dòlars, mentre que els ingressos nets van augmentar un 20% fins als 587, 3 milions de dòlars. La companyia va dir que el hack hauria costat 26, 5 milions de dòlars al quart trimestre i 114, 0 milions de dòlars durant tot l'any, al marge dels pagaments d'assegurances. L'acció, que va tancar l'1, 3% d'acord amb el S&P 500, va augmentar el 0, 6% en les operacions posteriors al moment de l'escriptura.

Segons Equifax, es van exposar fins a 209.000 números de targetes de crèdit de clients, i es van comprometre els documents de disputa relacionats amb 182.000 consumidors nord-americans, que inclouen informació personal. Els consumidors britànics també han estat afectats per l'incompliment; és possible que alguns canadencs estiguessin compromesos. Segons el Wall Street Journal, que cita una font sense nom, es van robar 10, 9 milions de dades de la llicència de conduir nord-americana a la violació.

La companyia coneixia l’atac des del 29 de juliol, però va esperar més d’un mes per alertar el públic. El 20 de setembre es va informar que Mandiant, la filial FireEye Inc. (FEYE), contractada per Equifax, calcula que l’incompliment es remuntava a almenys el 10 de març.

Hi ha poca informació sobre la font de l’atac, que està investigant el FBI, però segons Bloomberg, les semblances amb atacs anteriors a l’Oficina de Gestió de Personal i a l’Himne Inc suggereixen que l’atacant podria ser patrocinat per l’estat, potser xinès. Que la informació dels clients d’Equifax no ha aparegut al mercat negre també suggereix que els hackers no eren simplement delinqüents. Bloomberg també informa que els atacants van apuntar a persones específiques, potser per la seva riquesa o valor d'intel·ligència.

Tenint en compte que la població adulta dels EUA és d’uns 250 milions, és probable que es produeixi l’incompliment. També és possible que ja hagueu estat víctima d’un frau, ja que l’atac va començar fa gairebé sis mesos.

Equifax, amb seu a Atlanta, una de les tres grans agències d'informes de crèdit al consumidor, les altres dues són Experian PLC (Londres: EXPN) i TransUnion (TRU) - recopila dades que inclouen números de Seguretat Social, números de targeta de crèdit, números de llicència de conduir, lloguer i utilitat informació de pagament i dades demogràfiques. Atès que el model d'Equifax és principalment negoci a negoci, molts dels seus clients desconeixen que les seves dades són emmagatzemades per l'empresa. A banda d’evitar el sistema financer i de crèdit del tot, no hi ha una manera senzilla d’optar per no emmagatzemar dades personals per Equifax. (Vegeu també, els cinc grans blocs de dades de la targeta de crèdit de la història. )

Com comprovar si us van afectar

Equifax ha configurat un lloc on podreu comprovar si la vostra informació ha estat compromesa donant el vostre cognom i els sis últims dígits del vostre número de Seguretat Social. Aquest lloc ha estat objecte d’intenses crítiques i hem eliminat l’enllaç per qüestions sobre la seva seguretat. Es va crear mitjançant WordPress, una plataforma de blocs fora de la plataforma. Està allotjat en un domini independent del lloc principal d'Equifax. La companyia va oblidar el registre d’URL similars, que es podrien utilitzar per a atacs de pesca; un hacker de barrets blancs va configurar un lloc com aquest per demostrar-se un punt i un compte oficial d'Equifax va retuver l'enllaç al lloc fals. Més d'una vegada.

Equifax va oferir als clients –afectats o no- els següents serveis, que denomina TrustedID Premier: còpies d’un informe de crèdit d’Equifax, supervisió de crèdits i alertes automatitzades per a les tres principals agències de crèdit, la possibilitat de bloquejar l’accés de tercers al seu informe de crèdit Equifax. (excepte), seguiment de números de la Seguretat Social i 1 milió de dòlars en assegurança de robatori d’identitat. El termini per sol·licitar-se era el 21 de novembre de 2017.

La companyia diu que aquests serveis són gratuïts, però inicialment no es va fer una congelació de seguretat en un fitxer de crèdit, almenys no per a tothom. Quan vaig intentar congelar un fitxer de crèdit Equifax el 8 de setembre, el lloc de la companyia va dir que el servei costaria 3, 00 dòlars i va sol·licitar informació de la targeta de crèdit per processar el pagament.

Captura de pantalla des de www.freeze.equifax.com (8 de setembre de 2017 a les 11: 46h EDT).

Com a resident a Nova York, vaig poder fer una congelació gratuïta al meu fitxer Experian. El lloc de TransUnion no ha pogut processar la sol·licitud inicialment (probablement símptoma d’un augment del trànsit), però després em va permetre fer una congelació gratuïta.

