På en stille ettermiddag i begynnelsen av september 2017 avslørte Equifax et ekstraordinært sikkerhetsbrudd som ble anslått å ha rammet nesten 200 millioner mennesker over hele verden. Gitt at selskapet først oppdaget bruddet i juli, burde det ha gitt god tid til å forberede seg på et svar og en løsning for alle berørte personer. I stedet fortsatte Equifax å gi verden et perfekt eksempel på hvordan ikke å håndtere et stort sikkerhetsbrudd.
Fra det enorme omfanget av datalekkasjen, forvirrende legalese og skjult usikre responssider, hadde Equifax alt. Legg til i påstander om insiderhandel, dårlig kommunikasjon, en 30 prosent reduksjon i aksjeverdi, sammen med ytterligere datalekkasjer, og selskapet syntes å ha satt seg opp for et dramatisk fall fra nåde. Vel, så mye nåde som et kredittrapporteringsbyrå, har du aldri eksplisitt avtalt å levere dine sensitive data til å ha.
EquiBreach
Equifaxs første uttalelse om bruddet sa at opptil 144 millioner amerikanere kan ha fått kredittinformasjonen deres kompromittert. Dette inkluderte navn, adresser, personnummer (SSN), fødselsdato og økonomiske poster. Selskapet rapporterte også at kredittkortnumre for 209 000 amerikanske forbrukere ble inkludert i bruddet. Videre har tvister med personlig identifiserende informasjon for 189.000 personer blitt lekket.
Innledende rapporter i media refererte til berørte personer som Equifaxs kunder. Du er imidlertid ikke egentlig en kunde av Equifax, Experian, TransUnion, eller andre kredittrapporteringsbyråer. Disse byråene samler inn data fra en rekke ulike tjenester og leverandører av finansielle produkter. Data brukes da til å generere kreditt score, slik at en utlåner kan vurdere risikoen du utgjør. Søknad om lån, kredittkort eller boliglån? Slik er beslutningen gjort.
Konsekvensanalyse og TrustedID Premier
For å kompensere deg for å miste dataene fra nesten halvparten av den amerikanske voksenbefolkningen, satt Equifax opp et nettsted, equifaxsecurity2017.com. Her kan du skrive inn navnet ditt og delvise SSN og finne ut om detaljene dine var blant de lekkede. I tillegg kan du registrere deg for deres tjeneste, TrustedID Premier. Dette er en trebyrå kreditt rapport og SSN overvåking verktøy, komplementære til amerikanske forbrukere i et år.
Likevel var Equifax i sin første opplysning, og i en uke etterpå, bemerkelsesverdig stille på detaljene. Angrepstypen, skyldige, og hvorfor den var i stand til å fortsette så lenge uten gjenkjenning, forblir en hemmelighet.
Dette førte mange til å mistenke at det var skyld på Equifax side. Seks dager senere, og etter enorme offentlige utbrudd og inngrep fra en todelt senatorsgruppe, innrømmet Equifax endelig at angrepet brukte en kjent Apache Strut-utnytte (CVE-2017-5638) - en patch som ble utgitt i mars 2017, to måneder før Equifax-bruddet. Dette viste seg at, akkurat som med WannaCry tidligere i året. Global Ransomware Attack og hvordan du beskytter dataene. Global Ransomware Attack og hvordan du beskytter dataene dine. En enorm cyberattack har rammet datamaskiner over hele verden. Har du blitt rammet av den svært virulente selvrepliserende ransomware? Hvis ikke, hvordan kan du beskytte dataene dine uten å betale løsepenge? Les mer, ikke oppdatering av programvaren din kan ha ødeleggende konsekvenser.
Ikke bare amerikanske forbrukere
Selv om det ikke ble oppgitt fra starten, ble Equifax tvunget til å innrømme at informasjonen for et "begrenset antall" av britiske og canadiske innbyggere også var med i bruddet. Opptil 44 millioner britiske forbrukere kan ikke engang ha vært klar over at det amerikanske kredittforetaket hadde sine data. Det ble imidlertid gitt til dem av selskaper som BT, British Gas og Capital One. Kredittilsynets britiske arm kunngjorde tidlig kveld fredag 15. september at 400.000 britiske innbyggere ble rammet. Dette mistenkte forsøket på å begrave nyheten avslørte en "prosessfeil" som varede et halvt tiår. Likevel har ingen veiledning til britiske eller canadiske innbyggere blitt tilbudt.
