Violação de dados da Equifax ameaça dados pessoais de 143 milhões de americanos

Após a violação massiva de dados que a Equifax divulgou ao público no início de setembro, surgiram notícias de um segundo ataque anterior à agência de crédito. Embora originalmente fosse apenas um boato de fontes anônimas, em 19 de setembro, a Equifax confirmou o hack secundário, que ocorreu em março, embora a empresa negasse que tivesse algo a ver com o hack maior. Para piorar a situação, a Equifax contribuiu inadvertidamente para uma campanha de phishing, enviando seus clientes para um site de phishing, em vez de para seu próprio portal de notificação de violação.

A cadeia de eventos até agora

Conforme relatado originalmente pelo New York Times, o primeiro ataque cibernético que conhecemos ocorreu entre meados de maio de 2017 e 29 de julho, quando a intrusão foi descoberta. O que torna o ataque à Equifax particularmente problemático é o estatuto da empresa como uma câmara de compensação central para questões sensíveis relacionadas com o crédito. informações, incluindo números de segurança social, números de carteira de motorista e outros dados que podem ser usados ​​de diversas maneiras para prejudicar aqueles afetado.

Diz-se que a violação de dados anterior na Equifax ocorreu em março e embora a Equifax afirme que esta O hack anterior não teve nada a ver com o hack que ocorreu no final do ano, disseram algumas fontes anônimas de outra forma. Em ambos os casos, porém, a Equifax contratou os serviços da empresa de segurança digital Mandiant para investigar.

Em 2 de outubro, a Equifax anunciou que a Mandiant havia concluído sua investigação forense a respeito a violação de 7 de setembro e que mais 2,5 milhões de americanos podem ter sido afetados pela hackear. Isso eleva o número total de pessoas afetadas para 145,5 milhões. No entanto, a Mandiant não encontrou mais nenhuma evidência de novas atividades de hackers. Além disso, parece que o impacto da violação não se estendeu para além da América do Norte – cerca de 8.000 canadianos (e não 100.000 como se pensava anteriormente) também podem ter sido afectados.

“Fui informado no domingo que a análise do número de consumidores potencialmente impactados pelo incidente de segurança cibernética foi concluído e ordenei que os resultados fossem prontamente divulgados”, disse o recém-nomeado CEO interino, Paulino do Rego Barros Jr. disse. “Nossas prioridades são a transparência e a melhoria do suporte aos consumidores. Continuarei monitorando nosso progresso diariamente.”

Em depoimento escrito, o ex-CEO Richard Smith disse ao Comitê de Energia e Comércio: “Parece que a violação ocorreu devido a erros humanos e falhas tecnológicas”.

Recentemente, adicionando insulto à injúria, a conta Equifax no Twitter recentemente enviou clientes ao site “securityequifax2017.com”, um site falso que claramente reproduz o endereço real do site: equifaxsecurity2017.com. O tweet, naturalmente, já foi removido, mas esta não é a primeira vez que a Equifax envia pessoas para o site de phishing. Observe que o Google Chrome agora sinaliza o site falso como enganoso.

Mark Coppock/Tendências Digitais

Quais dados foram roubados?

Embora neste momento pareça improvável que mais informações pessoais de clientes da Equifax tenham sido roubadas no hack original, isso levanta sérias questões sobre a resposta da empresa. É possível que a lei exigisse que a Equifax revelasse informações sobre isso muito antes da empresa e isso desenvolvimento lança uma luz ainda mais dura sobre algumas das vendas suspeitas de ações feitas por executivos da Equifax em Agosto.

O Departamento de Justiça dos EUA abriu uma investigação criminal sobre as vendas de ações, de acordo com Fontes Bloomberg.

