Equifax Inc. (EFX) 7 Eylül 2017'de 143 milyon müşterisinin Mayıs ortası ile Temmuz ayları arasında meydana gelen bir saldırıdan etkilendiğini açıkladı. Bu rakam, önümüzdeki haftalarda 145.5 milyona, daha sonra şirketin 2.4 milyon ek kurban tespit ettiğini söylediği 1 Mart 2018'de 147.9 milyona ulaştı.
Aynı gün piyasa kapandıktan sonra şirket dördüncü çeyrek ve tam yıl finansal sonuçlarını bildirdi. Şirketin dördüncü çeyrek gelirleri yıllık% 5 artışla 838, 5 milyon $ 'a yükseldi. Üç aylık net gelir geçen yıla göre% 40 artışla 172.3 milyon $ 'a yükseldi. Tam yıl gelirleri ve karları da 2016'ya göre yükseldi: gelirler% 7 artışla 3.4 milyar $ 'a yükselirken, net gelir% 20 artışla 587.3 milyon $' a yükseldi. Şirket, kesmek için dördüncü çeyrekte 26, 5 milyon dolara ve tüm yıl 114, 0 milyon dolara mal oldu. S&P 500 doğrultusunda% 1, 3 azalan stok, yazı yazılırken işlem sonrası% 0, 6 arttı.
Equifax'e göre 209.000 kadar müşteri kredi kartı numarası açıklandı ve 182.000 ABD tüketicisi ile ilgili kişisel bilgileri içeren anlaşmazlık belgelerinden ödün verildi. İngiliz tüketiciler de ihlalden etkilendi; bazı Kanadalıların tehlikeye girmesi mümkündür. Wall Street Journal'a göre, isimsiz bir kaynağa atıfta bulunarak, ihlalde 10.9 milyon Amerikalı sürücü ehliyeti verisi çalındı.
Şirket saldırıyı 29 Temmuz'dan beri biliyordu, ancak halkı uyarmak için bir aydan fazla bekledi. 20 Eylül'de Equifax tarafından sözleşme imzalanan FireEye Inc. (FEYE) iştiraki Mandiant'ın ihlalin en az 10 Mart'a kadar devam ettiği tahmin ediliyor.
FBI tarafından araştırılan saldırının kaynağı hakkında çok az bilgi var, ancak Bloomberg'e göre, Personel Yönetimi Ofisi ve Anthem Inc.'e yönelik daha önceki saldırılara benzerlikler, saldırganın devlet destekli, belki de Çin olabileceğini ileri sürüyor. Equifax müşterilerinin bilgilerinin karaborsada görünmemesi, bilgisayar korsanlarının sadece suçlu olmadığını da gösteriyor. Bloomberg ayrıca saldırganların belki de zenginlikleri veya istihbarat değerleri nedeniyle belirli kişileri hedef aldıklarını bildirdi.
ABD'nin yetişkin nüfusunun yaklaşık 250 milyon olduğu düşünüldüğünde, ihlalden etkilenme şansınız yüksektir. Saldırı yaklaşık altı ay önce başladığından beri zaten dolandırıcılık kurbanı olmanız da mümkündür.
Atlanta merkezli Equifax, en büyük üç tüketici kredi raporlama ajansından biri - diğer ikisi Experian PLC (Londra: EXPN) ve TransUnion (TRU) - Sosyal Güvenlik numaraları, kredi kartı numaraları, ehliyet numaraları, kira ve kamu hizmeti dahil verileri toplar ödeme bilgileri ve demografik veriler. Equifax'in modeli öncelikle işletmeler arası olduğu için, müşterilerinin çoğu verilerinin firma tarafından saklandığından habersizdir. Finans ve kredi sisteminden tamamen kaçınmanın yanı sıra, Equifax tarafından kişisel verilerin saklanmasını tercih etmenin kolay bir yolu yoktur. (Ayrıca bkz . Tarihin En Büyük 5 Kredi Kartı Veri Korsanlığı. )
Etkilendiğiniz Nasıl Kontrol Edilir
Equifax, Sosyal Güvenlik numaranızın soyadını ve son altı hanesini vererek bilgilerinizin tehlikeye girip girmediğini kontrol edebileceğiniz bir site kurdu. Bu site yoğun eleştirilere maruz kaldı ve güvenliğiyle ilgili sorular nedeniyle bağlantıyı kaldırdık. Hazır bir blog platformu olan WordPress kullanılarak kuruldu. Equifax'ın ana sitesine ayrı bir alanda yer almaktadır. Şirket, kimlik avı saldırıları için kullanılabilecek benzer URL'leri kaydetmeyi ihmal etti; bir beyaz şapka korsanı bir noktayı kanıtlamak için böyle bir site kurdu ve resmi bir Equifax hesabı sahte sitenin bağlantısını tweetledi. Birden fazla.