Equifaxs nettside Woes
Av grunner som ikke har blitt forklart, lanserte Equifax et eget nettsted for deres svar på bruddet. Gitt at nettstedet ble opprettet som svar på et stort sikkerhetsbrudd, kan du tenke deg at alle forholdsregler ville ha blitt tatt for å sikre at nettstedet var et skinnende signal av stabilitet. I stedet har det store volumet av amerikanske forbrukere som ønsker å kontrollere informasjonen, overveldet dem. Dette igjen mange som ikke har tilgang til nettstedet, eller for å laste resultatene av konsekvensanalysen.
@briankrebs Har du sett at OpenDNS blokkerer Equifax registreringssiden? Kaller det spam? pic.twitter.com/xqvr8wJyM0
- Nick Frichette (@Frichette_n) 8. september 2017
Selv da, kan tallene som besøker nettstedet ha vært større hvis det ikke hadde vært for dårlig nettside konfigurasjon. I folks bok ser det ut til at et nettsted uten domene med tvilsomme søkeord er et phishing-svindel. OpenDNS syntes å være enig, og blokkert tilgang til nettstedet for mange brukere. For å øke ironiens følelse, for å fullføre vurderingen må du skrive inn de seks siste sifrene i SSN. Dette er de samme dataene som Equifax allerede har bevist at de ikke kan beskytte!
Uverifiserbare resultater
Innen timer etter lanseringen av nettstedet, var det rapporter om at du ikke engang kunne stole på resultatene av konsekvensanalysen. Å skrive inn de samme detaljene flere ganger vil gi forskjellige svar på om du ble påvirket. Noen mennesker prøvde selv å skrive inn bevisst falsk informasjon. Foruroligende fant de at Equifax ville fortelle den ikke-eksisterende personen at deres data hadde blitt lekket.
Så til Equifax. Sjefen min kom nettopp inn i et falsk navn med sin 9 år gamle sønns personnummer og stedet sa at han ble rammet.
- G. ?? (@oh_sovivacious) 8. september 2017
Hvis du var villig til å akseptere at dataene dine faktisk var blitt kompromittert i bruddet, møtte Equifax deg med en vag uttalelse om bruddet og oppfordret deg til å registrere deg i TrustedID Premier. Gitt at Equifax var kilden til bruddet, virker det i dårlig smak at de oppfordrer deg til å registrere deg for en gratis prøveversjon av sin egen svindelbeskyttelsestjeneste.
OMG, Equifax Security Freeze PINs er verre enn jeg trodde. Hvis du fryser kreditten din idag, klokken 14:15 ET, vil du få PIN-kode 0908171415.
- Tony Webster (@webster) 9. september 2017
De som registrerte seg for TrustedID Premier var i stand til å utføre en kredittfrysing, og forsynt med en bekreftelses-PIN-kode. PIN-koden syntes imidlertid å være et tidsstempel når frysingen ble utført. Dette ville gjøre PIN-koden ubrukelig - det kan lett gjettes, slik at noen kan låse opp kredittfrysingen. Til tross for innledende fornektelser, sa Equifax senere at de overgikk til en ny metode som ville tilfeldigvis gi PIN-generasjon. I tillegg vil de tillate forbrukerne å be om en ny PIN-kode som skal sendes til sin registrerte postadresse.
The Legalese Debacle
Når Equifax først lanserte nettstedet Equifaxsecurity2017, syntes vilkårene for tjenesten for TrustedID Premier å innebære at bruker tjenesten, du avstod fra din rett til å delta i enhver klageaksjon mot firmaet i fremtiden. Opprøret ved denne oppfattede urettferdighet gjorde Equifax problem en oppdatering neste dag. De har nå uttalt at voldgiftsklausulen ikke gjaldt sikkerhetsbrudd.
Equifax tilbyr overvåking og identitetstyveribeskyttelse pkg, men i fintrykk, en voldgiftsklausul og klassehandling avstår 1/3 pic.twitter.com/8F58B5qh4w
- Rhana Natour (@RNatourious) 8. september 2017
Dette gjorde lite for å forsikre folk som forståelig nok ikke var overbevist om at de kom til en ytterligere uttalelse nesten en uke senere og sa at de "har fjernet språket fra TrustedID Premier Vilkår for bruk, og det vil ikke gjelde for de gratis produktene som tilbys som svar på cybersikkerhetshendelsen eller for krav knyttet til selve cybersikkerhetshendelsen. Voldgiftsspråket gjelder ikke for noen forbruker som registrerte seg før språket ble fjernet. "
Tatt til oppgave
I et trekk som Equifax hevder å være totalt tilfeldighet, bare to dager etter at de først oppdaget bruddet, solgte tre ledende ansatte aksjer på totalt 1, 8 millioner dollar. Dette betydelige salget var bare dager etter å oppdage bruddet, men over en måned før de offentliggjorde det. Hvis enkeltpersonene hadde kunnskap om sikkerhetsbrudd, ville de være i strid med innsidehandelshandling. Bevisst eller ellers var deres rettidige salg heldig. På tidspunktet for skriving har Equifax's aksje falt 30 prosent siden avsløring av bruddet.