Embora as violações do Equifax não sejam as maiores em termos de número de vítimas – Os ataques do Yahoo envolveram mais pessoas, e a HBO One despejou mais spoilers – é preocupante devido ao tipo de informação pessoal que foi roubada. Exemplos de informações confidenciais incluem 209 mil números de cartão de crédito, informações pessoais relacionadas a disputas de crédito de 182 mil vítimas e dados que poderiam ser usados ​​posteriormente para acessar histórias médicas, contas bancárias e muito mais.

Sobre 15 de setembro, A Equifax divulgou mais informações sobre o hack e também observou que dois executivos seniores – o Diretor de Informações e o Diretor de Segurança estavam “se aposentando”. Dados os acontecimentos recentes, no entanto, é provável que haja mais nesta história do que mera aposentadoria. A Equifax revelou ainda que a sua investigação interna ainda está em curso e que a empresa “continua a trabalhar em estreita colaboração com o FBI na sua investigação”. Até agora, tem sido revelou que a Equifax notou atividades suspeitas pela primeira vez em 29 de julho de 2017, mas esperou até 2 de agosto para entrar em contato com uma empresa de segurança cibernética e realizar uma “revisão forense abrangente”.

Como disse Pamela Dixon, diretora executiva do grupo de pesquisa sem fins lucrativos Fórum Mundial de Privacidade, em um comunicado: “Isso é o pior que pode acontecer. Se você tiver um relatório de crédito, é provável que você esteja nessa violação. As chances são muito melhores que 50 por cento.”

O que deve ser feito sobre isso?

De acordo com um comunicado de imprensa emitido pelo gabinete do senador Mark Warner (D. Virgínia), o ataque Equifax levanta questões importantes sobre o papel do governo na resposta à ameaça contínua às informações pessoais.

“Embora muitos talvez tenham se acostumado a ouvir falar de uma nova violação de dados a cada poucas semanas, o escopo dessa violação – envolvendo a Segurança Social números, datas de nascimento, endereços e números de cartão de crédito de quase metade da população dos EUA – levanta sérias questões sobre se o Congresso deveria não apenas criar um padrão uniforme de notificação de violação de dados, mas também se o Congresso precisa repensar as políticas de proteção de dados, para que as empresas como a Equifax têm menos incentivos para coletar conjuntos grandes e centralizados de dados altamente confidenciais, como SSNs e informações de cartão de crédito sobre milhões de Americanos.”

Ao chamar tais ataques de “uma ameaça real à segurança económica dos americanos”, é provável que Warren e outros funcionários do governo pressionarão por uma legislação que crie proteções mais fortes ao consumidor em relação aos dados roubo. A Warner tem trabalhado no desenvolvimento exatamente desse tipo de legislação, e é provável que isso se acelere.

A Equifax também enviará avisos por escrito a todos os consumidores norte-americanos potencialmente afetados, e a ferramenta on-line que as pessoas podem usar para determinar seu risco também foi atualizada.

“Quero pedir desculpas novamente a todos os consumidores impactados. À medida que esta importante fase do nosso trabalho está concluída, continuamos a tomar diversas medidas para rever e melhorar as nossas práticas de segurança cibernética. Também continuamos a trabalhar em estreita colaboração com a nossa equipa interna e consultores externos para implementar e acelerar melhorias de segurança a longo prazo”, acrescentou Barros no início de outubro.

Acesse equifaxsecurity2017.com para saber mais sobre o ataque, descubra se você foi afetado, e inscreva-se na proteção gratuita contra roubo de identidade e serviços de monitoramento de arquivos.

Atualizado: A Equifax descobriu que mais 2,5 milhões de americanos podem ter sido afetados pela violação.

Recomendações dos Editores

• Hack envolveu os dados de toda a população de uma nação
• Hackers roubaram US$ 1,5 milhão usando dados de cartão de crédito comprados na dark web
• Uma violação de dados pode custar milhões de dólares – e você pode estar pagando por isso
• Hacker rouba registros de 1 bilhão de pessoas em violação de dados sem precedentes
• Hackers visaram a AMD para roubar enormes 450 GB de dados ultrassecretos