Equifax, TrustedID Premier olarak adlandırdığı aşağıdaki hizmetlerden etkilenen ya da etkilenmeyen müşterilere teklif verdi: Equifax kredi raporunun kopyaları, üç büyük kredi bürosu için kredi izleme ve otomatik uyarılar, Equifax kredi raporunuza üçüncü taraf erişimini engelleme yeteneği (istisnalar hariç), Sosyal Güvenlik numarası izleme ve kimlik hırsızlığı sigortası. Son başvuru tarihi 21 Kasım 2017 idi.
Şirket, bu hizmetlerin tamamının ücretsiz olduğunu, ancak kredi dosyasına güvenlik dondurması yerleştirmenin başlangıçta ücretsiz olmadığını söyledi - en azından herkes için değil. Bir Equifax kredi dosyasını 8 Eylül'de dondurmaya çalıştığımda, şirketin sitesi hizmetin 3, 00 dolara mal olacağını ve ödemeyi işlemek için kredi kartı bilgileri istediğini söyledi.
New York sakini olarak, Experian dosyama ücretsiz olarak dondurma yapabildim. TransUnion sitesi isteği başlangıçta işleme koyamadı - muhtemelen artan trafik belirtisi - ancak daha sonra ücretsiz olarak dondurma yapmama izin verdi.
E-postayla gönderilen bir açıklamada, Equifax sözcüsü Investopedia'ya 14 Eylül'de yaptığı açıklamada, firmanın kredi dosyalarını dondurmak için tüm masraflardan feragat ettiğini ve hack kamuya açıklandıktan sonra bunu yapan müşterileri otomatik olarak iade ettiğini söyledi. Şirketin kredi raporlarını donduran müşterilere verdiği PIN'lerde yeni bir endişe ve güvenlikte net bir artış ortaya çıktı. Müşterilerin kredi raporlarını çözmesine olanak tanıyan bu PIN'ler, kolayca tanımlanabilir bir model izler. Sözcü, bu hatalı PIN'lere sahip müşterilerin canlı bir ajanla konuşmak için 866-349-5191 numaralı telefonu araması gerektiğini söyledi.
TrustedID Premier hizmetleri Equifax listeleri ücretsiz olarak yalnızca bir yıl boyunca ücretsizdir. Bir Equifax sözcüsü, Investopedia'ya, müşteriler hizmet için kaydolduklarında şirketin kredi kartı bilgileri istemediğini ve şirketin otomatik olarak yenilemeyeceğini veya ücret almayacağını söyledi. Equifax'in standart kredi izleme oranı aylık 17 $ 'dır.
Etkilendiyseniz Ne Yapmalısınız?
NerdWallet'in kişisel finans yazarı Liz Weston, Investopedia ile bir e-postada paylaştığı Equifax ihlalinden etkilenenler için aşağıdaki tavsiyeye sahiptir: "Equifax kurbanlara ulaşacak ve onlara kredi izleme olanağı sunacak. İzlemeyi kabul etmek onların davalara veya yoldaki diğer eylemlere katılmalarını engellemez."
Başlangıçta TrustedID Premier'in hizmet şartları sayfası (arşivlenmiş sürüm), kullanıcıların Equifax'a karşı bir sınıf davasına katılma haklarından feragat etmelerini gerektiriyordu: "Taleplerinizi tahkime sunmayı kabul ederek, getirme veya katılma hakkınızı kaybedeceksiniz. Taleplerin dayandığı gerçekler ve koşullar zaten gerçekleşmiş olsa bile, herhangi bir sınıf eyleminde (adlandırılmış davacı veya sınıf üyesi olarak) veya bir sınıfın henüz sertifikalandırılmadığı sınıf talepleri dahil olmak üzere herhangi bir sınıf eylem ödülünde paylaşmak için ya da vardı. " Bir geri tepme sonrasında şirketin SSS sayfası, hükmün saldırıya değil TrustedID Premier hizmetine uygulandığını söyleyecek şekilde güncellendi. 12 Eylül sabahından itibaren hizmet şartlarında artık bir tahkim şartı yer almamaktadır.