Bipartisan-gruppen av 36 senatorer sender brev til SEC, DOJ og FTC, som oppfordrer til en undersøkelse av Equifax-aksjesalg etter databrudd. pic.twitter.com/xEApcjFFkP
- Kyle Griffin (@ kylegriffin1) 13. september 2017
På grunn av den svært følsomme karakteren av bruddet, er mange berørte personer forståelig nok kritiske over Equifaxs tilsynelatende laksesikkerhet. For eksempel rapporterte USA Today at i løpet av få dager etter avsløringen ble 23 søksmål innlevert i 14 stater mot kredittrapporteringsbyrået. Som rapportert av Bloomberg, søker en klageaksjon i Oregon å søke erstatning på inntil 7 milliarder dollar. Selv om retten skulle tildele en så stor sum, svarer den til like under $ 500 per person. Ser dette ut til å kompensere for livstidsrisikoen for identitetstyveri?
Joshua Browder, skaperen av DoNotPay boten, utvidet sin funksjonalitet for å forenkle prosessen med å søke på småskaderetten for skader knyttet til Equifax-bruddet. Dette er beundringsverdig og går langt for å gjøre den ofte komplekse juridiske dokumentasjonen lettere å fordøye. Noen rapporter har imidlertid hevdet at DoNotPay-boten, opprinnelig utviklet for å hjelpe deg med å bekjempe parkeringsbøter, kunne automatisere hele prosessen. Som TechCrunch notater, er all bot virkelig en hjelp med det første papirarbeidet - du må fortsatt kjempe saken i retten.
En pågående hodepine rundt om i verden
Hvis det fortsatt var tvil om Equifaxs dårlige sikkerhetspraksis, vil et eksempel fra Equifaxs argentinske arm trolig fjerne det helt. Først rapportert av KrebsOnSecurity, ble en nettsportal som ble benyttet av ansatte til å avgjøre kreditttvister kalt Veraz (som betyr sannferdig på spansk) funnet å være sårbar. Du kan forvente at sårbarheten skal være teknisk, men i stedet var det en av de mest grunnleggende sikkerhetssviktene: dårlige passord. Den utrolig enkle, og i mange tilfeller standard, brukernavn og passordkombinasjon av admin / admin tillot alle som skjedde over nettstedet for å logge inn på medarbeidsportalen.
Det var sjokkerende at du fikk se, redigere og slette brukernavn og passord for over 100 argentinske Equifax-ansatte. I hvert tilfelle ble plaintext-passordene funnet å være de samme som medarbeiderens brukernavn. Hvis det ikke var alvorlig, var det et område på nettstedet med 715 sider med detaljerte rapporter om hver klage eller tvist som var logget inn med Equifax. Denne informasjonen inkluderte DNI (den argentinske ekvivalenten til SSN) for mer enn 14.000 mennesker - igjen, alt i ren tekst. Equifax tok raskt nettsiden offline etter å ha blitt kontaktet av KrebsOnSecurity, og undersøker for øyeblikket sin nyeste sikkerhetsfilm.
Hva kan du gjøre?
Det første trinnet er å bruke Equifaxs nettsted for å sjekke om dataene dine var påvirket av bruddet. Hvordan sjekke om dataene dine ble stjålet i Equifax-bruddet. Slik sjekker du om dataene dine ble stjålet i Equifax-bruddsnykket, ble bare oppdaget av en Equifax-data brudd som påvirker opptil 80 prosent av alle amerikanske kredittkortbrukere. Er du en av dem? Slik sjekker du. Les mer . Men da resultatene kan være inkonsekvent, kan det være best å anta at du ble påvirket. Siden selskapet nå har avklart språket rundt det, melde du på deres TrustedID Premier-tjeneste. Dette vil tillate deg å utføre en kredittfrysning. Slik forhindrer du identitetstyveri ved å fryse ditt kreditt. Slik forhindrer du identitetstyveri ved å fryse kreditt. Dine personopplysninger er blitt kompromittert, men identiteten din er ennå ikke stjålet. Er det noe du kan gjøre for å redusere risikoen din? Vel, du kan prøve å fryse din kreditt - det er slik. Les mer, og stopp noen som åpner kreditt i ditt navn. Gitt den sensitive karakteren av dataene som er tapt i lekkasjen, er det potensial for svindlere å peddle sine varer, så vær våken mot sosialteknikk. Slik beskytter du deg selv mot disse 8 samfunnsmessige tiltak angrep. Slik beskytter du deg selv mot disse 8 sosialtekniske angrep. Hva sosialt teknikk teknikker ville hacker bruk og hvordan ville du beskytte deg selv fra dem? La oss ta en titt på noen av de vanligste angrepsmåtene. Les mer og phishing-svindel Slik sporer du en Phishing-e-post Slik sporer du en Phishing-e-post Det er vanskelig å få tak i en phishing-epost. Svindlere utgjør som PayPal eller Amazon, prøver å stjele ditt passord og kredittkortinformasjon, er deres bedrag er nesten perfekt. Vi viser deg hvordan du kan se svindelen. Les mer .