En un comunicat per correu electrònic, un portaveu d’Equifax va dir a Investopedia el 14 de setembre que la firma renuncia a tots els càrrecs per congelar arxius de crèdit i que automàticament retorna als clients que pagaven per fer-ho després que el hack es fes públic. Una nova preocupació –i un clar lapse de seguretat– ha sorgit ara sobre els PIN que l’empresa va emetre als clients que havien congelat els seus informes de crèdit. Aquests PIN, que permeten als clients no congelar informes de crèdit, segueixen un patró fàcilment identificable. El portaveu va dir que els clients amb aquests PIN defectuosos han de trucar al 866-349-5191 per parlar amb un agent en viu.

Si heu rebut un PIN després d’haver informat el hack, és possible que el vostre sigui un dels defectuosos. Tenir-ho arreglat no és fàcil. Les dotze trucades a la línia del matí del 15 de setembre van produir vuit senyals ocupats i quatre casos de silenci total.

Els serveis de TrustedID Premier, els llistats Equifax com a gratuïts només són gratuïts durant un any. Un portaveu d’Equifax va dir a Investopedia que la companyia no sol·licita informació de la targeta de crèdit quan els clients s’inscriuen al servei i que l’empresa no la renovarà ni cobrarà cap taxa. La tarifa estàndard d’Equifax per al seguiment de crèdits és de 17 dòlars al mes.

Què fer si us van afectar

Liz Weston, escriptora de finances personals de NerdWallet, ofereix els següents consells per als afectats per la bretxa Equifax, que va compartir amb Investopedia en un correu electrònic: "Equifax contactarà amb les víctimes i els oferirà un control de crèdit. Les víctimes haurien d'assegurar-se que Acceptar el seguiment no impedeix que s’uneixin a plets o altres accions per la via. "

Inicialment, la pàgina de serveis de TrustedID Premier (versió arxivada) de fet exigia als usuaris renunciar al seu dret a unir-se a una demanda d’acció de classe contra Equifax: "En consentir-vos a enviar les vostres reclamacions a l’arbitratge, perdreu el vostre dret a presentar o participar. en qualsevol acció de classe (ja sigui com a demandant o membre de la classe) o per participar en premis d’acció de classe, incloses les reclamacions de classe on encara no s’hagi certificat una classe, fins i tot si els fets i les circumstàncies en què es basen les reclamacions ja s’han produït. o existia ". Després d'una reacció, la pàgina de preguntes freqüents de l'empresa es va actualitzar per afirmar que la clàusula s'aplicava al servei TrustedID Premier, no el hack. A partir del matí del 12 de setembre, els termes del servei ja no inclouen una clàusula arbitral.

Weston diu que els clients afectats han de considerar la congelació dels seus informes de crèdit a les tres operacions principals. Com s'ha esmentat anteriorment, les agències de crèdit poden cobrar comissions per iniciar aquesta congelació. També se us pot carregar per no congelar comptes quan necessiteu una revisió de crèdit (per sol·licitar el servei de telefonia mòbil, per exemple). Aquestes taxes generalment són inferiors a 10 dòlars, però es poden sumar. Weston assenyala que una altra opció és posar una alerta de frau als informes de crèdit a les tres oficines de crèdit. (Per obtenir més informació, vegeu Com es pot recuperar del robatori d'identitat .)

També hi ha disponibles altres serveis de control de crèdits, no patrocinats per Equifax. Serveis de protecció de robatori d’identitat: val la pena tenir-ne ">

Resposta d'Equifax

El llavors president i conseller delegat d'Equifax, Richard Smith, va dir després de la pirateria que "va ser clarament un incident decebedor per a la nostra empresa, i que crida l'atenció de qui som i què fem". Va abandonar el 26 de setembre i no rebrà cap bonificació per al 2017. A la seva sortida van seguir els de l’oficial de seguretat Susan Mauldin i l’oficial d’informació David Webb el 14 de setembre.

Pocs dies després que la companyia destapés el pirateig internament, i abans que es pogués revelar l’incompliment al públic, el màxim responsable financer d’Equifax, John Gamble, el seu president de solucions de mà d’obra, Rodolfo Ploder, i el seu president de solucions informatives dels Estats Units, Joseph Loughran, van vendre les seves accions d’Equifax. Equifax va dir en un comunicat que els executius no coneixien l’incompliment quan van vendre les seves accions. Gamble, Ploder i Loughran van guanyar col·lectivament prop de 1, 8 milions de dòlars de les vendes.

Al 28 de febrer, les accions d'Equifax havien caigut un 20, 1% des del tancament del 7 de setembre (abans que s'anunciés el hack) fins als 113, 00 dòlars. Després de diversos retards, Equifax diu que reportarà els resultats del quart trimestre després de tancar-se l'1 de març.

Comencem els plets

Reuters va informar l'11 de setembre que més de 30 demandes, moltes d'elles que demanen accions de classe, s'han presentat contra Equifax als tribunals dels Estats Units. Diversos al·leguen violacions de la llei de valors; altres acusen TrustedID de llançar serveis costosos als clients afectats per l'incompliment de dades. Cinc residents d'Utah han demandat a la companyia al Tribunal de Districte dels Estats Units per no haver protegit les dades sensibles dels clients. La demanda demana danys monetaris per valor de 5.000 milions de dòlars i la imposició d’estàndards de la indústria més estrictes.

