Тихим днем в начале сентября 2017 года Equifax обнаружил чрезвычайное нарушение безопасности, которое, по оценкам, затронуло почти 200 миллионов человек во всем мире. Учитывая, что компания впервые обнаружила нарушение в июле, это должно было предоставить достаточно времени для подготовки ответа и решения для всех затронутых лиц. Вместо этого Equifax продолжил предоставлять миру прекрасный пример того, как не справиться с серьезным нарушением безопасности.
Благодаря огромному объему утечки данных, запутанному юридическому и ужасно небезопасному веб-сайту ответов, Equifax получил все это. Добавьте обвинения в инсайдерской торговле, плохую коммуникацию, 30-процентное падение стоимости акций, наряду с дальнейшими утечками данных, и компания, похоже, настроилась на резкое падение с благодати. Что ж, такая же благодать, как у агентства кредитных отчетов, вы никогда явно не соглашались передавать свои конфиденциальные данные.
EquiBreach
В первом заявлении Equifax о нарушении говорилось, что до 144 миллионов американцев могли поставить под угрозу свою кредитную информацию. Это включало имена, адреса, номера социального страхования (SSN), даты рождения и финансовые записи. Компания также сообщила, что номера кредитных карт для 209 000 американских потребителей были включены в нарушение. Кроме того, протокольные записи с информацией, позволяющей установить личность, для 189 000 физических лиц были утечки.
Первоначальные сообщения в СМИ упоминали пострадавших как клиентов Equifax. Тем не менее, вы на самом деле не являетесь клиентом Equifax, Experian, TransUnion или любого другого агентства кредитной отчетности. Эти агентства собирают данные от ряда различных поставщиков услуг и финансовых продуктов. Затем данные используются для создания вашего кредитного рейтинга, что позволяет кредитору оценить риск, который вы представляете. Подаете заявку на кредит, кредитную карту или ипотеку? Так принимается решение.
Оценка воздействия и TrustedID Premier
Чтобы компенсировать потерю данных почти половиной взрослого населения США, Equifax создал веб-сайт equifaxsecurity2017.com . Здесь вы можете ввести свое имя и частичный номер SSN и выяснить, не были ли ваши данные среди тех, которые просочились. Кроме того, вы можете зарегистрироваться в их сервисе TrustedID Premier. Это кредитный отчет из трех бюро и инструмент мониторинга SSN, который дополняет потребителей США в течение года.
Тем не менее, в их первоначальном раскрытии, и в течение недели после этого, Equifax был удивительно молчалив о деталях. Тип атаки, виновник, и почему он мог продолжать так долго, без обнаружения, оставалось секретом.
Это заставило многих заподозрить, что на стороне Эквифакса была виновность. Шесть дней спустя, после огромного общественного протеста и вмешательства со стороны двухпартийной группы сенаторов, Equifax наконец признал, что для атаки использовался известный эксплойт Apache Strut (CVE-2017-5638) — патч, для которого был выпущен в марте 2017 года, два месяца до нарушения Эквифакса. Это доказало, что, как и в случае с WannaCry в начале года , не обновление вашего программного обеспечения может иметь разрушительные последствия.
Не только американские потребители
Хотя с самого начала об этом не сообщалось, Equifax был вынужден признать, что информация о «ограниченном числе» жителей Великобритании и Канады также была включена в нарушение. До 44 миллионов британских потребителей, возможно, даже не знали, что американское кредитное агентство располагает их данными. Однако его предоставили такие компании, как BT, British Gas и Capital One. Британское кредитное агентство объявило ранним вечером в пятницу 15 сентября, что пострадали 400 000 жителей Великобритании. Эта подозреваемая попытка скрыть новость выявила «провал процесса», который длился полвека. Тем не менее, никаких рекомендаций для жителей Великобритании или Канады не предлагалось.
Сайт Equifax Горе
По причинам, которые еще предстоит объяснить, Equifax запустила отдельный веб-сайт для ответа на нарушение. Учитывая, что сайт был создан в ответ на серьезное нарушение безопасности, вы можете себе представить, что были приняты все меры предосторожности, чтобы сайт был ярким маяком стабильности. Вместо этого большой объем американских потребителей, желающих проверить свою информацию, ошеломил их. Это привело к тому, что многие не смогли получить доступ к сайту или загрузить результаты своей оценки воздействия.