I kølvandet på mange brudd på data, vil vi ofte anbefale deg å endre passordene dine, begynne å bruke en passordmanager. Hvordan passordadministratorer holder passordene dine trygge. Hvordan passordadministratorer holder passordene dine? Passord som er vanskelig å knekke, er også vanskelig å huske. Vil du være trygg? Du trenger en passordbehandling. Slik fungerer de og hvordan de holder deg trygge. Les mer, registrer deg for å ha blitt sendt. Sjekk nå og se om passordene dine har blitt lekket. Sjekk nå og se om passordene dine noensinne har blitt lekket. Dette smarte verktøyet lar deg sjekke passord for å se om det noen gang har vært en del av datalekkasje. Les mer, aktiver tofaktorautentisering Hva er tofaktorautentisering, og hvorfor du bør bruke det Hva er tofaktorautentisering, og hvorfor du bør bruke det Tofaktorautentisering (2FA) er en sikkerhetsmetode som krever to forskjellige måter å bevise din identitet. Det brukes vanligvis i hverdagen. For eksempel å betale med et kredittkort krever ikke bare kortet, ... Les mer om mulig, og forbedre din cyberhygiene Forbedre Cyber Hygiene i 5 enkle trinn Forbedre Cyber Hygiene i 5 enkle trinn I den digitale verden, "cyber hygiene "er like viktig som ekte personlig hygiene. Regelmessige systemkontroller er nødvendig, sammen med nye, sikrere nettvaner. Men hvordan kan du gjøre disse endringene? Les mer . Mens ingen av disse vil beskytte deg direkte mot Equifax-lekkasjen, vil stramming av sikkerheten din ikke skade deg. Kanskje gitt omstendighetene ville det også være verdt å gå den ekstra mile og utføre en full sikkerhetskontroll. Beskytt deg selv med en årlig sikkerhet og personvernskontroll. Beskytt deg selv med en årlig sikkerhet og personvernkontroll. Vi er nesten to måneder inn i det nye året, men det er fortsatt tid til å gjøre en positiv oppløsning. Glem å drikke mindre koffein - vi snakker om å ta skritt for å sikre online sikkerhet og personvern. Les mer .
Equihaxxed
Equifax-bruddet vil mest sannsynlig være standout-sikkerhetshendelsen i et år som er brutt med databrudd og ransomware-angrep. Som med andre høyprofilerte sikkerhetshendelser som WannaCry og den uendelige strømmen av datalekkasje, finnes det en sølvfôr som finnes i den forbløffende naturen i Equifax-bruddet. Ved å bringe offentlighetens oppmerksomhet til datasikkerhet, kredittrapportering og bedriftsproblemer er det en mulighet for at disse sakene blir diskutert og redusert. Det sterke svaret fra mange amerikanske senatorer vil forhåpentligvis sikre at dette bruddet ikke forsvinner inn i bakgrunnen. Equifax har i det minste innrømmet at noen personellendringer er påkrevet - Chief Information Officer og Chief Security Officer har "pensjonert" som et resultat.
Til tross for sin høye profil og store omfang, er det fortsatt ingen informasjon om hvem angriperne var. For deres del har Equifax holdt seg helt stille i saken - i tråd med resten av deres dårlig styrte respons. Bare dager etter at bruddet ble offentliggjort, oppsto en gruppe som hevdet å ha dataene og krevde et løsesum på 600 Bitcoin. Etter at forskerne oppdaget hosting-tjenesten til .onion-nettstedet, ble det umiddelbart slått av.
Separat hevdet en gruppe som kalte seg Equihax, også å være i besittelse av dataene, men tilbød ikke verifiserbare bevis. Gitt hvor potensielt lukrative dataene er, kan du være sikker på at det ikke vil vare lenge før hackerne prøver å tjene penger.
Var du påvirket av Equifax sikkerhetsbrudd? Tror du Equifax er skylden, og kunne de ha gjort mer for å beskytte deg? Gi oss beskjed i kommentarene!
Bilde Kreditt: Stevanovicigor / Depositphotos