Рик Смит, председник и извршни директор компаније Екуифак, о инциденту сајбер безбедности који укључује податке потрошача.
Након масовне повреде података коју је Екуифак открио јавности почетком септембра, појавиле су се вести о другом, ранијем нападу на кредитну агенцију. Иако је првобитно била само гласина из анонимних извора, Екуифак је 19. септембра потврдио секундарни хак, који се догодио у марту, иако је фирма негирала да има било какве везе са већи хак. Додајући увреду повреди, Екуифак је сада ненамерно допринео пхисхинг кампањи тако што је своје клијенте послао на сајт за пхисхинг уместо на сопствени портал за обавештења о кршењу.
Препоручени видео снимци
Досадашњи ланац догађаја
Како је првобитно објавио Њујорк тајмс, први сајбер напад за који смо сазнали догодио се негде између средине маја 2017. и 29. јула када је упад откривен. Оно што Екуифак напад чини посебно проблематичним је статус компаније као централне клириншке куће за осетљиве кредитне информације укључујући бројеве социјалног осигурања, бројеве возачке дозволе и друге податке који се могу користити на различите начине да се нашкоди онима под утицајем.
Ранија повреда података у Екуифак-у се наводно догодила у марту и иако Екуифак тврди да је ово ранији хак није имао никакве везе са хаком који се догодио касније током године, рекли су неки анонимни извори иначе. У оба случаја, међутим, Екуифак је преузео услуге компаније за дигиталну безбедност Мандиант да истражи.
Повезан
- Ако користите ПаиПал, ваши лични подаци су можда компромитовани
- Увреда Мицрософт података открила је осетљиве податке 65.000 компанија
- Лични подаци 69 милиона Неопетс корисника сада су на продају након повреде података
Дана 2. октобра, Екуифак је објавио да је Мандиант завршио своју форензичку истрагу у вези са кршење од 7. септембра и да је додатних 2,5 милиона Американаца могло бити погођено овим хацк. Тиме је укупан број погођених порастао на 145,5 милиона. Међутим, Мандиант није пронашао ниједан додатни доказ о новим хакерским активностима. Штавише, чини се да се утицај кршења није протегао даље од Северне Америке — можда је погођено и око 8.000 Канађана (а не 100.000 како се раније мислило).
„У недељу сам обавештен да је анализа броја потрошача који би потенцијално били погођени инцидентом сајбер безбедности завршено, а ја сам наредио да резултати буду одмах објављени“, новоименовани привремени извршни директор, Паулино до Рего Баррос, Јр. рекао. „Наши приоритети су транспарентност и унапређење подршке потрошачима. Наставићу да пратим наш напредак на дневној бази.”
У писаном сведочењу, бивши извршни директор Ричард Смит рекао је Комитету за енергетику и трговину: „Изгледа да је до кршења дошло због људске грешке и кварова у технологији.
Недавно, додајући увреда за повреду, Екуифак Твитер налог је недавно послао купце на сајт „сецуритиекуифак2017.цом“, лажни сајт који јасно приказује веб адресу праве веб локације: екуифаксецурити2017.цом. Твит је, наравно, од тада уклоњен, али ово није први пут да Екуифак шаље људе на сајт за пхисхинг. Имајте на уму да Гоогле Цхроме сада означава лажну веб локацију као варљиву.
Марк Цоппоцк/Дигитал Трендс
Који су подаци украдени?
Иако се у овом тренутку чини мало вероватним да су још лични подаци корисника Екуифак-а украдени у оригиналном хаковању, то поставља озбиљна питања у вези са одговором компаније. Могуће је да је закон захтевао од Екуифак-а да открије информације о томе много раније него што је то учинила фирма и ово развој баца још оштрије светло на неке од сумњивих продаја акција које су извршили руководиоци компаније Екуифак у августа.
Америчко министарство правде отворило је кривичну истрагу о продаји акција Блоомберг извори.
Иако кршења Екуифак-а нису највећа у смислу броја жртава - Иахоо-ови напади укључили су више људи, анд тхе ХБО један је избацио више спојлера - забрињава због врсте личних података који су украдени. Примери осетљивих информација укључују 209.000 бројева кредитних картица, личне податке који се односе на кредитне спорове за 182.000 жртава и податке који се могу даље користити за приступ историје медицине, банковни рачуни и још много тога.
на 15. септембра, Екуифак је објавио више информација о хаку, а такође је напоменуо да су два виша руководиоца — главни службеник за информације и главни службеник за безбедност су „пензионисани“. С обзиром на недавне догађаје, међутим, у причи је вероватно више од пуког одлазак у пензију. Екуифак је даље открио да је његова интерна истрага још у току и да компанија „наставља да блиско сарађује са ФБИ-јем у својој истрази“. До сада је било открио је да је Екуифак први пут приметио сумњиву активност 29. јула 2017, али је сачекао до 2. августа да контактира фирму за сајбер безбедност и спроведе „свеобухватан форензички преглед“.
Као што је Памела Диксон, извршна директорка непрофитне истраживачке групе Ворлд Приваци Форум, рекла у изјави да је „Ово је онолико лоше колико може. Ако имате кредитни извештај, велике су шансе да сте у овом кршењу. Шансе су много веће од 50 одсто.”
Шта треба учинити поводом тога?
Према саопштењу за јавност које је издала канцеларија сенатора Марка Ворнера (Д. Вирџинија), напад Екуифак-а поставља важна питања о улози владе у одговору на сталну претњу личним подацима.
„Иако су многи можда навикли да чују за нову повреду података сваких неколико недеља, обим ове повреде – укључујући социјално осигурање бројеви, датуми рођења, адресе и бројеви кредитних картица скоро половине америчке популације – поставља озбиљна питања о томе да ли би Конгрес требао не само да створи јединствен стандард за обавештавање о кршењу података, већ и да ли Конгрес треба да поново размисли о политици заштите података, тако да предузећа као што је Екуифак, имају мање подстицаја за прикупљање великих, централизованих скупова веома осетљивих података као што су ССН и информације о кредитним картицама о милионима Американци.”
Називајући такве нападе „стварном претњом по економску безбедност Американаца“, вероватно је да ће Ворен и други владини званичници ће се залагати за доношење закона који стварају јачу заштиту потрошача од података крађу. Ворнер је радио на развоју управо те врсте закона и то ће се вероватно убрзати.
Екуифак ће такође слати писана обавештења свим потенцијално погођеним америчким потрошачима, а ажуриран је и онлајн алат који људи могу да користе за утврђивање ризика.
„Желим још једном да се извиним свим погођеним потрошачима. Пошто је ова важна фаза нашег рада сада завршена, настављамо да предузимамо бројне кораке да прегледамо и унапредимо наше праксе сајбер безбедности. Такође настављамо да блиско сарађујемо са нашим интерним тимом и спољним саветницима на имплементацији и убрзању дугорочних безбедносних побољшања“, додао је Барос почетком октобра.
Идите на екуифаксецурити2017.цом на Сазнајте више о нападу, сазнајте да ли сте погођени, и укључите се у бесплатну заштиту од крађе идентитета и услуге праћења датотека.
Ажурирано: Екуифак је сазнао да је додатних 2,5 милиона Американаца можда погођено кршењем.
Препоруке уредника
- Хак је укључивао податке целокупне популације нације
- Хакери су украли 1,5 милиона долара користећи податке о кредитним картицама купљеним на мрачном вебу
- Кршење података може коштати милионе долара - и можда га плаћате
- Хакер је украо 1 милијарду људи у евиденцији података без преседана
- Хакери су циљали на АМД да украду огромних 450 ГБ строго поверљивих података
