Povreda podataka Equifaxa ugrožava osobne podatke 143 milijuna Amerikanaca

Rick Smith, predsjednik i glavni izvršni direktor Equifaxa, o kibersigurnosnom incidentu koji uključuje podatke potrošača.

Nakon masovne povrede podataka koju je Equifax otkrio javnosti početkom rujna, pojavile su se vijesti o drugom, ranijem napadu na kreditnu agenciju. Iako su izvorno bile samo glasine iz anonimnih izvora, 19. rujna Equifax je potvrdio sekundarno hakiranje, koje se dogodilo u ožujku, iako je tvrtka zanijekala da ima bilo kakve veze s veći hak. Dodavanje uvrede na povredu, Equifax je sada nenamjerno pridonio phishing kampanji tako što je svoje kupce poslao na phishing mjesto umjesto na vlastiti portal za obavijesti o kršenju prava.

Preporučeni videozapisi

Dosadašnji lanac događaja

Kako je izvorno izvijestio New York Times, prvi kibernetički napad za koji smo saznali dogodio se negdje između sredine svibnja 2017. i 29. srpnja kada je upad otkriven. Ono što napad na Equifax čini posebno problematičnim je status tvrtke kao središnje klirinške kuće za osjetljive kredite informacije uključujući brojeve socijalnog osiguranja, brojeve vozačkih dozvola i druge podatke koji se mogu upotrijebiti na različite načine za nanošenje štete onima pogođeni.

Ranija povreda podataka u Equifaxu navodno se dogodila u ožujku i iako Equifax tvrdi da je ovo raniji hak nije imao nikakve veze s hakiranjem koje se dogodilo kasnije tijekom godine, rekli su neki anonimni izvori inače. Međutim, u oba je slučaja Equifax za istragu uzeo usluge tvrtke za digitalnu sigurnost Mandiant.

Povezano

  • Ako koristite PayPal, vaši osobni podaci mogu biti ugroženi
  • Microsoftova povreda podataka otkrila je osjetljive podatke 65.000 tvrtki
  • Osobni podaci 69 milijuna korisnika Neopetsa sada su na prodaju nakon povrede podataka

Equifax je 2. listopada objavio da je Mandiant dovršio forenzičku istragu u vezi s kršenje 7. rujna, te da je možda dodatnih 2,5 milijuna Amerikanaca bilo pogođeno hakirati. Time se ukupan broj pogođenih ljudi popeo na 145,5 milijuna. Međutim, Mandiant nije pronašao daljnje dokaze o novim hakerskim aktivnostima. Nadalje, čini se da se utjecaj kršenja nije proširio izvan Sjeverne Amerike - moglo je također biti pogođeno oko 8.000 Kanađana (a ne 100.000 kako se ranije mislilo).

“U nedjelju sam dobio obavijest da je analiza broja potrošača na koje bi incident kibernetičke sigurnosti mogao utjecati dovršen, a naredio sam da se rezultati odmah objave,” novoimenovani privremeni izvršni direktor, Paulino do Rego Barros, Jr. rekao je. “Naši prioriteti su transparentnost i poboljšanje podrške potrošačima. Nastavit ću pratiti naš napredak na dnevnoj bazi.”

U pisanom svjedočenju, bivši izvršni direktor Richard Smith rekao je Odboru za energiju i trgovinu: "Čini se da je do povrede došlo zbog ljudske pogreške i tehnoloških kvarova."

Nedavno, dodajući uvreda za ozljedu, Equifaxov Twitter račun nedavno je kupce poslao na web mjesto "securityequifax2017.com", lažno web mjesto koje jasno glumi web adresu prave web stranice: equifaxsecurity2017.com. Tweet je, naravno, u međuvremenu uklonjen, ali ovo nije prvi put da Equifax šalje ljude na mjesto za krađu identiteta. Imajte na umu da Google Chrome sada označava lažnu stranicu kao lažnu.

Mark Coppock/Digitalni trendovi

Mark Coppock/Digitalni trendovi

Koji su podaci ukradeni?

Iako se u ovom trenutku čini malo vjerojatnim da su još neki osobni podaci kupaca Equifaxa ukradeni u izvornom hakiranju, to postavlja ozbiljna pitanja o odgovoru tvrtke. Moguće je da je zakon zahtijevao od Equifaxa da otkrije informacije o tome puno prije nego što je to učinila tvrtka i ovo razvoj baca još oštrije svjetlo na neke od sumnjivih prodaja dionica koje su izvršili rukovoditelji Equifaxa u Kolovoz.

