Rick Smith, styrelseordförande och VD för Equifax, om cybersäkerhetsincident som involverar konsumentdata.
Efter det massiva dataintrång som Equifax avslöjade för allmänheten i början av september, har nyheter om en andra, tidigare attack mot kreditbyrån dykt upp. Även om det ursprungligen bara var ett rykte från anonyma källor, bekräftade Equifax den 19 september sekundärt hack, som ägde rum i mars, även om företaget förnekade att det hade något att göra med större hack. Equifax har nu oavsiktligt bidragit till en nätfiskekampanj genom att lägga förolämpning till skada genom att skicka sina kunder till en nätfiskewebbplats snarare än sin egen portal för meddelanden om intrång.
Rekommenderade videor
Händelsekedjan hittills
Som ursprungligen rapporterades av New York Times, den första cyberattacken vi fick veta om inträffade någon gång mellan mitten av maj 2017 och den 29 juli när intrånget upptäcktes. Det som gör Equifax-attacken särskilt besvärlig är företagets status som centralt clearinghus för känsliga kreditrelaterade information inklusive personnummer, körkortsnummer och annan data som kan användas på en mängd olika sätt för att skada dessa påverkade.
Det tidigare dataintrånget hos Equifax sägs ha ägt rum i mars och även om Equifax hävdar att detta tidigare hack hade inget att göra med hacket som ägde rum senare under året, har några anonyma källor sagt annat. I båda fallen tog Equifax dock in på tjänsterna från det digitala säkerhetsföretaget Mandiant för att utreda.
Relaterad
- Om du använder PayPal kan dina personuppgifter ha äventyrats
- Microsofts dataintrång avslöjade känsliga uppgifter från 65 000 företag
- Personuppgifter om 69 miljoner Neopets-användare finns nu till försäljning efter ett dataintrång
Den 2 oktober meddelade Equifax att Mandiant avslutat sin rättsmedicinska utredning ang intrånget den 7 september och att ytterligare 2,5 miljoner amerikaner kan ha påverkats av hacka. Detta tar upp det totala antalet personer som drabbats till 145,5 miljoner. Mandiant hittade dock inga ytterligare bevis på ny hackningsaktivitet. Dessutom verkar det som att intrånget inte sträckte sig längre än till Nordamerika - cirka 8 000 kanadensare (inte 100 000 som tidigare trott) kan också ha drabbats.
"Jag fick veta i söndags att analysen av antalet konsumenter som potentiellt påverkas av cybersäkerhetsincidenten har gjorts slutfört, och jag beordrade att resultaten skulle släppas omedelbart,” nyutnämnd tillförordnad vd, Paulino do Rego Barros, Jr. sa. ”Våra prioriteringar är transparens och att förbättra stödet till konsumenterna. Jag kommer att fortsätta att övervaka våra framsteg dagligen.”
I ett skriftligt vittnesmål sa den tidigare vd: n Richard Smith till energi- och handelskommittén: "Det verkar som om intrånget inträffade på grund av både mänskliga fel och tekniska misslyckanden."
Nyligen tillade förolämpning mot skada, Equifax Twitter-konto skickade nyligen kunder till sajten "securityequifax2017.com", en falsk sajt som tydligt spelar upp den riktiga sajtens webbadress: equifaxsecurity2017.com. Tweeten har naturligtvis sedan tagits bort, men det är inte första gången som Equifax skickar folk till nätfiskesidan. Observera att Google Chrome nu flaggar den falska webbplatsen som vilseledande.
Mark Coppock/Digital Trends
Vilken data stals?
Även om det vid det här laget verkar osannolikt att någon mer personlig information om Equifax-kunder stals i det ursprungliga hacket, väcker det allvarliga frågor om företagets svar. Det är möjligt att lagen krävde Equifax att avslöja information om det mycket tidigare än företaget gjorde och detta utvecklingen lyser ett ännu hårdare ljus på några av de misstänkta aktieförsäljningarna som Equifax-chefer gör i augusti.
