Rick Smith, Πρόεδρος και Διευθύνων Σύμβουλος της Equifax, σχετικά με περιστατικό κυβερνοασφάλειας που περιλαμβάνει δεδομένα καταναλωτών.
Μετά τη μαζική παραβίαση δεδομένων που η Equifax αποκάλυψε στο κοινό στις αρχές Σεπτεμβρίου, προέκυψε η είδηση για μια δεύτερη, παλαιότερη επίθεση στην πιστωτική εταιρεία. Αν και αρχικά ήταν απλώς μια φήμη από ανώνυμες πηγές, στις 19 Σεπτεμβρίου, η Equifax επιβεβαίωσε το δευτερεύον hack, το οποίο έλαβε χώρα τον Μάρτιο, αν και η εταιρεία αρνήθηκε ότι είχε οποιαδήποτε σχέση με το μεγαλύτερο hack. Προσθέτοντας προσβολή σε τραυματισμό, η Equifax έχει τώρα ακούσια συνεισφέρει σε μια εκστρατεία ηλεκτρονικού "ψαρέματος" στέλνοντας τους πελάτες της σε έναν ιστότοπο ηλεκτρονικού "ψαρέματος" και όχι στη δική του πύλη ειδοποίησης παραβίασης.
Προτεινόμενα βίντεο
Η αλυσίδα των γεγονότων μέχρι τώρα
Όπως αναφέρθηκε αρχικά από τους New York Times, η πρώτη κυβερνοεπίθεση για την οποία μάθαμε συνέβη κάποια στιγμή μεταξύ των μέσων Μαΐου 2017 και της 29ης Ιουλίου, όταν ανακαλύφθηκε η εισβολή. Αυτό που κάνει την επίθεση Equifax ιδιαίτερα ενοχλητική είναι η θέση της εταιρείας ως κεντρικού γραφείου συμψηφισμού για ευαίσθητα πιστωτικά ιδρύματα πληροφορίες συμπεριλαμβανομένων αριθμών κοινωνικής ασφάλισης, αριθμούς άδειας οδήγησης και άλλα δεδομένα που μπορούν να χρησιμοποιηθούν με διάφορους τρόπους για να βλάψουν αυτούς επηρεάζονται.
Η προηγούμενη παραβίαση δεδομένων στο Equifax λέγεται ότι έλαβε χώρα τον Μάρτιο και παρόλο που η Equifax ισχυρίζεται ότι αυτό Το προηγούμενο hack δεν είχε καμία σχέση με το hack που έλαβε χώρα αργότερα μέσα στο έτος, ανέφεραν ορισμένες ανώνυμες πηγές σε διαφορετική περίπτωση. Και στις δύο περιπτώσεις, ωστόσο, η Equifax ανέλαβε τις υπηρεσίες της εταιρείας ψηφιακής ασφάλειας Mandiant για έρευνα.
Σχετίζεται με
- Εάν χρησιμοποιείτε PayPal, τα προσωπικά σας δεδομένα ενδέχεται να έχουν παραβιαστεί
- Η παραβίαση δεδομένων της Microsoft εξέθεσε ευαίσθητα δεδομένα 65.000 εταιρειών
- Προσωπικά δεδομένα 69 εκατομμυρίων χρηστών Neopets είναι πλέον προς πώληση μετά από παραβίαση δεδομένων
Στις 2 Οκτωβρίου, η Equifax ανακοίνωσε ότι η Mandiant είχε ολοκληρώσει την ιατροδικαστική της έρευνα σχετικά την παραβίαση της 7ης Σεπτεμβρίου και ότι επιπλέον 2,5 εκατομμύρια Αμερικανοί μπορεί να έχουν επηρεαστεί από την άμαξα προς μίσθωση. Αυτό ανεβάζει τον συνολικό αριθμό των ανθρώπων που επηρεάζονται σε 145,5 εκατομμύρια. Ωστόσο, η Mandiant δεν βρήκε άλλα στοιχεία για νέα δραστηριότητα hacking. Επιπλέον, φαίνεται ότι ο αντίκτυπος της παραβίασης δεν εκτείνεται πέρα από τη Βόρεια Αμερική - περίπου 8.000 Καναδοί (όχι 100.000 όπως πιστευόταν προηγουμένως) μπορεί επίσης να έχουν επηρεαστεί.
«Με ενημέρωσαν την Κυριακή ότι η ανάλυση του αριθμού των καταναλωτών που ενδέχεται να επηρεαστούν από το περιστατικό της κυβερνοασφάλειας έχει γίνει ολοκληρώθηκε και ζήτησα να δημοσιοποιηθούν αμέσως τα αποτελέσματα», ο πρόσφατα διορισμένος προσωρινός Διευθύνων Σύμβουλος, Paulino do Rego Barros, Jr. είπε. «Οι προτεραιότητές μας είναι η διαφάνεια και η βελτίωση της υποστήριξης προς τους καταναλωτές. Θα συνεχίσω να παρακολουθώ την πρόοδό μας σε καθημερινή βάση».
