Rick Smith, styreleder og administrerende direktør i Equifax, om Cybersecurity Incident som involverer forbrukerdata.
Etter det massive datainnbruddet som Equifax avslørte for offentligheten i begynnelsen av september, har det dukket opp nyheter om et andre, tidligere angrep på kredittbyrået. Selv om det opprinnelig bare var et rykte fra anonyme kilder, bekreftet Equifax den 19. september sekundært hack, som fant sted i mars, selv om firmaet benektet at det hadde noe å gjøre med større hack. Ved å legge fornærmelse til skade, har Equifax nå utilsiktet bidratt til en phishing-kampanje ved å sende sine kunder til en phishing-side i stedet for sin egen portal for varsling om brudd.
Anbefalte videoer
Hendelseskjeden så langt
Som opprinnelig rapportert av New York Times, det første nettangrepet vi fikk vite om skjedde en gang mellom midten av mai 2017 og 29. juli da innbruddet ble oppdaget. Det som gjør Equifax-angrepet spesielt plagsomt er selskapets status som sentral oppgjørssentral for sensitive kredittrelaterte informasjon inkludert personnummer, førerkortnumre og andre data som kan brukes på en rekke måter for å skade disse berørt.
Det tidligere datainnbruddet hos Equifax sies å ha funnet sted i mars, og selv om Equifax hevder at dette tidligere hack hadde ingenting å gjøre med hacket som fant sted senere på året, har noen anonyme kilder sagt ellers. I begge tilfeller tok imidlertid Equifax på seg tjenestene til det digitale sikkerhetsselskapet Mandiant for å undersøke.
I slekt
- Hvis du bruker PayPal, kan dine personlige data ha blitt kompromittert
- Microsofts datainnbrudd avslørte sensitive data fra 65 000 selskaper
- Personopplysninger til 69 millioner Neopets-brukere er nå ute for salg etter et datainnbrudd
2. oktober kunngjorde Equifax at Mandiant hadde fullført sin rettsmedisinske etterforskning vedr bruddet 7. september, og at ytterligere 2,5 millioner amerikanere kan ha blitt påvirket av hack. Dette bringer det totale antallet berørte personer til 145,5 millioner. Mandiant fant imidlertid ingen ytterligere bevis på ny hackingaktivitet. Videre ser det ut til at virkningen av bruddet ikke strekker seg utover Nord-Amerika - rundt 8 000 kanadiere (ikke 100 000 som tidligere antatt) kan også ha blitt berørt.
«Jeg ble informert søndag om at analysen av antallet forbrukere som potensielt kan bli påvirket av cybersikkerhetshendelsen har blitt fullført, og jeg ba om at resultatene ble offentliggjort umiddelbart,» nyutnevnt midlertidig administrerende direktør, Paulino do Rego Barros, Jr. sa. «Våre prioriteringer er åpenhet og bedre støtte til forbrukerne. Jeg vil fortsette å overvåke fremgangen vår på daglig basis."
I et skriftlig vitnesbyrd sa tidligere administrerende direktør Richard Smith til energi- og handelskomiteen: "Det ser ut til at bruddet skjedde på grunn av både menneskelige feil og teknologisvikt."
Nylig, legger til fornærmelse mot skade, sendte Equifax Twitter-kontoen nylig kunder til nettstedet «securityequifax2017.com», et falskt nettsted som tydelig spiller av det virkelige nettstedets nettadresse: equifaxsecurity2017.com. Tweeten har naturligvis siden blitt fjernet, men dette er ikke første gang Equifax har sendt folk til phishing-nettstedet. Merk at Google Chrome nå flagger det falske nettstedet som villedende.
Mark Coppock/Digital Trends
Hvilke data ble stjålet?
Selv om det på dette tidspunktet virker usannsynlig at mer personlig informasjon om Equifax-kunder ble stjålet i det originale hacket, reiser det alvorlige spørsmål om firmaets svar. Det er mulig at loven påla Equifax å avsløre informasjon om det langt tidligere enn firmaet gjorde og dette utviklingen kaster et enda hardere lys over noen av de mistenkelige aksjesalgene utført av Equifax-ledere i August.
Det amerikanske justisdepartementet har åpnet en kriminell etterforskning av aksjesalget, ifølge Bloomberg-kilder.
