Рік Сміт, голова та генеральний директор Equifax, про інцидент кібербезпеки, пов’язаний із даними споживачів.
Після масштабного витоку даних, який Equifax оприлюднив громадськості на початку вересня, з’явилися новини про другу, більш ранню атаку на кредитне агентство. Хоча спочатку це були лише чутки з анонімних джерел, 19 вересня Equifax підтвердив, що вторинний злом, який стався в березні, хоча фірма заперечувала, що він мав будь-яке відношення до більший хак. Додаючи образу до шкоди, Equifax тепер ненавмисно сприяв фішинговій кампанії, відправляючи своїх клієнтів на фішинговий сайт, а не на власний портал сповіщень про порушення.
Рекомендовані відео
Ланцюг подій до цього часу
Як спочатку повідомляла New York Times, Перша кібератака, про яку ми дізналися, сталася десь між серединою травня 2017 року та 29 липня, коли вторгнення було виявлено. Що робить атаку Equifax особливо неприємною, так це статус компанії як центральної розрахункової палати для конфіденційних кредитів інформація, включаючи номери соціального страхування, номери водійських прав та інші дані, які можуть бути використані різними способами для шкоди тим, постраждали.
Зазначається, що попередній витік даних у Equifax стався в березні, і хоча Equifax стверджує, що це Деякі анонімні джерела повідомили, що попередній злом не мав нічого спільного зі зломом, який стався пізніше цього року. інакше. Однак в обох випадках Equifax взяв для розслідування послуги компанії з цифрової безпеки Mandiant.
Пов'язані
- Якщо ви використовуєте PayPal, ваші особисті дані можуть бути скомпрометовані
- Порушення даних Microsoft виявило конфіденційні дані 65 000 компаній
- Особисті дані 69 мільйонів користувачів Neopets тепер виставлені на продаж після витоку даних
2 жовтня Equifax оголосив, що Mandiant завершив своє судово-медичне розслідування щодо порушення 7 вересня, і що ще 2,5 мільйона американців могли постраждати від цього рубати. Таким чином, загальна кількість постраждалих досягла 145,5 мільйонів людей. Однак Mandiant не знайшов додаткових доказів нової хакерської діяльності. Крім того, здається, що вплив порушення не поширився за межі Північної Америки — також могло постраждати близько 8000 канадців (а не 100 000, як вважалося раніше).
«У неділю мені повідомили, що аналіз кількості споживачів, які потенційно постраждали від інциденту з кібербезпекою, був проведений. завершено, і я розпорядився, щоб результати були негайно оприлюднені», — новопризначений тимчасовий генеральний директор Пауліно до Рего Баррос молодший. сказав. «Нашими пріоритетами є прозорість і покращення підтримки споживачів. Я продовжуватиму щодня стежити за нашим прогресом».
У письмових свідченнях колишній генеральний директор Річард Сміт заявив Комітету з енергетики та торгівлі: «Схоже, що порушення сталося через людську помилку та технологічні збої».
Нещодавно додавши образа на травмуобліковий запис Equifax у Твіттері нещодавно спрямував клієнтів на сайт «securityequifax2017.com», фіктивний сайт, який явно використовує справжню веб-адресу сайту: equifaxsecurity2017.com. Природно, твіт було видалено, але це не перший раз, коли Equifax надсилає людей на фішинговий сайт. Зауважте, що Google Chrome тепер позначає підроблений сайт як оманливий.
Марк Коппок/Цифрові тенденції
Які дані були вкрадені?
Хоча на даний момент здається малоймовірним, що будь-яка особиста інформація клієнтів Equifax була вкрадена під час початкового злому, це викликає серйозні запитання щодо відповіді фірми. Цілком можливо, що закон вимагав від Equifax розкрити інформацію про це набагато раніше, ніж це зробила фірма, і це розробка проливає ще більш жорстке світло на деякі з підозрілих продажів акцій, здійснених керівниками Equifax у серпень.
Міністерство юстиції США порушило кримінальне розслідування за фактом продажу акцій Джерела Bloomberg.