Ministarstvo pravosuđa SAD-a otvorilo je kaznenu istragu o prodaji dionica, navodi se Izvori Bloomberga.

Iako kršenja Equifaxa nisu najveća u smislu broja žrtava — Yahooovi napadi uključili su više ljudi, i HBO jedan izbacio je još spojlera — zabrinjava zbog vrste osobnih podataka koji su ukradeni. Primjeri osjetljivih podataka uključuju 209.000 brojeva kreditnih kartica, osobne podatke koji se odnose na kreditne sporove za 182.000 žrtava i podatke koji bi se mogli dalje koristiti za pristup povijesti bolesti, bankovni računi i više.

Na 15. rujna, Equifax je objavio više informacija o haku, a također je primijetio da su dva viša rukovoditelja — glavni službenik za informiranje i glavni časnik sigurnosti "odlazili su u mirovinu". Međutim, s obzirom na nedavne događaje, priča vjerojatno nije puka odlazak u mirovinu. Equifax je nadalje otkrio da je njegova interna istraga još uvijek u tijeku i da tvrtka "nastavlja blisko surađivati ​​s FBI-em u svojoj istrazi". Do sada je bilo otkrio je da je Equifax prvi put primijetio sumnjivu aktivnost 29. srpnja 2017., ali je čekao do 2. kolovoza kako bi kontaktirao tvrtku za kibernetičku sigurnost i proveo "sveobuhvatni forenzički pregled".

Kao što je Pamela Dixon, izvršna direktorica neprofitne istraživačke skupine World Privacy Forum, rekla u izjavi: “Ovo je najgore koliko može biti. Ako imate kreditno izvješće, velike su šanse da ste u ovoj povredi. Šanse su puno bolje od 50 posto.”

Što treba učiniti u vezi s tim?

Prema priopćenju za javnost ureda senatora Marka Warnera (D. Virginia), napad na Equifax postavlja važna pitanja o ulozi vlade u odgovoru na stalnu prijetnju osobnim podacima.

“Iako su se mnogi možda navikli čuti o novoj povredi podataka svakih nekoliko tjedana, opseg ove povrede – uključujući socijalno osiguranje brojeve, datume rođenja, adrese i brojeve kreditnih kartica gotovo polovice stanovništva SAD-a – postavlja ozbiljna pitanja o tome treba li Kongres ne samo stvoriti jedinstveni standard obavješćivanja o povredi podataka, nego i treba li Kongres ponovno razmisliti o politici zaštite podataka, tako da poduzeća kao što je Equifax imaju manje poticaja za prikupljanje velikih, centraliziranih skupova vrlo osjetljivih podataka kao što su SSN i ​​podaci o kreditnim karticama o milijunima Amerikanci.”

Nazivajući takve napade "stvarnom prijetnjom ekonomskoj sigurnosti Amerikanaca", vjerojatno su Warren i drugi vladini dužnosnici će se zalagati za zakonodavstvo koje će jače zaštititi potrošače od podataka krađa. Warner je radio na razvoju upravo takve vrste zakona i to će se vjerojatno ubrzati.

Equifax će također slati pisane obavijesti svim potencijalno pogođenim potrošačima u SAD-u, a ažuriran je i online alat koji ljudi mogu koristiti za utvrđivanje rizika.

“Želim se ponovno ispričati svim pogođenim potrošačima. Budući da je ova važna faza našeg rada sada dovršena, nastavljamo s poduzimanjem brojnih koraka za reviziju i poboljšanje naše prakse kibernetičke sigurnosti. Također nastavljamo blisko surađivati ​​s našim internim timom i vanjskim savjetnicima kako bismo implementirali i ubrzali dugoročna sigurnosna poboljšanja,” dodao je Barros početkom listopada.

Idite na equifaxsecurity2017.com na Saznajte više o napadu, saznajte jeste li pogođeni, i upišite se u besplatnu zaštitu od krađe identiteta i usluge praćenja datoteka.

Ažurirano: Equifax je saznao da je dodatnih 2,5 milijuna Amerikanaca moglo biti pogođeno kršenjem.

Preporuke urednika

  • Hakiranje je uključivalo podatke cjelokupne populacije jedne nacije
  • Hakeri su ukrali 1,5 milijuna dolara koristeći podatke o kreditnoj kartici kupljene na dark webu
  • Povreda podataka može koštati milijune dolara - a možda ćete to platiti
  • Haker je ukrao zapise 1 milijarde ljudi u neviđenoj povredi podataka
  • Hakeri su ciljali AMD da ukradu ogromnih 450 GB strogo povjerljivih podataka