Σε γραπτή μαρτυρία, ο πρώην Διευθύνων Σύμβουλος Ρίτσαρντ Σμιθ είπε στην Επιτροπή Ενέργειας και Εμπορίου: «Φαίνεται ότι η παραβίαση συνέβη τόσο λόγω ανθρώπινου λάθους όσο και λόγω τεχνολογικών αστοχιών».
Πρόσφατα, προσθέτοντας προσβολή σε τραυματισμό, ο λογαριασμός Equifax στο Twitter έστειλε πρόσφατα πελάτες στον ιστότοπο "securityequifax2017.com", έναν ψεύτικο ιστότοπο που εμφανίζει ξεκάθαρα τη διεύθυνση ιστού του πραγματικού ιστότοπου: equifaxsecurity2017.com. Το tweet, φυσικά, έχει αφαιρεθεί από τότε, αλλά δεν είναι η πρώτη φορά που το Equifax στέλνει άτομα στον ιστότοπο phishing. Σημειώστε ότι το Google Chrome επισημαίνει πλέον τον ψεύτικο ιστότοπο ως παραπλανητικό.
Mark Coppock/Digital Trends
Ποια δεδομένα κλάπηκαν;
Αν και σε αυτό το σημείο φαίνεται απίθανο να κλάπηκαν περισσότερες προσωπικές πληροφορίες πελατών Equifax στο αρχικό hack, εγείρει σοβαρά ερωτήματα σχετικά με την απάντηση της εταιρείας. Είναι πιθανό ο νόμος να απαιτούσε από την Equifax να αποκαλύψει πληροφορίες σχετικά με αυτό πολύ νωρίτερα από ό, τι έκανε η εταιρεία και αυτό Η εξέλιξη ρίχνει ένα ακόμη πιο σκληρό φως σε ορισμένες από τις ύποπτες πωλήσεις μετοχών που πραγματοποιήθηκαν από στελέχη της Equifax στην Αύγουστος.
Το Υπουργείο Δικαιοσύνης των ΗΠΑ έχει ξεκινήσει ποινική έρευνα για τις πωλήσεις μετοχών, σύμφωνα με Πηγές του Bloomberg.
Ενώ οι παραβιάσεις του Equifax δεν είναι οι μεγαλύτερες όσον αφορά τον αριθμό των θυμάτων — Οι επιθέσεις της Yahoo αφορούσαν περισσότερους ανθρώπους, και το Το HBO one έριξε περισσότερα spoilers — είναι ανησυχητικό λόγω του είδους των προσωπικών πληροφοριών που κλάπηκαν. Παραδείγματα ευαίσθητων πληροφοριών περιλαμβάνουν 209.000 αριθμούς πιστωτικών καρτών, προσωπικές πληροφορίες που σχετίζονται με πιστωτικές διαφορές για 182.000 θύματα και δεδομένα που θα μπορούσαν να χρησιμοποιηθούν περαιτέρω για πρόσβαση ιατρικά ιστορικά, τραπεζικούς λογαριασμούς και άλλα.
Επί 15 Σεπτεμβρίου, η Equifax έδωσε στη δημοσιότητα περισσότερες πληροφορίες σχετικά με το hack και επίσης σημείωσε ότι δύο ανώτερα στελέχη — ο Chief Information Officer και ο Αρχηγός Ασφαλείας «συνταξιοδοτούνταν». Δεδομένων των πρόσφατων γεγονότων, ωστόσο, η ιστορία είναι πιθανότατα περισσότερα παρά απλά συνταξιοδότηση. Η Equifax αποκάλυψε περαιτέρω ότι η εσωτερική της έρευνα είναι ακόμη σε εξέλιξη και ότι η εταιρεία «συνεχίζει να συνεργάζεται στενά με το FBI στην έρευνά της». Μέχρι στιγμής, είναι αποκάλυψε ότι η Equifax παρατήρησε για πρώτη φορά ύποπτη δραστηριότητα στις 29 Ιουλίου 2017, αλλά περίμενε μέχρι τις 2 Αυγούστου για να επικοινωνήσει με μια εταιρεία κυβερνοασφάλειας και να πραγματοποιήσει μια «περιεκτική ιατροδικαστική εξέταση».
Όπως είπε η Pamela Dixon, εκτελεστική διευθύντρια της μη κερδοσκοπικής ερευνητικής ομάδας World Privacy Forum, σε μια δήλωση ότι «Αυτό είναι τόσο κακό όσο γίνεται. Εάν έχετε μια πιστωτική αναφορά, το πιθανότερο είναι ότι μπορεί να βρίσκεστε σε αυτήν την παραβίαση. Οι πιθανότητες είναι πολύ καλύτερες από το 50 τοις εκατό».