Alguns clients afectats estan fent un recorregut menys tradicional a buscar recurs a Equifax. El xat de DoNotPay proporciona ajuda per presentar una denúncia en tribunals de reclamacions petites estatals, on les penes màximes oscil·len entre 2.500 i 25.000 dòlars. Segons el Revetlla, el bot només pot generar tràmits per a una demanda, no presentar-la ni presentar-la al jutjat.

El FBI i el fiscal nord-americà amb seu a Atlanta, John Horn, van anunciar una investigació criminal sobre la violació el 18 de setembre. La Oficina de Protecció Financera del Consumidor i 34 procuradors generals de l'estat duen a terme investigacions.

Smith va a Washington

El 3 d'octubre, l'exministre general de la regió, Richard Smith, va declarar davant el subcomitè de la Casa de Comerç Digital i Protecció del Consumidor. Es va disculpar diverses vegades per la falta de protecció de les dades dels consumidors per Equifax i va plantejar-se preguntes sobre diversos problemes relacionats amb la violació i la resposta de Equifax. Les existències de la companyia van augmentar després del testimoni, però es van mantenir molt per sota dels nivells en què es comercialitzava abans de la divulgació.

En resposta a preguntes relacionades amb la controvertida clàusula arbitral que inicialment es va incloure en els termes del servei de TrustedID Premier, Smith va dir que la clàusula "placa de caldera" mai no s'havia d'aplicar a la violació i va considerar que la seva inclusió era un "error". No diria el mateix de les clàusules similars que regulen altres serveis d'Equifax, que ell va anomenar "estàndard".

Les vendes d’equips executius cronometrats sospitosament també van ser objecte de revisió: el representant Jan Schakowsky, un demòcrata d’Illinois, va dir que la venda “no passa la prova de l’olfacte”, però Smith va dir que “, segons el que sabia, no sabien” sobre l’incompliment en aquell moment.

Smith va descriure l’incompliment com a resultat d’un error humà i un fracàs tecnològic: l’encarregat d’assegurar-se de pegar el programari Apache Struts –que tenia una vulnerabilitat coneguda públicament pels atacants explotats– no ho va fer, i un escàner que tindria. va alertar l’empresa d’aquell error que també va fallar.

També es va criticar la resposta fallida de la companyia a la crisi: configurar un lloc de WordPress amb una URL sospitosa, no aconseguir dominis similars (i fins i tot dirigir els clients cap a un d'aquests dominis), no poder adequar centres de trucades de personal i, en general, crear la impressió que l’empresa –que existeix per recopilar, protegir i vendre dades sensibles– no estava totalment preparada per a un ciberataque a les seves bases de dades. El representant Markwayne Mullin, un republicà d'Oklahoma, va dir a Smith que la seva resposta hauria d'haver estat com disparar una alarma de foc: "de seguida es produeix al seu lloc". Smith va respondre que el seu equip "seguia el protocol". Diversos representants van mencionar que Smith va pronunciar un discurs que va descriure el frau com una "oportunitat enorme" i un "negoci massiu i en creixement" a l'agost, després que se'n sabés de l'incompliment.

Smith va negar a respondre preguntes sobre la font de l’atac, inclòs si es podria tractar d’un actor d’estat. Va dir simplement que el FBI està fent una investigació. Va defensar les inversions d’Equifax en ciberseguretat durant el seu mandat, dient que quan va arribar fa dotze anys, pràcticament no hi havia inversions en protecció de dades. Smith va gastar un quart de mil milions de dòlars i va contractar un equip de 225 persones per assegurar les dades de la companyia, va dir Smith, invertint la norma industrial del 10-14% del pressupost informàtic de la companyia en ciberseguretat.

Alguns representants van indicar que la violació ha obert qüestions fonamentals sobre el paper de la indústria de control de crèdit i els drets dels consumidors. "Què passa si vull optar per Equifax?" Va preguntar Schakowski. Smith va respondre que "això requereix una discussió molt més àmplia sobre el paper de les agències informatives de crèdit". El representant Tonko, demòcrata de Nova York, es va fer ressò del sentiment, assenyalant que realment no és un "client", mai no ha triat negociar amb Equifax. "Per què es permet que aquesta empresa continuï existint?" va preguntar. En diversos punts, Smith va posar en dubte el valor dels números de la Seguretat Social com una manera de demostrar la identitat i va fer referències vages a la devolució de "poder al consumidor".

La pregunta més gran del dia venia de la demòcrata californiana Doris Matsui: "Tinc les meves dades?" Smith no va poder respondre. (Vegeu també, Blockchain us podria fer que no sigui Equifax: el propietari de les vostres dades. )