Rick Smith, Vorsitzender und CEO von Equifax, über einen Cybersicherheitsvorfall mit Verbraucherdaten.
Nach dem massiven Datenverstoß, den Equifax Anfang September der Öffentlichkeit bekannt gab, tauchten Nachrichten über einen zweiten, früheren Angriff auf die Kreditauskunftei auf. Obwohl es sich ursprünglich nur um ein Gerücht aus anonymen Quellen handelte, bestätigte Equifax dies am 19. September sekundärer Hack, der im März stattfand, obwohl das Unternehmen bestritt, dass es irgendetwas damit zu tun hatte größerer Hack. Um das Ganze noch schlimmer zu machen, hat Equifax nun unbeabsichtigt zu einer Phishing-Kampagne beigetragen, indem es seine Kunden auf eine Phishing-Website und nicht auf sein eigenes Portal zur Meldung von Verstößen weitergeleitet hat.
Empfohlene Videos
Die bisherige Kette der Ereignisse
Wie ursprünglich von der New York Times berichtet, Der erste Cyberangriff, von dem wir erfahren haben, ereignete sich irgendwann zwischen Mitte Mai 2017 und dem 29. Juli, als der Einbruch entdeckt wurde. Was den Equifax-Angriff besonders problematisch macht, ist der Status des Unternehmens als zentrale Clearingstelle für sensible Kredite Informationen wie Sozialversicherungsnummern, Führerscheinnummern und andere Daten, die auf verschiedene Weise verwendet werden können, um ihnen Schaden zuzufügen betroffen.
Der frühere Datenverstoß bei Equifax soll im März stattgefunden haben, obwohl Equifax dies behauptet Einige anonyme Quellen sagten, der frühere Hack habe nichts mit dem Hack zu tun, der später im Jahr stattfand ansonsten. In beiden Fällen beauftragte Equifax jedoch die Dienste des digitalen Sicherheitsunternehmens Mandiant mit der Untersuchung.
Verwandt
- Wenn Sie PayPal nutzen, könnten Ihre personenbezogenen Daten kompromittiert worden sein
- Microsoft-Datenverstoß legte sensible Daten von 65.000 Unternehmen offen
- Persönliche Daten von 69 Millionen Neopets-Nutzern stehen nach einer Datenpanne nun zum Verkauf
Am 2. Oktober gab Equifax bekannt, dass Mandiant seine forensische Untersuchung bzgl. abgeschlossen hat der Verstoß vom 7. September und dass möglicherweise weitere 2,5 Millionen Amerikaner davon betroffen waren hacken. Damit beläuft sich die Gesamtzahl der Betroffenen auf 145,5 Millionen. Mandiant fand jedoch keine weiteren Hinweise auf neue Hacking-Aktivitäten. Darüber hinaus schien es, dass die Auswirkungen des Verstoßes nicht über Nordamerika hinausgingen – möglicherweise waren auch etwa 8.000 Kanadier (und nicht 100.000, wie bisher angenommen) betroffen.
„Mir wurde am Sonntag mitgeteilt, dass die Analyse der Anzahl der potenziell von dem Cybersicherheitsvorfall betroffenen Verbraucher durchgeführt wurde abgeschlossen, und ich habe angeordnet, dass die Ergebnisse umgehend veröffentlicht werden“, sagte der neu ernannte Interims-CEO Paulino do Rego Barros, Jr. sagte. „Unsere Prioritäten sind Transparenz und die Verbesserung der Unterstützung für Verbraucher. Ich werde unsere Fortschritte weiterhin täglich überwachen.“
In einer schriftlichen Zeugenaussage sagte der frühere CEO Richard Smith vor dem Energie- und Handelsausschuss: „Es scheint, dass der Verstoß sowohl auf menschliches Versagen als auch auf Technologieversagen zurückzuführen ist.“
Kürzlich hinzugefügt Beleidigung zur VerletzungDer Twitter-Account von Equifax hat kürzlich Kunden auf die Website „securityequifax2017.com“ weitergeleitet, eine gefälschte Website, die eindeutig die Webadresse der echten Website ausspielt: equifaxsecurity2017.com. Der Tweet wurde natürlich inzwischen entfernt, aber es ist nicht das erste Mal, dass Equifax Leute auf die Phishing-Seite weiterleitet. Beachten Sie, dass Google Chrome die gefälschte Website jetzt als irreführend kennzeichnet.
Mark Coppock/Digitale Trends
Welche Daten wurden gestohlen?
Obwohl es zum jetzigen Zeitpunkt unwahrscheinlich erscheint, dass bei dem ursprünglichen Hack weitere persönliche Daten von Equifax-Kunden gestohlen wurden, wirft dies ernsthafte Fragen zur Reaktion des Unternehmens auf. Es ist möglich, dass das Gesetz von Equifax verlangte, Informationen darüber viel früher offenzulegen, als das Unternehmen dies tat, und das hier Die Entwicklung wirft ein noch härteres Licht auf einige der verdächtigen Aktienverkäufe, die von Equifax-Führungskräften im Jahr getätigt wurden August.
Das US-Justizministerium hat demnach eine strafrechtliche Untersuchung der Aktienverkäufe eingeleitet Bloomberg-Quellen.