Τι πρέπει να γίνει για αυτό;
Σύμφωνα με δελτίο τύπου που εκδόθηκε από το γραφείο του γερουσιαστή Mark Warner (D. Virginia), η επίθεση Equifax εγείρει σημαντικά ερωτήματα σχετικά με τον ρόλο της κυβέρνησης στην αντιμετώπιση της συνεχιζόμενης απειλής για τις προσωπικές πληροφορίες.
«Ενώ πολλοί ίσως έχουν συνηθίσει να ακούν μια νέα παραβίαση δεδομένων κάθε λίγες εβδομάδες, το εύρος αυτής της παραβίασης – που αφορά την Κοινωνική Ασφάλιση αριθμοί, ημερομηνίες γέννησης, διευθύνσεις και αριθμοί πιστωτικών καρτών σχεδόν του μισού πληθυσμού των ΗΠΑ – εγείρει σοβαρά ερωτήματα σχετικά με το εάν το Κογκρέσο θα πρέπει να όχι μόνο να δημιουργήσει ένα ενιαίο πρότυπο ειδοποίησης παραβίασης δεδομένων, αλλά και εάν το Κογκρέσο πρέπει να επανεξετάσει τις πολιτικές προστασίας δεδομένων, έτσι ώστε οι επιχειρήσεις όπως το Equifax έχουν λιγότερα κίνητρα για τη συλλογή μεγάλων, κεντρικών συνόλων εξαιρετικά ευαίσθητων δεδομένων, όπως SSN και πληροφορίες πιστωτικών καρτών σε εκατομμύρια Αμερικανοί».
Αποκαλώντας τέτοιες επιθέσεις «πραγματική απειλή για την οικονομική ασφάλεια των Αμερικανών», είναι πιθανό ότι ο Warren και άλλοι κυβερνητικοί αξιωματούχοι θα πιέσουν για νομοθεσία που θα δημιουργεί ισχυρότερη προστασία των καταναλωτών από τα δεδομένα κλοπή. Η Warner εργάζεται για την ανάπτυξη ακριβώς αυτού του είδους νομοθεσίας, και αυτό είναι πιθανό να επιταχυνθεί.
Η Equifax θα αποστέλλει επίσης γραπτές ειδοποιήσεις σε όλους τους δυνητικά επηρεασμένους καταναλωτές των ΗΠΑ και το διαδικτυακό εργαλείο που μπορούν να χρησιμοποιήσουν οι άνθρωποι για να προσδιορίσουν τον κίνδυνο τους έχει επίσης ενημερωθεί.
«Θέλω να ζητήσω ξανά συγγνώμη από όλους τους καταναλωτές που επηρεάστηκαν. Καθώς αυτή η σημαντική φάση της εργασίας μας έχει πλέον ολοκληρωθεί, συνεχίζουμε να λαμβάνουμε πολλά βήματα για την επανεξέταση και τη βελτίωση των πρακτικών μας στον κυβερνοχώρο. Συνεχίζουμε επίσης να συνεργαζόμαστε στενά με την εσωτερική μας ομάδα και με εξωτερικούς συμβούλους για την εφαρμογή και την επιτάχυνση μακροπρόθεσμων βελτιώσεων ασφάλειας», πρόσθεσε ο Barros στις αρχές Οκτωβρίου.
Μεταβείτε στο equifaxsecurity2017.com στο Μάθε περισσότερα για την επίθεση, μάθετε αν επηρεάζεστε, και εγγραφείτε στη δωρεάν προστασία κλοπής ταυτότητας και υπηρεσίες παρακολούθησης αρχείων.
Ενημερώθηκε: Η Equifax έμαθε ότι επιπλέον 2,5 εκατομμύρια Αμερικανοί μπορεί να έχουν επηρεαστεί από την παραβίαση.
Συστάσεις των συντακτών
- Η παραβίαση αφορούσε τα δεδομένα ολόκληρου του πληθυσμού ενός έθνους
- Χάκερ έκλεψαν 1,5 εκατομμύρια δολάρια χρησιμοποιώντας δεδομένα πιστωτικών καρτών που αγοράστηκαν στο σκοτεινό ιστό
- Μια παραβίαση δεδομένων μπορεί να κοστίσει εκατομμύρια δολάρια — και ίσως την πληρώνετε
- Χάκερ κλέβει αρχεία 1 δισεκατομμυρίου ανθρώπων σε άνευ προηγουμένου παραβίαση δεδομένων
- Οι χάκερ στόχευσαν την AMD για να κλέψουν τεράστια 450 GB άκρως απόρρητων δεδομένων
