ריק סמית', יו"ר ומנכ"ל Equifax, בנושא תקרית אבטחת סייבר המערבת נתוני צרכנים.
בעקבות פרצת המידע המסיבית שחשפה Equifax לציבור בתחילת ספטמבר, התפרסמה ידיעה על מתקפה שנייה ומוקדמת יותר בסוכנות האשראי. למרות שבמקור רק שמועה ממקורות אנונימיים, ב-19 בספטמבר, Equifax אישרה את זה פריצה משנית, שהתרחשה במרץ, למרות שהחברה הכחישה שיש לה קשר ל- פריצה גדולה יותר. כשהוסיפה חטא לפציעה, Equifax תרמה כעת בטעות למסע דיוג על ידי שליחת לקוחותיה לאתר דיוג במקום לפורטל הודעות הפרצה משלה.
סרטונים מומלצים
השתלשלות האירועים עד כה
כפי שדווח במקור על ידי הניו יורק טיימס, מתקפת הסייבר הראשונה שנודע לנו עליה התרחשה מתישהו בין אמצע מאי 2017 ל-29 ביולי כאשר התגלתה החדירה. מה שהופך את מתקפת ה-Equifax לבעייתית במיוחד הוא מעמדה של החברה כמסלקה מרכזית עבור אשראי רגיש מידע כולל מספרי תעודת זהות, מספרי רישיון נהיגה ונתונים אחרים שניתן להשתמש בהם במגוון דרכים כדי לפגוע באלו מושפע.
הפרת הנתונים המוקדמת יותר ב-Equifax התרחשה במרץ ולמרות ש-Equifax טוענת שזה לפריצה מוקדמת לא היה שום קשר לפריצה שהתרחשה בהמשך השנה, אמרו כמה מקורות אנונימיים אחרת. עם זאת, בשני המקרים, Equifax לקחה את שירותיה של חברת האבטחה הדיגיטלית Mandiant כדי לחקור.
קָשׁוּר
- אם אתה משתמש ב-PayPal, ייתכן שהנתונים האישיים שלך נפגעו
- הפרת הנתונים של מיקרוסופט חשפה נתונים רגישים של 65,000 חברות
- נתונים אישיים של 69 מיליון משתמשי Neopets מוצעים כעת למכירה לאחר הפרת נתונים
ב-2 באוקטובר, Equifax הודיעה כי Mandiant השלימה את החקירה המשפטית שלה לגבי הפרת 7 בספטמבר, וכי ייתכן ש-2.5 מיליון אמריקאים נוספים הושפעו מהפרצה גַרזֶן. זה מביא את המספר הכולל של האנשים שנפגעו ל-145.5 מיליון. עם זאת, Mandiant לא מצא ראיות נוספות לפעילות פריצה חדשה. יתרה מזאת, נראה שההשפעה של הפרצה לא עברה מעבר לצפון אמריקה - ייתכן שנפגעו גם כ-8,000 קנדים (לא 100,000 כפי שחשבו קודם לכן).
"הודיעו לי ביום ראשון שהניתוח של מספר הצרכנים שעלולים להיות מושפעים מתקרית אבטחת הסייבר נעשתה הושלם, והוריתי שהתוצאות יפורסמו מיידית", המנכ"ל הזמני החדש שמונה, פאולינו דו רגו בארוס, הבן. אמר. "סדרי העדיפויות שלנו הם שקיפות ושיפור התמיכה בצרכנים. אני אמשיך לעקוב אחר ההתקדמות שלנו על בסיס יומי".
בעדות כתובה אמר המנכ"ל לשעבר ריצ'רד סמית' לוועדת האנרגיה והמסחר, "נראה שההפרה התרחשה הן בגלל טעויות אנוש והן בגלל כשלים טכנולוגיים".
לאחרונה, מוסיף עלבון לפציעה, חשבון הטוויטר של Equifax שלח לאחרונה לקוחות לאתר "securityequifax2017.com", אתר מזויף שמשחק בבירור את כתובת האינטרנט האמיתית של האתר: equifaxsecurity2017.com. הציוץ, כמובן, הוסר מאז, אבל זו לא הפעם הראשונה שה-Equifax שולח אנשים לאתר הדיוג. שימו לב שגוגל כרום מסמן כעת את האתר המזויף כמטעה.
מארק קופוק/טרנדים דיגיטליים
אילו נתונים נגנבו?
למרות שבשלב זה נראה שלא סביר שמידע אישי נוסף של לקוחות Equifax נגנב בפריצה המקורית, זה מעלה שאלות רציניות לגבי תגובת החברה. יתכן שהחוק חייב את Equifax לחשוף מידע עליה הרבה יותר מוקדם ממה שהמשרד עשה וזה הפיתוח מאיר אור חריף עוד יותר על כמה ממכירות המניות החשודות שבוצעו על ידי מנהלי Equifax ב אוגוסט.
משרד המשפטים האמריקני פתח בחקירה פלילית על מכירות המניות מקורות בלומברג.