Mens Equifax-bruddene ikke er de største når det gjelder antall ofre - Yahoos angrep involverte flere mennesker, og HBO en dumpet flere spoilere – Det er bekymringsfullt på grunn av typen personlig informasjon som ble stjålet. Eksempler på sensitiv informasjon inkluderer 209 000 kredittkortnumre, personlig informasjon knyttet til kredittvister for 182 000 ofre og data som kan brukes videre for å få tilgang til medisinske historier, bankkontoer og mer.
På 15. september, ga Equifax ut mer informasjon om hacket, og bemerket også at to toppledere - Chief Information Officer og Chief Security Officer "trakk seg". Gitt nylige hendelser, er det sannsynligvis mer i historien enn bare pensjonering. Equifax avslørte videre at den interne etterforskningen fortsatt pågår og at selskapet "fortsetter å jobbe tett med FBI i etterforskningen." Så langt har det vært avslørte at Equifax først la merke til mistenkelig aktivitet 29. juli 2017, men ventet til 2. august med å kontakte et cybersikkerhetsfirma og gjennomføre en "omfattende rettsmedisinsk gjennomgang."
Som Pamela Dixon, administrerende direktør for den ideelle forskningsgruppen World Privacy Forum, sa i en uttalelse at "Dette er omtrent så ille som det kan bli. Hvis du har en kredittrapport, er sjansen stor for at du er i dette bruddet. Sjansene er mye bedre enn 50 prosent.»
Hva skal gjøres med det?
I følge en pressemelding utstedt av kontoret til senator Mark Warner (D. Virginia), reiser Equifax-angrepet viktige spørsmål om myndighetenes rolle i å svare på den pågående trusselen mot personlig informasjon.
«Selv om mange kanskje har blitt vant til å høre om et nytt datainnbrudd med noen få ukers mellomrom, er omfanget av dette bruddet – som involverer trygd tall, fødselsdatoer, adresser og kredittkortnumre til nesten halvparten av den amerikanske befolkningen – reiser alvorlige spørsmål om kongressen bør ikke bare lage en enhetlig standard for varsling av datainnbrudd, men også om Kongressen trenger å revurdere retningslinjer for databeskyttelse, slik at bedrifter som Equifax har færre insentiver til å samle inn store, sentraliserte sett med svært sensitive data som SSN-er og kredittkortinformasjon om millioner av amerikanere."
Ved å kalle slike angrep "en reell trussel mot amerikanernes økonomiske sikkerhet", er det sannsynlig at Warren og andre myndighetspersoner vil presse på for lovgivning som skaper sterkere forbrukerbeskyttelse mot data tyveri. Warner har jobbet med å utvikle nettopp den typen lovgivning, og det vil sannsynligvis akselerere.
Equifax vil også sende skriftlige meldinger til alle potensielt berørte amerikanske forbrukere, og nettverktøyet folk kan bruke for å fastslå risikoen deres, er også oppdatert.
«Jeg vil igjen be om unnskyldning til alle berørte forbrukere. Ettersom denne viktige fasen av arbeidet vårt nå er fullført, fortsetter vi å ta en rekke skritt for å gjennomgå og forbedre vår nettsikkerhetspraksis. Vi fortsetter også å jobbe tett med vårt interne team og eksterne rådgivere for å implementere og akselerere langsiktige sikkerhetsforbedringer,” la Barros til i begynnelsen av oktober.
Gå til equifaxsecurity2017.com for å lære mer om angrepet, finne ut om du er berørt, og melde deg på gratis beskyttelse mot identitetstyveri og filovervåkingstjenester.
Oppdatert: Equifax har fått vite at ytterligere 2,5 millioner amerikanere kan ha blitt berørt av bruddet.
Redaktørenes anbefalinger
- Hack involverte dataene til en nasjons hele befolkning
- Hackere stjal 1,5 millioner dollar ved å bruke kredittkortdata kjøpt på det mørke nettet
- Et datainnbrudd kan koste millioner av dollar – og det kan hende du betaler det
- Hacker stjeler 1 milliard menneskers poster i enestående datainnbrudd
- Hackere målrettet AMD for å stjele enorme 450 GB med topphemmelige data
