Vdor podatkov Equifax ogroža osebne podatke 143 milijonov Američanov

Rick Smith, predsednik in izvršni direktor Equifaxa, o incidentu kibernetske varnosti, ki vključuje podatke potrošnikov.

Po obsežni kršitvi podatkov, ki jo je Equifax razkril javnosti v začetku septembra, so se pojavile novice o drugem, prejšnjem napadu na kreditno agencijo. Čeprav so bile prvotno le govorice iz anonimnih virov, je Equifax 19. septembra potrdil sekundarnega vdora, ki se je zgodil marca, čeprav je podjetje zanikalo, da ima kar koli opraviti z večji kramp. Še več, Equifax je zdaj nehote prispeval k kampanji lažnega predstavljanja, tako da je svoje stranke poslal na spletno mesto lažnega predstavljanja in ne na lastni portal za obveščanje o kršitvah.

Priporočeni videoposnetki

Dosedanja veriga dogodkov

Kot je prvotno poročal New York Times, prvi kibernetski napad, za katerega smo izvedeli, se je zgodil nekje med sredino maja 2017 in 29. julijem, ko je bil vdor odkrit. Zaradi česar je napad Equifax še posebej težaven, je status podjetja kot osrednje klirinške hiše za občutljive kredite. informacije, vključno s številkami socialnega zavarovanja, številkami vozniških dovoljenj in drugimi podatki, ki jih je mogoče uporabiti na različne načine za škodo tistim prizadeti.

Prejšnja kršitev podatkov pri Equifaxu naj bi se zgodila marca, čeprav Equifax trdi, da prejšnji vdor ni imel nobene zveze z vdorom, ki se je zgodil pozneje v letu, so povedali nekateri anonimni viri drugače. V obeh primerih pa je Equifax za preiskavo prevzel storitve podjetja za digitalno varnost Mandiant.

Povezano

  • Če uporabljate PayPal, so vaši osebni podatki morda ogroženi
  • Microsoftova kršitev podatkov je razkrila občutljive podatke 65.000 podjetij
  • Osebni podatki 69 milijonov uporabnikov Neopets so po kršitvi podatkov zdaj naprodaj

2. oktobra je Equifax objavil, da je Mandiant zaključil svojo forenzično preiskavo v zvezi kršitev 7. septembra in da je morda vplivalo na dodatnih 2,5 milijona Američanov kramp. Tako je skupno število prizadetih ljudi naraslo na 145,5 milijona. Vendar pa Mandiant ni našel nobenih dodatnih dokazov o novi hekerski dejavnosti. Poleg tega se zdi, da vpliv kršitve ni segal onkraj Severne Amerike - morda je bilo prizadetih tudi približno 8.000 Kanadčanov (ne 100.000, kot se je prej mislilo).

»V nedeljo sem bil obveščen, da je bila analiza števila potrošnikov, na katere bi lahko vplival kibernetski varnostni incident, dokončan, in ukazal sem, da se rezultati takoj objavijo,« je novoimenovani začasni izvršni direktor Paulino do Rego Barros, Jr. rekel. »Naši prioriteti sta transparentnost in izboljšanje podpore potrošnikom. Še naprej bom dnevno spremljal naš napredek.”

V pisnem pričanju je nekdanji izvršni direktor Richard Smith odboru za energijo in trgovino povedal: "Zdi se, da je do kršitve prišlo zaradi človeške napake in tehnoloških napak."

Nedavno, dodajanje žalitev za poškodbo, je račun Equifax Twitter nedavno poslal stranke na spletno mesto »securityequifax2017.com«, lažno spletno mesto, ki očitno izigrava resnični spletni naslov: equifaxsecurity2017.com. Tvit je bil seveda od takrat odstranjen, vendar to ni prvič, da je Equifax poslal ljudi na lažno spletno mesto. Upoštevajte, da Google Chrome zdaj lažno spletno mesto označi kot zavajajoče.

Mark Coppock/Digitalni trendi

Mark Coppock/Digitalni trendi

Kateri podatki so bili ukradeni?

Čeprav se na tej točki zdi malo verjetno, da bi bili pri prvotnem vdoru ukradeni kakršni koli osebni podatki strank Equifaxa, se postavljajo resna vprašanja o odzivu podjetja. Možno je, da je zakon zahteval, da Equifax razkrije informacije o tem veliko prej, kot je to storilo podjetje, in to razvoj osvetli še ostrejšo luč na nekatere sumljive prodaje delnic, ki so jih izvedli vodje Equifaxa v avgusta.