בעוד שהפרות Equifax אינן הגדולות ביותר מבחינת מספר הקורבנות - ההתקפות של יאהו כללו יותר אנשים, וה HBO one זרק עוד ספוילרים - זה מדאיג בגלל סוג המידע האישי שנגנב. דוגמאות למידע רגיש כוללות 209,000 מספרי כרטיסי אשראי, מידע אישי המתייחס למחלוקות אשראי עבור 182,000 קורבנות ונתונים שניתן להשתמש בהם כדי לגשת היסטוריות רפואיות, חשבונות בנק ועוד.
עַל 15 בספטמבר, Equifax פרסמה מידע נוסף על הפריצה, וגם ציינה ששני מנהלים בכירים - קצין המידע הראשי וקצין הביטחון הראשי "פורשים". עם זאת, בהתחשב באירועים האחרונים, סביר להניח שיש יותר בסיפור מאשר סתם פרישה לגמלאות. עוד חשפה Equifax כי החקירה הפנימית שלה עדיין נמשכת ושהחברה "ממשיכה לעבוד בשיתוף פעולה הדוק עם ה-FBI בחקירתה". עד כה, זה היה חשף כי Equifax הבחינה לראשונה בפעילות חשודה ב-29 ביולי 2017, אך המתינה עד ה-2 באוגוסט כדי ליצור קשר עם חברת אבטחת סייבר ולערוך "סקירה משפטית מקיפה".
כפי שאמרה פמלה דיקסון, מנכ"לית קבוצת המחקר ללא מטרות רווח World Privacy Forum, בהצהרה כי "זה גרוע ככל שיהיה. אם יש לך דוח אשראי, רוב הסיכויים שאתה עלול להיתקל בהפרה זו. הסיכוי הרבה יותר טוב מ-50 אחוז".
מה יש לעשות בנידון?
על פי הודעה לעיתונות שפרסמה משרדו של הסנאטור מארק וורנר (D. וירג'יניה), מתקפת Equifax מעלה שאלות חשובות לגבי תפקידה של הממשלה בתגובה לאיום המתמשך על מידע אישי.
"בעוד שרבים התרגלו אולי לשמוע על פריצת מידע חדשה מדי כמה שבועות, היקף הפרה הזו - כולל ביטוח לאומי מספרים, תאריכי לידה, כתובות ומספרי כרטיסי אשראי של כמעט מחצית מאוכלוסיית ארה"ב - מעלים שאלות רציניות אם הקונגרס צריך לא רק ליצור תקן הודעות על הפרת נתונים אחיד, אלא גם האם הקונגרס צריך לחשוב מחדש על מדיניות הגנת נתונים, כך שארגונים כמו Equifax יש פחות תמריצים לאסוף קבוצות גדולות ומרוכזות של נתונים רגישים במיוחד כמו SSNs ופרטי כרטיסי אשראי על מיליוני אמריקאים."
כשמכנים התקפות כאלה "איום אמיתי על הביטחון הכלכלי של האמריקאים", סביר להניח שוורן ו פקידי ממשל אחרים ידחפו לחקיקה שתיצור הגנת צרכנים חזקה יותר מפני נתונים גְנֵבָה. וורנר עבדה על פיתוח חקיקה מסוג זה, וזה צפוי להאיץ.
Equifax גם תשלח הודעות כתובות לכל הצרכנים האמריקאים שעלולים להשפיע, והכלי המקוון שאנשים יכולים להשתמש בהם כדי לקבוע את הסיכון שלהם עודכן גם הוא.
"אני רוצה להתנצל שוב בפני כל הצרכנים שנפגעו. מכיוון ששלב חשוב זה של עבודתנו הושלם כעת, אנו ממשיכים לנקוט בצעדים רבים כדי לסקור ולשפר את נוהלי אבטחת הסייבר שלנו. אנחנו גם ממשיכים לעבוד בשיתוף פעולה הדוק עם הצוות הפנימי שלנו ויועצים חיצוניים כדי ליישם ולהאיץ שיפורי אבטחה ארוכי טווח", הוסיף בארוס בתחילת אוקטובר.
עבור אל equifaxsecurity2017.com כדי למד עוד על הפיגוע, לברר אם אתה מושפע, ו להירשם בחינם להגנה על גניבת זהות ושירותי ניטור קבצים.
עודכן: ל-Equifax נודע כי ייתכן ש-2.5 מיליון אמריקאים נוספים הושפעו מהפרה.
המלצות עורכים
- האק כלל את הנתונים של כל אוכלוסיית המדינה
- האקרים גנבו 1.5 מיליון דולר באמצעות נתוני כרטיסי אשראי שנרכשו ברשת האפלה
- פרצת נתונים יכולה לעלות מיליוני דולרים - ואולי אתה משלם את זה
- האקר גונב רשומות של מיליארד אנשים בהפרת נתונים חסרת תקדים
- האקרים כיוונו ל-AMD כדי לגנוב 450GB ענק של נתונים סודיים ביותר