Obwohl die Equifax-Verstöße gemessen an der Zahl der Opfer nicht die größten sind – An den Angriffen von Yahoo waren mehr Menschen beteiligt, und das HBO One hat weitere Spoiler veröffentlicht – Es ist besorgniserregend wegen der Art der gestohlenen persönlichen Daten. Beispiele für sensible Informationen sind 209.000 Kreditkartennummern, persönliche Informationen im Zusammenhang mit Kreditstreitigkeiten von 182.000 Opfern sowie Daten, die für den Zugriff weiter verwendet werden könnten Krankengeschichten, Bankkonten und mehr.
An 15. SeptemberEquifax veröffentlichte weitere Informationen über den Hack und stellte außerdem fest, dass zwei leitende Angestellte – der Chief Information Officer und der Chief Security Officer gingen „in den Ruhestand“. Angesichts der jüngsten Ereignisse steckt hinter der Geschichte jedoch wahrscheinlich mehr als nur das bloße Ruhestand. Equifax gab außerdem bekannt, dass seine internen Ermittlungen noch andauern und dass das Unternehmen „bei seinen Ermittlungen weiterhin eng mit dem FBI zusammenarbeitet“. Bisher war es soweit enthüllte, dass Equifax verdächtige Aktivitäten erstmals am 29. Juli 2017 bemerkte, aber bis zum 2. August wartete, um ein Cybersicherheitsunternehmen zu kontaktieren und eine „umfassende forensische Überprüfung“ durchzuführen.
Pamela Dixon, Geschäftsführerin der gemeinnützigen Forschungsgruppe World Privacy Forum, sagte in einer Erklärung: „Das ist so schlimm wie es nur geht.“ Wenn Sie über eine Bonitätsauskunft verfügen, ist die Wahrscheinlichkeit groß, dass Sie von dieser Datenschutzverletzung betroffen sind. Die Chancen stehen deutlich besser als 50 Prozent.“
Was kann man dagegen tun?
Laut einer Pressemitteilung des Büros von Senator Mark Warner (D. Virginia) wirft der Equifax-Angriff wichtige Fragen über die Rolle der Regierung bei der Reaktion auf die anhaltende Bedrohung persönlicher Daten auf.
„Während sich viele vielleicht daran gewöhnt haben, alle paar Wochen von einer neuen Datenschutzverletzung zu hören, ist das Ausmaß dieser Verletzung – die Sozialversicherung betreffend.“ Zahlen, Geburtsdaten, Adressen und Kreditkartennummern von fast der Hälfte der US-Bevölkerung – wirft ernsthafte Fragen auf, ob der Kongress dies tun sollte nicht nur einen einheitlichen Standard für die Meldung von Datenschutzverletzungen schaffen, sondern auch, ob der Kongress die Datenschutzrichtlinien überdenken muss, damit Unternehmen wie Equifax haben weniger Anreize, große, zentralisierte Sätze hochsensibler Daten wie SSNs und Kreditkarteninformationen über Millionen von zu sammeln Amerikaner.“
Es ist wahrscheinlich, dass Warren und. solche Angriffe als „eine echte Bedrohung für die wirtschaftliche Sicherheit der Amerikaner“ bezeichnen Andere Regierungsbeamte werden auf Gesetze drängen, die einen stärkeren Verbraucherschutz vor Daten schaffen Diebstahl. Warner hat an der Entwicklung genau dieser Art von Gesetzgebung gearbeitet, und das wird sich wahrscheinlich noch beschleunigen.
Equifax wird außerdem schriftliche Mitteilungen an alle potenziell betroffenen US-Verbraucher verschicken, und das Online-Tool, mit dem Menschen ihr Risiko ermitteln können, wurde ebenfalls aktualisiert.
„Ich möchte mich noch einmal bei allen betroffenen Verbrauchern entschuldigen. Da diese wichtige Phase unserer Arbeit nun abgeschlossen ist, unternehmen wir weiterhin zahlreiche Schritte zur Überprüfung und Verbesserung unserer Cybersicherheitspraktiken. Wir arbeiten auch weiterhin eng mit unserem internen Team und externen Beratern zusammen, um langfristige Sicherheitsverbesserungen umzusetzen und zu beschleunigen“, fügte Barros Anfang Oktober hinzu.
Gehen Sie zu equifaxsecurity2017.com Lern mehr über den Angriff, Finden Sie heraus, ob Sie betroffen sind, Und Melden Sie sich für den kostenlosen Schutz vor Identitätsdiebstahl an und Dateiüberwachungsdienste.
Aktualisiert: Equifax hat erfahren, dass weitere 2,5 Millionen Amerikaner von dem Verstoß betroffen sein könnten.
Empfehlungen der Redaktion
- Hack umfasste die Daten der gesamten Bevölkerung eines Landes
- Hacker haben 1,5 Millionen US-Dollar mit im Dark Web gekauften Kreditkartendaten gestohlen
- Eine Datenschutzverletzung kann Millionen von Dollar kosten – und Sie zahlen möglicherweise dafür
- Hacker stiehlt in einem beispiellosen Datenverstoß die Daten von 1 Milliarde Menschen
- Hacker hatten es auf AMD abgesehen, riesige 450 GB streng geheimer Daten zu stehlen