Ministrstvo za pravosodje ZDA je po navedbah uvedlo kazensko preiskavo prodaje delnic Viri Bloomberga.

Čeprav kršitve Equifaxa niso največje po številu žrtev – Yahoojevi napadi so vključevali več ljudi, in HBO one je pustil več spojlerjev — je zaskrbljujoče zaradi vrste osebnih podatkov, ki so bili ukradeni. Primeri občutljivih informacij vključujejo 209.000 številk kreditnih kartic, osebne podatke v zvezi s kreditnimi spori za 182.000 žrtev in podatke, ki bi jih lahko uporabili za dostop do zdravstvene zgodovine, bančni računi in drugo.

Vklopljeno 15. september, je Equifax izdal več informacij o vdoru in opozoril, da sta dva višja direktorja – glavni informacijski uradnik in glavni varnostnik sta se "upokojila." Glede na nedavne dogodke pa je zgodba verjetno več kot zgolj upokojitev. Equifax je nadalje razkril, da njegova notranja preiskava še vedno poteka in da podjetje "še naprej tesno sodeluje s FBI v svoji preiskavi." Do sedaj je bilo je razkrilo, da je Equifax prvič opazil sumljivo dejavnost 29. julija 2017, vendar je čakal do 2. avgusta, da je stopil v stik s podjetjem za kibernetsko varnost in izvedel »celovit forenzični pregled«.

Kot je v izjavi dejala Pamela Dixon, izvršna direktorica neprofitne raziskovalne skupine World Privacy Forum: »To je tako slabo, kot je lahko. Če imate kreditno poročilo, obstaja velika verjetnost, da ste v tej kršitvi. Možnosti so veliko boljše od 50 odstotkov.”

Kaj storiti glede tega?

Glede na sporočilo za javnost, ki ga je izdal urad senatorja Marka Warnerja (D. Virginia), napad Equifax odpira pomembna vprašanja o vlogi vlade pri odzivanju na nenehno grožnjo osebnim podatkom.

»Medtem ko so se mnogi morda že navadili, da vsakih nekaj tednov slišijo o novi kršitvi podatkov, obseg te kršitve – vključuje socialno varnost številke, datume rojstva, naslove in številke kreditnih kartic skoraj polovice prebivalstva ZDA – sproža resna vprašanja o tem, ali bi moral kongres ne le ustvariti enotnega standarda obveščanja o kršitvah podatkov, temveč tudi, ali mora kongres ponovno razmisliti o politikah varstva podatkov, tako da bodo podjetja kot je Equifax, imajo manj spodbud za zbiranje velikih, centraliziranih nizov zelo občutljivih podatkov, kot so številke socialne varnosti in informacije o kreditnih karticah na milijone Američani."

Če takšne napade imenujemo "resnična grožnja gospodarski varnosti Američanov", je verjetno, da sta Warren in drugi vladni uradniki si bodo prizadevali za zakonodajo, ki bo okrepila zaščito potrošnikov pred podatki tatvina. Warner je delal na razvoju prav takšne zakonodaje in to se bo verjetno pospešilo.

Equifax bo prav tako pošiljal pisna obvestila vsem potencialno prizadetim potrošnikom v ZDA, posodobljeno pa je bilo tudi spletno orodje, ki ga ljudje lahko uporabijo za ugotavljanje tveganja.

»Ponovno se želim opravičiti vsem prizadetim potrošnikom. Ker je ta pomembna faza našega dela zdaj zaključena, nadaljujemo s številnimi koraki za pregled in izboljšanje naših praks kibernetske varnosti. Prav tako še naprej tesno sodelujemo z našo notranjo ekipo in zunanjimi svetovalci, da bi uvedli in pospešili dolgoročne varnostne izboljšave,« je dodal Barros v začetku oktobra.

Pojdite na equifaxsecurity2017.com na nauči se več o napadu, ugotovite, ali ste prizadeti, in včlanite se v brezplačno zaščito pred krajo identitete in storitve spremljanja datotek.

Posodobljeno: Equifax je izvedel, da je kršitev morda prizadela dodatnih 2,5 milijona Američanov.

Priporočila urednikov

  • Vdor je vključeval podatke celotnega prebivalstva države
  • Hekerji so ukradli 1,5 milijona dolarjev z uporabo podatkov o kreditnih karticah, kupljenih na temnem spletu
  • Kršitev podatkov lahko stane na milijone dolarjev – in morda jo boste plačali vi
  • Heker je ukradel zapise 1 milijarde ljudi s kršitvijo podatkov brez primere
  • Hekerji so AMD ciljali na krajo ogromnih 450 GB strogo zaupnih podatkov