Rick Smith, bestyrelsesformand og administrerende direktør for Equifax, om cybersikkerhedshændelse, der involverer forbrugerdata.
Efter det massive databrud, som Equifax afslørede for offentligheden i begyndelsen af september, er der kommet nyheder om et andet, tidligere angreb på kreditbureauet. Selvom det oprindeligt kun var et rygte fra anonyme kilder, bekræftede Equifax den 19. september sekundært hack, som fandt sted i marts, selvom firmaet nægtede, at det havde noget at gøre med større hack. For at føje spot til skade har Equifax nu uforvarende bidraget til en phishing-kampagne ved at sende sine kunder til et phishing-websted i stedet for sin egen portal for anmeldelse af brud.
Anbefalede videoer
Begivenhedskæden indtil videre
Som oprindeligt rapporteret af New York Times, det første cyberangreb, vi hørte om, fandt sted engang mellem midten af maj 2017 og den 29. juli, da indtrængen blev opdaget. Det, der gør Equifax-angrebet særligt besværligt, er virksomhedens status som et centralt clearinghus for følsomme kreditrelaterede oplysninger, herunder personnumre, kørekortnumre og andre data, der kan bruges på en række forskellige måder til at skade dem påvirket.
Det tidligere databrud hos Equifax siges at have fundet sted i marts, og selvom Equifax hævder, at dette tidligere hack havde intet at gøre med hacket, der fandt sted senere på året, har nogle anonyme kilder sagt Ellers. I begge tilfælde tog Equifax dog på sig tjenester fra det digitale sikkerhedsfirma Mandiant for at undersøge sagen.
Relaterede
- Hvis du bruger PayPal, kan dine personlige data være blevet kompromitteret
- Microsofts databrud afslørede følsomme data fra 65.000 virksomheder
- Persondata på 69 millioner Neopets-brugere er nu til salg efter et databrud
Den 2. oktober meddelte Equifax, at Mandiant havde afsluttet sin retsmedicinske undersøgelse vedr bruddet den 7. september, og at yderligere 2,5 millioner amerikanere kan være blevet påvirket af hacke. Dette bringer det samlede antal berørte personer op på 145,5 millioner. Mandiant fandt dog ikke yderligere beviser for ny hacking-aktivitet. Desuden ser det ud til, at virkningen af bruddet ikke strækker sig ud over Nordamerika - omkring 8.000 canadiere (ikke 100.000 som tidligere antaget) kan også være blevet påvirket.
"Jeg blev informeret søndag om, at analysen af antallet af forbrugere, der potentielt er påvirket af cybersikkerhedshændelsen, er blevet afsluttet, og jeg pålagde, at resultaterne straks skulle offentliggøres,” nyudnævnt midlertidig CEO, Paulino do Rego Barros, Jr. sagde. "Vores prioriteter er gennemsigtighed og forbedring af støtten til forbrugerne. Jeg vil fortsætte med at følge vores fremskridt på daglig basis."
I et skriftligt vidnesbyrd fortalte tidligere administrerende direktør Richard Smith til Energy and Commerce Committee: "Det ser ud til, at bruddet skete på grund af både menneskelige fejl og teknologisvigt."
For nylig tilføjede fornærmelse mod skade, Equifax Twitter-kontoen sendte for nylig kunder til webstedet "securityequifax2017.com", et falsk websted, der tydeligt afspiller det rigtige websteds webadresse: equifaxsecurity2017.com. Tweetet er naturligvis siden blevet fjernet, men det er ikke første gang, Equifax har sendt folk til phishing-siden. Bemærk, at Google Chrome nu markerer det falske websted som vildledende.
Mark Coppock/Digital Trends
Hvilke data blev stjålet?
Selvom det på dette tidspunkt forekommer usandsynligt, at flere personlige oplysninger om Equifax-kunder blev stjålet i det originale hack, rejser det alvorlige spørgsmål om firmaets svar. Det er muligt, at loven pålagde Equifax at afsløre oplysninger om det langt hurtigere, end firmaet gjorde og dette udvikling kaster et endnu skarpere lys over nogle af de mistænkelige aktiesalg foretaget af Equifax-chefer i August.
Det amerikanske justitsministerium har åbnet en strafferetlig efterforskning af aktiesalget, ifølge Bloomberg kilder.