Даже в этом случае количество посещений сайта могло бы быть больше, если бы не плохая конфигурация сайта. В книге большинства людей сайт за пределами домена с сомнительными ключевыми словами может показаться фишингом. OpenDNS, похоже, согласился и заблокировал доступ к сайту для многих пользователей. Чтобы усилить чувство иронии, чтобы завершить оценку, вы должны ввести последние шесть цифр своего SSN. Это те же данные, которые Equifax уже доказал, что они не могут защитить!
Непроверяемые результаты
Через несколько часов после запуска сайта появились сообщения, что вы даже не могли доверять результатам их оценки воздействия. Многократный ввод одних и тех же данных даст разные ответы относительно того, были ли на вас затронуты. Некоторые люди даже пытались ввести заведомо ложную информацию. Они с тревогой обнаружили, что Эквифакс скажет несуществующему человеку, что его данные были пропущены.
Если вы согласились с тем, что ваши данные были фактически скомпрометированы в результате взлома, Equifax приветствовал вас расплывчатым заявлением о нарушении и призвал вас зарегистрироваться в TrustedID Premier. Принимая во внимание тот факт, что источником нарушения был Equifax, кажется, что у них плохой вкус, что они побудят вас подписаться на бесплатную пробную версию собственной службы защиты от мошенничества.
Те, кто подписался на TrustedID Premier, смогли заморозить кредит и получили PIN-код подтверждения. Тем не менее, PIN-код представлял собой временную метку, когда было выполнено замораживание. Это сделало бы ПИН-код бесполезным — его можно легко угадать, что позволит любому человеку разблокировать кредит. Несмотря на первоначальные отказы, Equifax позже сказал, что они переходят на новый метод, который будет случайным образом генерировать PIN-код. Кроме того, они позволят потребителям запрашивать новый PIN-код для отправки на зарегистрированный почтовый адрес.
Легальный разгром
Когда Equifax впервые запустил веб-сайт equifaxsecurity2017, Условия предоставления услуг для TrustedID Premier, по-видимому, подразумевали, что при использовании службы вы отказываетесь от своего права на участие в любом групповом иске против компании в будущем. Шум от этой кажущейся несправедливости заставил Equifax выпустить обновление на следующий день. Теперь они заявили, что арбитражная оговорка не применима к нарушению безопасности.
Это мало помогло заверить людей, которые по понятным причинам не были убеждены в том, что почти неделю спустя они сделали еще одно заявление о том, что они «удалили этот язык из Условий использования TrustedID Premier и не будут применяться к бесплатным продуктам, предлагаемым в ответ на инцидент с кибербезопасностью». или для претензий, связанных с самим инцидентом кибербезопасности. Арбитражный язык не будет применяться к любому потребителю, который подписался до того, как язык был удален ».
Взятый на задание
В ходе акции, которую Equifax утверждает, что это было полное совпадение, всего через два дня после того, как они впервые обнаружили брешь, три старших руководителя продали акции на общую сумму 1,8 миллиона долларов. Эта значительная продажа произошла всего через несколько дней после обнаружения нарушения, но за месяц до того, как они публично раскрыли его. Если бы люди знали о бреши в системе безопасности, они бы нарушали законы об инсайдерской торговле. Так или иначе, их своевременная продажа была удачной. На момент написания статьи акции Equifax упали на 30 процентов с момента раскрытия нарушения.
Учитывая очень чувствительную природу взлома, многие пострадавшие по понятным причинам критически относятся к очевидной слабой безопасности Equifax. Например, USA Today сообщила, что за несколько дней после раскрытия было подано 23 иска в 14 штатах против агентства кредитной отчетности. Как сообщает Bloomberg , коллективный иск, поданный в Орегоне, требует взыскания до 7 миллиардов долларов. Даже если суд присудит такую большую сумму, она составит чуть менее 500 долларов на человека. Кажется ли этого достаточно, чтобы компенсировать пожизненный риск кражи личных данных?
Джошуа Браудер, создатель бота DoNotPay , расширил его функциональность, чтобы упростить процесс обращения в суд мелких тяжб за ущерб, связанный с нарушением Equifax. Это замечательно и имеет большое значение для облегчения усвоения часто сложной юридической документации. Однако в некоторых сообщениях утверждается, что бот DoNotPay, изначально разработанный для помощи в борьбе с штрафами за парковку, может автоматизировать весь процесс. Как отмечает TechCrunch , все, что бот на самом деле делает, — это помогает с первоначальными документами — вам все равно придется бороться с делом в суде.
