Rick Smith ประธานและซีอีโอของ Equifax เกี่ยวกับเหตุการณ์ความปลอดภัยทางไซเบอร์ที่เกี่ยวข้องกับข้อมูลผู้บริโภค
หลังจากการรั่วไหลของข้อมูลครั้งใหญ่ที่ Equifax เปิดเผยต่อสาธารณะเมื่อต้นเดือนกันยายน ข่าวการโจมตีครั้งที่สองที่หน่วยงานสินเชื่อได้เกิดขึ้นก่อนหน้านี้ แม้ว่าเดิมทีเป็นเพียงข่าวลือจากแหล่งที่ไม่เปิดเผยตัวตน แต่เมื่อวันที่ 19 กันยายน Equifax ได้ยืนยัน การแฮ็กครั้งที่สองซึ่งเกิดขึ้นในเดือนมีนาคม แม้ว่าบริษัทจะปฏิเสธว่าไม่เกี่ยวข้องกับก็ตาม แฮ็คที่ใหญ่กว่า นอกเหนือจากการดูถูกอาการบาดเจ็บแล้ว Equifax ได้มีส่วนสนับสนุนแคมเปญฟิชชิ่งโดยไม่ได้ตั้งใจด้วยการส่งลูกค้าไปยังไซต์ฟิชชิ่ง แทนที่จะเป็นพอร์ทัลแจ้งเตือนการละเมิดของตนเอง
วิดีโอแนะนำ
ห่วงโซ่ของเหตุการณ์จนถึงขณะนี้
ตามที่รายงานโดย New York Times ในตอนแรก การโจมตีทางไซเบอร์ครั้งแรกที่เราเรียนรู้เกิดขึ้นระหว่างกลางเดือนพฤษภาคม 2560 ถึง 29 กรกฎาคมเมื่อมีการค้นพบการบุกรุก สิ่งที่ทำให้การโจมตี Equifax เป็นปัญหาอย่างยิ่งคือสถานะของบริษัทในฐานะสำนักหักบัญชีกลางที่เกี่ยวข้องกับเครดิตที่มีความละเอียดอ่อน ข้อมูลต่างๆ เช่น หมายเลขประกันสังคม หมายเลขใบขับขี่ และข้อมูลอื่น ๆ ที่สามารถนำมาใช้ในทางเสียหายได้หลากหลายวิธี ได้รับผลกระทบ
การละเมิดข้อมูลก่อนหน้านี้ที่ Equifax กล่าวกันว่าเกิดขึ้นในเดือนมีนาคม และแม้ว่า Equifax จะอ้างว่าเป็นเช่นนั้นก็ตาม การแฮ็กก่อนหน้านี้ไม่เกี่ยวข้องกับการแฮ็กที่เกิดขึ้นในปลายปีนี้ แหล่งข่าวที่ไม่ระบุชื่อบางแห่งกล่าว มิฉะนั้น. อย่างไรก็ตาม ในทั้งสองกรณี Equifax ได้ใช้บริการของบริษัทรักษาความปลอดภัยดิจิทัล Mandiant เพื่อตรวจสอบ
ที่เกี่ยวข้อง
- หากคุณใช้ PayPal ข้อมูลส่วนบุคคลของคุณอาจถูกบุกรุก
- ข้อมูลของ Microsoft ละเมิดข้อมูลที่ละเอียดอ่อนของบริษัท 65,000 แห่งที่ถูกเปิดเผย
- ข้อมูลส่วนบุคคลของผู้ใช้ Neopets 69 ล้านรายถูกขายแล้วหลังจากการละเมิดข้อมูล
เมื่อวันที่ 2 ตุลาคม Equifax ประกาศว่า Mandiant ได้เสร็จสิ้นการสอบสวนทางนิติวิทยาศาสตร์เกี่ยวกับเรื่องนี้แล้ว การละเมิดเมื่อวันที่ 7 กันยายน และชาวอเมริกันอีก 2.5 ล้านคนอาจได้รับผลกระทบจาก สับ. ยอดรวมผู้ได้รับผลกระทบ 145.5 ล้านคน อย่างไรก็ตาม Mandiant ไม่พบหลักฐานเพิ่มเติมใด ๆ เกี่ยวกับกิจกรรมการแฮ็กใหม่ นอกจากนี้ ดูเหมือนว่าผลกระทบของการละเมิดไม่ได้ขยายไปไกลกว่าอเมริกาเหนือ – ชาวแคนาดาประมาณ 8,000 คน (ไม่ใช่ 100,000 คนตามที่คิดไว้ก่อนหน้านี้) อาจได้รับผลกระทบเช่นกัน
“ฉันได้รับคำแนะนำเมื่อวันอาทิตย์ว่าได้ทำการวิเคราะห์จำนวนผู้บริโภคที่อาจได้รับผลกระทบจากเหตุการณ์ความปลอดภัยทางไซเบอร์แล้ว เสร็จสิ้น และข้าพเจ้าได้สั่งการให้ประกาศผลทันที” เปาลิโน โด รีโก บาร์รอส จูเนียร์ ซีอีโอชั่วคราวที่ได้รับการแต่งตั้งใหม่ พูดว่า. “ลำดับความสำคัญของเราคือความโปร่งใสและการปรับปรุงการสนับสนุนสำหรับผู้บริโภค ฉันจะติดตามความคืบหน้าของเราต่อไปทุกวัน”