Det amerikanska justitiedepartementet har inlett en brottsutredning om aktieförsäljningen, enligt Bloombergs källor.
Även om Equifax-överträdelserna inte är de största när det gäller antalet offer - Yahoos attacker involverade fler människor, och den HBO one dumpade fler spoilers – Det är oroande på grund av den typ av personlig information som stals. Exempel på känslig information inkluderar 209 000 kreditkortsnummer, personlig information om kredittvister för 182 000 offer och data som kan användas ytterligare för att komma åt medicinska historier, bankkonton och mer.
På 15 september, Equifax släppte mer information om hacket och noterade också att två ledande befattningshavare — Chief Information Officer och Chief Security Officer "går i pension". Med tanke på den senaste tidens händelser, men det finns sannolikt mer i historien än bara pensionering. Equifax avslöjade vidare att dess interna utredning fortfarande pågår och att företaget "fortsätter att arbeta nära FBI i sin utredning." Hittills har det varit avslöjade att Equifax först märkte misstänkt aktivitet den 29 juli 2017, men väntade till den 2 augusti med att kontakta ett cybersäkerhetsföretag och genomföra en "omfattande kriminalteknisk granskning."
Som Pamela Dixon, verkställande direktör för den ideella forskningsgruppen World Privacy Forum, sa i ett uttalande att "Det här är ungefär så illa som det kan bli. Om du har en kreditupplysning är chansen stor att du är i detta brott. Chanserna är mycket bättre än 50 procent.”
Vad ska göras åt det?
Enligt ett pressmeddelande utfärdat av senator Mark Warners kontor (D. Virginia), väcker Equifax-attacken viktiga frågor om regeringens roll för att svara på det pågående hotet mot personlig information.
"Medan många kanske har blivit vana vid att höra om ett nytt dataintrång med några veckors mellanrum, är omfattningen av detta intrång – som involverar social trygghet nummer, födelsedatum, adresser och kreditkortsnummer för nästan hälften av den amerikanska befolkningen – väcker allvarliga frågor om huruvida kongressen borde inte bara skapa en enhetlig standard för meddelanden om dataintrång, utan också om kongressen behöver ompröva dataskyddspolicyn, så att företag som Equifax har färre incitament att samla in stora, centraliserade uppsättningar av mycket känsliga uppgifter som SSN och kreditkortsinformation om miljontals amerikaner."
Genom att kalla sådana attacker "ett verkligt hot mot amerikanernas ekonomiska säkerhet" är det troligt att Warren och andra regeringstjänstemän kommer att driva på för lagstiftning som skapar starkare konsumentskydd mot data stöld. Warner har arbetat med att utveckla just den typen av lagstiftning, och det kommer sannolikt att accelerera.
Equifax kommer också att skicka skriftliga meddelanden till alla potentiellt påverkade amerikanska konsumenter, och onlineverktyget som folk kan använda för att fastställa sin risk har också uppdaterats.
"Jag vill be om ursäkt igen till alla berörda konsumenter. Eftersom denna viktiga fas av vårt arbete nu är avslutad, fortsätter vi att vidta många steg för att se över och förbättra vår cybersäkerhetspraxis. Vi fortsätter också att arbeta nära vårt interna team och externa rådgivare för att implementera och påskynda långsiktiga säkerhetsförbättringar”, tillade Barros i början av oktober.
Gå till equifaxsecurity2017.com för att lär dig mer om attacken, ta reda på om du är påverkad, och registrera dig för gratis identitetsstöldskydd och filövervakningstjänster.
Uppdaterat: Equifax har fått reda på att ytterligare 2,5 miljoner amerikaner kan ha drabbats av intrånget.
Redaktörens rekommendationer
- Hack involverade data från en nations hela befolkning
- Hackare stal 1,5 miljoner dollar genom att använda kreditkortsdata som köpts på den mörka webben
- Ett dataintrång kan kosta miljontals dollar – och du kanske betalar det
- Hacker stjäl 1 miljard människors register i dataintrång utan motstycke
- Hackare riktade in sig på AMD för att stjäla enorma 450 GB topphemlig data