Постоянная головная боль во всем мире
Если остались какие-либо сомнения относительно плохой практики обеспечения безопасности Equifax, то пример из аргентинского подразделения Equifax, скорее всего, полностью его устранит. Впервые сообщенный KrebsOnSecurity , он-лайн портал, используемый сотрудниками для урегулирования кредитных споров под названием Veraz (что означает правдивый на испанском языке), оказался уязвимым. Вы можете ожидать, что уязвимость будет технической, но вместо этого это была одна из самых основных ошибок безопасности: плохие пароли . Невероятно упрощенная и во многих случаях комбинация имени пользователя и пароля по умолчанию admin / admin позволила любому, кто заходил на сайт, войти в портал для сотрудников.
Шокирующе это позволило вам просматривать, редактировать и удалять имена пользователей и пароли для более чем 100 сотрудников аргентинской компании Equifax. В каждом случае пароли в виде открытого текста совпадали с именем пользователя сотрудника. Если это было недостаточно серьезно, на сайте была страница с 715 страницами подробных отчетов по каждой жалобе или спору, зарегистрированных в Equifax. Эта информация включала DNI (аргентинский эквивалент SSN) для более чем 14 000 человек — опять же, все в открытом виде. Equifax быстро перевел сайт в автономный режим после того, как с ним связалась KrebsOnSecurity, и в настоящее время изучает их последние ошибки в безопасности.
Что ты можешь сделать?
Первым шагом является использование веб-сайта Equifax для проверки того, были ли ваши данные затронуты нарушением проверить, были ли ваши данные украдены в нарушении Однако, поскольку результаты могут быть противоречивыми, лучше предположить, что вы были затронуты. Теперь, когда компания прояснила язык вокруг нее, подпишитесь на их сервис TrustedID Premier. Это позволит вам заблокировать кредит и не позволяйте никому открывать кредит на ваше имя. Учитывая деликатный характер данных, потерянных в результате утечки, у мошенников есть возможность торговать своими товарами, поэтому будьте бдительны против социальной инженерии и фишинг-мошенничество
Во многих случаях утечки данных мы часто советуем вам сменить пароли, начните использовать менеджер паролей. менеджеры , зарегистрируйтесь в HaveIBeenPwned утекли пропали , включите двухфакторную аутентификацию двухфакторная аутентификация где это возможно, и улучшения вашей кибер-гигиены Хотя ни одно из этих действий не защитит вас от утечки Equifax, ужесточение мер безопасности не причинит вам вреда. Возможно, учитывая обстоятельства, даже стоило бы пройти лишнюю милю и выполнить полную проверку безопасности проверки
Equihaxxed
Нарушение Equifax, скорее всего, станет самым значительным событием в области безопасности за год, когда произойдет утечка данных и вымогательство. Как и в случае других важных событий в сфере безопасности, таких как WannaCry и бесконечный поток утечек данных, в поразительной природе взлома Equifax можно найти серебряную накладку. Привлекая внимание общественности к безопасности данных, отчетам о кредитных операциях и злоупотреблениям корпораций, существует возможность обсудить и смягчить эти вопросы. Надеемся, что сильный ответ многих сенаторов США обеспечит, чтобы это нарушение не исчезло на заднем плане. Equifax, по крайней мере, признал, что некоторые кадровые изменения требуются — в результате директор по информации и директор по безопасности «удалились» .
Несмотря на его высокий профиль и огромный охват, до сих пор нет информации о том, кем были злоумышленники. Эквифакс, со своей стороны, полностью молчал по этому вопросу — в соответствии с остальной частью их плохо управляемой реакции. Спустя всего несколько дней после того, как нарушение было обнародовано, появилась группа, которая требовала получить данные и потребовала выкуп в 600 биткойнов. После того, как исследователи обнаружили хостинг сайта .onion, он был быстро закрыт.
Отдельно группа, называющая себя Equihax, также утверждала, что владеет данными, но не представила никаких поддающихся проверке доказательств . Учитывая, насколько потенциально выгодны данные, вы можете быть уверены, что скоро хакеры попытаются заработать.
На вас повлияло нарушение безопасности Equifax? Как вы думаете, виноват ли Equifax, и могли ли они сделать больше, чтобы защитить вас? Дайте нам знать об этом в комментариях!
Кредит изображения: stevanovicigor / Depositphotos