ในคำให้การที่เป็นลายลักษณ์อักษร อดีต CEO Richard Smith บอกกับคณะกรรมการพลังงานและการพาณิชย์ว่า “ดูเหมือนว่าการละเมิดเกิดขึ้นเนื่องจากข้อผิดพลาดของมนุษย์และความล้มเหลวทางเทคโนโลยี”
ล่าสุดเพิ่ม ดูถูกอาการบาดเจ็บบัญชี Twitter ของ Equifax เพิ่งส่งลูกค้าไปยังไซต์ "securityequifax2017.com" ซึ่งเป็นไซต์ปลอมที่แสดงที่อยู่เว็บของไซต์จริงอย่างชัดเจน: equifaxsecurity2017.com ทวีตดังกล่าวได้ถูกลบออกไปแล้ว แต่นี่ไม่ใช่ครั้งแรกที่ Equifax ส่งผู้คนไปยังไซต์ฟิชชิ่ง โปรดทราบว่าขณะนี้ Google Chrome ตั้งค่าสถานะไซต์ปลอมว่าหลอกลวง
มาร์ค คอปป็อก/เทรนด์ดิจิทัล
ข้อมูลใดบ้างที่ถูกขโมย?
แม้ว่า ณ จุดนี้ดูเหมือนว่าไม่น่าเป็นไปได้ที่ข้อมูลส่วนบุคคลของลูกค้า Equifax จะถูกขโมยไปจากการแฮ็กครั้งแรก แต่ก็ทำให้เกิดคำถามร้ายแรงเกี่ยวกับการตอบสนองของบริษัท เป็นไปได้ที่กฎหมายกำหนดให้ Equifax เปิดเผยข้อมูลเกี่ยวกับเรื่องนี้เร็วกว่าที่บริษัทเปิดเผย การพัฒนายังเผยให้เห็นถึงยอดขายหุ้นที่น่าสงสัยของผู้บริหาร Equifax อีกด้วย สิงหาคม.
กระทรวงยุติธรรมสหรัฐฯ ได้เปิดการสอบสวนทางอาญาเกี่ยวกับการขายหุ้นแล้ว แหล่งข่าวบลูมเบิร์ก.
แม้ว่าการละเมิด Equifax จะไม่ใช่การละเมิดที่ใหญ่ที่สุดในแง่ของจำนวนเหยื่อ — การโจมตีของ Yahoo เกี่ยวข้องกับผู้คนจำนวนมากขึ้น, และ HBO หนึ่งทิ้งสปอยเลอร์เพิ่มเติม — เป็นเรื่องที่น่ากังวลเนื่องจากข้อมูลส่วนบุคคลประเภทหนึ่งที่ถูกขโมย ตัวอย่างข้อมูลที่ละเอียดอ่อน ได้แก่ หมายเลขบัตรเครดิต 209,000 หมายเลข ข้อมูลส่วนบุคคลเกี่ยวกับข้อพิพาทด้านเครดิตแก่เหยื่อ 182,000 ราย และข้อมูลที่อาจนำไปใช้ในการเข้าถึงเพิ่มเติม ประวัติทางการแพทย์บัญชีธนาคาร และอื่นๆ
บน 15 กันยายนEquifax เปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับการแฮ็ก และยังตั้งข้อสังเกตอีกว่าผู้บริหารระดับสูงสองคนคือประธานเจ้าหน้าที่ฝ่ายสารสนเทศ และหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยก็ “เกษียณ” อย่างไรก็ตาม เมื่อพิจารณาจากเหตุการณ์ล่าสุด เรื่องราวนี้น่าจะมีอะไรมากกว่าแค่เพียงเท่านั้น เกษียณอายุ Equifax เปิดเผยเพิ่มเติมว่าการสอบสวนภายในยังคงดำเนินอยู่ และบริษัท “ยังคงทำงานอย่างใกล้ชิดกับ FBI ในการสืบสวน” ป่านนี้มันเป็นไปแล้ว เปิดเผยว่า Equifax สังเกตเห็นกิจกรรมที่น่าสงสัยครั้งแรกเมื่อวันที่ 29 กรกฎาคม 2017 แต่รอจนถึงวันที่ 2 สิงหาคมเพื่อติดต่อบริษัทรักษาความปลอดภัยทางไซเบอร์และดำเนินการ “ตรวจสอบทางนิติวิทยาศาสตร์อย่างครอบคลุม”
ดังที่ Pamela Dixon กรรมการบริหารของกลุ่มวิจัย World Privacy Forum ที่ไม่หวังผลกำไรกล่าวในแถลงการณ์ว่า “นี่ถือว่าแย่ที่สุดเท่าที่จะเป็นไปได้ หากคุณมีรายงานเครดิต มีโอกาสที่คุณจะตกอยู่ในการละเมิดนี้ โอกาสยังดีกว่า 50 เปอร์เซ็นต์มาก”
จะต้องทำอะไรเกี่ยวกับเรื่องนี้?