Хоча злом Equifax не є найбільшим за кількістю жертв — Атаки Yahoo залучили більше людей, і HBO one скинув більше спойлерів — це викликає занепокоєння через вид особистої інформації, яку було вкрадено. Приклади конфіденційної інформації включають 209 000 номерів кредитних карток, особисту інформацію, пов’язану з кредитними спорами для 182 000 жертв, а також дані, які можуть бути використані для доступу до історії хвороби, банківські рахунки тощо.
Увімкнено 15 вересня, Equifax оприлюднив більше інформації про злом, а також зазначив, що два топ-менеджери — директор з інформації і головний офіцер безпеки «йшли на пенсію». Однак, враховуючи нещодавні події, в цій історії, ймовірно, є щось більше, ніж просто вихід на пенсію. Крім того, Equifax повідомила, що його внутрішнє розслідування все ще триває і що компанія «продовжує тісно співпрацювати з ФБР у своєму розслідуванні». Поки що це було показало, що Equifax вперше помітив підозрілу активність 29 липня 2017 року, але чекав до 2 серпня, щоб зв’язатися з фірмою з кібербезпеки та провести «всебічну судово-медичну експертизу».
Памела Діксон, виконавчий директор некомерційної дослідницької групи World Privacy Forum, сказала у заяві: «Це настільки погано, наскільки це можливо. Якщо у вас є кредитний звіт, швидше за все, ви можете потрапити в це порушення. Шанси набагато кращі, ніж 50 відсотків».
Що з цим робити?
Згідно з прес-релізом, опублікованим офісом сенатора Марка Ворнера (Д. Вірджинія), атака на Equifax піднімає важливі питання про роль уряду у реагуванні на постійну загрозу особистій інформації.
«Хоча багато хто, мабуть, звикли чути про нову витоку даних кожні кілька тижнів, масштаби цієї витоки – залучення соціального страхування номери, дати народження, адреси та номери кредитних карток майже половини населення США – викликає серйозні питання про те, чи повинен Конгрес не лише створити уніфікований стандарт сповіщення про порушення даних, а й чи потрібно Конгресу переглянути політику захисту даних, щоб підприємства такі як Equifax, мають менше стимулів збирати великі централізовані набори дуже конфіденційних даних, таких як SSN та інформація про кредитні картки мільйонів американці».
Називаючи такі атаки «реальною загрозою економічній безпеці американців», цілком ймовірно, що Уоррен і інші урядовці наполягатимуть на прийнятті законодавства, яке посилить захист споживачів від даних крадіжки. Warner працювала над розробкою саме такого роду законодавства, і це, ймовірно, прискориться.
Equifax також надсилатиме письмові повідомлення всім потенційно постраждалим споживачам у США, а також оновлено онлайн-інструмент, який люди можуть використовувати для визначення свого ризику.
«Я хочу ще раз вибачитися перед усіма постраждалими споживачами. Оскільки цей важливий етап нашої роботи завершено, ми продовжуємо вживати численних заходів для перегляду та вдосконалення наших методів кібербезпеки. Ми також продовжуємо тісно співпрацювати з нашою внутрішньою командою та зовнішніми консультантами для впровадження та прискорення довгострокових покращень безпеки», — додав Баррос на початку жовтня.
Перейдіть на equifaxsecurity2017.com, щоб вивчайте більше про атаку, з’ясуйте, чи вас це стосується, і зареєструватися в програмі безкоштовного захисту від крадіжки особистих даних і служби моніторингу файлів.
Оновлено: Equifax дізнався, що ще 2,5 мільйона американців могли постраждати від злому.
Рекомендації редакції
- Злом залучив дані всього населення країни
- Хакери вкрали 1,5 мільйона доларів, використовуючи дані кредитної картки, куплені в темній мережі
- Витік даних може коштувати мільйони доларів — і, можливо, ви платите за це
- Хакер викрав записи 1 мільярда людей у безпрецедентному зламі даних
- Хакери мали на меті AMD викрасти величезні 450 ГБ надсекретних даних