Mens Equifax-brudene ikke er de største med hensyn til antallet af ofre - Yahoos angreb involverede flere mennesker, og HBO en dumpede flere spoilere - det er bekymrende på grund af den slags personlige oplysninger, der blev stjålet. Eksempler på følsomme oplysninger omfatter 209.000 kreditkortnumre, personlige oplysninger vedrørende kredittvister for 182.000 ofre og data, der kan bruges yderligere til at få adgang til sygehistorier, bankkonti og meget mere.
På 15. september, Equifax udgav flere oplysninger om hacket og bemærkede også, at to ledende medarbejdere - Chief Information Officer og Chief Security Officer gik på pension. I betragtning af de seneste begivenheder er der dog sandsynligvis mere i historien end blot pensionering. Equifax afslørede yderligere, at dets interne undersøgelse stadig er i gang, og at virksomheden "fortsætter med at arbejde tæt sammen med FBI i sin undersøgelse." Indtil videre har det været afslørede, at Equifax først bemærkede mistænkelig aktivitet den 29. juli 2017, men ventede til den 2. august med at kontakte et cybersikkerhedsfirma og foretage en "omfattende retsmedicinsk gennemgang."
Som Pamela Dixon, administrerende direktør for nonprofit-forskningsgruppen World Privacy Forum, sagde i en erklæring, at "Dette er omtrent så slemt, som det bliver. Hvis du har en kreditrapport, er der stor sandsynlighed for, at du er i dette brud. Chancerne er meget bedre end 50 procent.”
Hvad skal der gøres ved det?
Ifølge en pressemeddelelse udstedt af senator Mark Warners kontor (D. Virginia), rejser Equifax-angrebet vigtige spørgsmål om regeringens rolle i at reagere på den igangværende trussel mod personlige oplysninger.
"Mens mange måske har vænnet sig til at høre om et nyt databrud med nogle få ugers mellemrum, er omfanget af dette brud - involverer Social Security numre, fødselsdatoer, adresser og kreditkortnumre på næsten halvdelen af den amerikanske befolkning – rejser alvorlige spørgsmål om, hvorvidt Kongressen bør ikke kun skabe en ensartet standard for meddelelse om databrud, men også om Kongressen skal genoverveje databeskyttelsespolitikker, så virksomheder såsom Equifax har færre incitamenter til at indsamle store, centraliserede sæt meget følsomme data som SSN'er og kreditkortoplysninger om millioner af amerikanere."
Ved at kalde sådanne angreb "en reel trussel mod amerikanernes økonomiske sikkerhed", er det sandsynligt, at Warren og andre embedsmænd vil presse på for lovgivning, der skaber stærkere forbrugerbeskyttelse mod data tyveri. Warner har arbejdet på at udvikle netop den slags lovgivning, og det vil sandsynligvis accelerere.
Equifax vil også sende skriftlige meddelelser til alle potentielt berørte amerikanske forbrugere, og onlineværktøjet folk kan bruge til at bestemme deres risiko er også blevet opdateret.
"Jeg vil gerne undskylde igen til alle berørte forbrugere. Da denne vigtige fase af vores arbejde nu er afsluttet, fortsætter vi med at tage adskillige skridt for at gennemgå og forbedre vores cybersikkerhedspraksis. Vi fortsætter også med at arbejde tæt sammen med vores interne team og eksterne rådgivere for at implementere og accelerere langsigtede sikkerhedsforbedringer,” tilføjede Barros i begyndelsen af oktober.
Gå til equifaxsecurity2017.com for at Lær mere om angrebet, finde ud af, om du er berørt, og tilmelde dig gratis beskyttelse mod identitetstyveri og filovervågningstjenester.
Opdateret: Equifax har erfaret, at yderligere 2,5 millioner amerikanere kan være blevet berørt af bruddet.
Redaktørernes anbefalinger
- Hack involverede data fra hele en nations befolkning
- Hackere stjal 1,5 millioner dollars ved at bruge kreditkortdata købt på det mørke web
- Et databrud kan koste millioner af dollars - og du betaler det måske
- Hacker stjæler 1 milliard menneskers optegnelser i et hidtil uset databrud
- Hackere målrettede AMD for at stjæle enorme 450 GB tophemmelige data