ตามคำแถลงข่าวที่ออกโดยสำนักงานวุฒิสมาชิก มาร์ก วอร์เนอร์ (D. เวอร์จิเนีย) การโจมตี Equifax ทำให้เกิดคำถามสำคัญเกี่ยวกับบทบาทของรัฐบาลในการตอบสนองต่อภัยคุกคามต่อข้อมูลส่วนบุคคลที่กำลังดำเนินอยู่
“ในขณะที่หลายคนอาจคุ้นเคยกับการได้ยินการละเมิดข้อมูลใหม่ทุกๆ สองสามสัปดาห์ ขอบเขตของการละเมิดนี้ - เกี่ยวข้องกับประกันสังคม หมายเลข วันเกิด ที่อยู่ และหมายเลขบัตรเครดิตของประชากรเกือบครึ่งหนึ่งของสหรัฐอเมริกา - ทำให้เกิดคำถามสำคัญว่าสภาคองเกรสควร ไม่เพียงแต่สร้างมาตรฐานการแจ้งเตือนการละเมิดข้อมูลที่เหมือนกัน แต่ยังรวมถึงว่าสภาคองเกรสจำเป็นต้องคิดทบทวนนโยบายการปกป้องข้อมูลใหม่เพื่อให้องค์กรต่างๆ เช่น Equifax มีแรงจูงใจน้อยกว่าในการเก็บรวบรวมชุดข้อมูลที่ละเอียดอ่อนสูงแบบรวมศูนย์ขนาดใหญ่ เช่น SSN และข้อมูลบัตรเครดิตบนข้อมูลนับล้าน ชาวอเมริกัน”
ในการเรียกการโจมตีดังกล่าวว่า “ภัยคุกคามที่แท้จริงต่อความมั่นคงทางเศรษฐกิจของชาวอเมริกัน” มีแนวโน้มว่าวอร์เรนและ เจ้าหน้าที่ของรัฐอื่นๆ จะผลักดันให้มีการออกกฎหมายเพื่อสร้างการคุ้มครองผู้บริโภคจากข้อมูลให้เข้มงวดยิ่งขึ้น ขโมย วอร์เนอร์กำลังพัฒนากฎหมายประเภทนั้นอยู่ และมีแนวโน้มว่าจะเร่งดำเนินการให้เร็วขึ้น
Equifax จะส่งประกาศเป็นลายลักษณ์อักษรไปยังผู้บริโภคทั้งหมดที่อาจได้รับผลกระทบในสหรัฐอเมริกา และเครื่องมือออนไลน์ที่ผู้ใช้สามารถใช้เพื่อระบุความเสี่ยงของพวกเขาก็ได้รับการอัปเดตเช่นกัน
“ฉันอยากจะขอโทษผู้บริโภคที่ได้รับผลกระทบอีกครั้งอีกครั้ง เนื่องจากขั้นตอนสำคัญของงานของเราเสร็จสิ้นแล้ว เรายังคงดำเนินการตามขั้นตอนต่างๆ มากมายเพื่อตรวจสอบและปรับปรุงแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ของเรา นอกจากนี้เรายังทำงานอย่างใกล้ชิดกับทีมงานภายในและที่ปรึกษาภายนอกเพื่อดำเนินการและเร่งการปรับปรุงความปลอดภัยในระยะยาว” Barros กล่าวเสริมเมื่อต้นเดือนตุลาคม
ไปที่ equifaxsecurity2017.com ไปที่ เรียนรู้เพิ่มเติม เกี่ยวกับการโจมตี ค้นหาว่าคุณได้รับผลกระทบหรือไม่, และ ลงทะเบียนในการป้องกันการโจรกรรมข้อมูลส่วนบุคคลฟรี และบริการตรวจสอบไฟล์
อัปเดต: Equifax ได้เรียนรู้ว่าชาวอเมริกันอีก 2.5 ล้านคนอาจได้รับผลกระทบจากการละเมิดดังกล่าว
คำแนะนำของบรรณาธิการ
- การแฮ็กเกี่ยวข้องกับข้อมูลประชากรทั้งหมดของประเทศ
- แฮกเกอร์ขโมยเงิน 1.5 ล้านดอลลาร์โดยใช้ข้อมูลบัตรเครดิตที่ซื้อบนเว็บมืด
- การละเมิดข้อมูลอาจก่อให้เกิดความเสียหายหลายล้านดอลลาร์ และคุณอาจต้องชดใช้
- แฮกเกอร์ขโมยบันทึกของผู้คน 1 พันล้านคนจากการละเมิดข้อมูลที่ไม่เคยเกิดขึ้นมาก่อน
- แฮกเกอร์มุ่งเป้าไปที่ AMD เพื่อขโมยข้อมูลลับสุดยอดขนาดใหญ่ถึง 450GB