Weston, etkilenen müşterilerin üç büyük büroda da kredi raporlarını dondurmayı düşünmesi gerektiğini söylüyor. Yukarıda belirtildiği gibi, kredi büroları bu dondurmayı başlatmak için ücret talep edebilir. Ayrıca, kredi kontrolüne ihtiyaç duyduğunuzda (örneğin cep telefonu servisine başvurmak için) dondurulmuş hesaplar için de ücretlendirilebilirsiniz. Bu ücretler genellikle 10 $ 'dan azdır, ancak toplanabilir. Weston, başka bir seçeneğin üç kredi bürosundaki kredi raporlarınıza sahtekarlık uyarısı vermek olduğunu belirtiyor. (Daha fazla bilgi için bkz. Kimlik Hırsızlığından Nasıl Kurtarılır .)
Equifax tarafından desteklenmeyen diğer kredi izleme hizmetleri de mevcuttur. Kimlik Hırsızlığı Koruma Hizmetleri: Sahip Olmaya Değer mi? araştırmanız için bir kaçını listeler.
Equifax Yanıtı
Equifax'in o zamanki başkanı ve CEO'su Richard Smith, saldırıdan sonra bunun "şirketimiz için açıkça hayal kırıklığı yaratan bir olay olduğunu ve kim olduğumuzun ve ne yaptığımızın kalbinde çarpıcı bir olay" olduğunu söyledi. 26 Eylül'de istifa etti ve 2017 için bir bonus almayacak. Ayrılışını 14 Eylül'de baş güvenlik sorumlusu Susan Mauldin ve baş bilgi sorumlusu David Webb izledi.
Şirket, hack'i şirket içinde ortaya çıkardıktan birkaç gün sonra - ve ihlal kamuya açıklanmadan önce - Equifax'ın finans müdürü John Gamble, işgücü çözümleri başkanı Rodolfo Ploder ve ABD bilgi çözümleri başkanı Joseph Loughran, Equifax hisselerini sattı. Equifax yaptığı açıklamada, yöneticilerin stoklarını sattıklarında ihlali bilmediklerini söyledi. Gamble, Ploder ve Loughran toplu olarak satışlardan yaklaşık 1.8 milyon dolar kazandılar.
28 Şubat itibarıyla Equifax hisseleri 7 Eylül'de kapanıştan% 20, 1 düştü (kesmek açıklanmadan önce) 113, 00 $. Birkaç gecikmeden sonra Equifax, 1 Mart'ta kapandıktan sonra dördüncü çeyrek kazançlarını rapor edeceğini söyledi.
Davalar Başlasın
Reuters, 11 Eylül'de ABD mahkemelerinde Equifax aleyhine açılmış 30'dan fazla davanın –çoğu sınıf davası isteyen - dava açıldığını bildirdi. Bazıları menkul kıymetler yasasını ihlal ettiğini iddia ediyor; diğerleri ise TrustedID'yi veri ihlallerinden etkilenen müşterilere maliyetli hizmetler sunmakla suçlar. Beş Utah sakinleri ABD Bölge Mahkemesinde şirkete müşterilerin hassas verilerini korumaması nedeniyle dava açtı. Dava, 5 milyar dolarlık parasal zararlar ve daha katı endüstri standartlarının uygulanmasını istiyor.
Etkilenen birkaç müşteri Equifax'tan rücu arama konusunda daha az geleneksel bir yol izliyor. DoNotPay chatbot, küçük ceza mahkemelerinde şikayette bulunma konusunda yardım sağlar ve azami cezalar 2.500 ila 25.000 dolar arasında değişir. Verge'ye göre bot, sadece bir dava için evrak üretebilir, gerçekte dava açamaz veya mahkemede görünemez.
FBI ve Atlanta merkezli ABD Avukatı John Horn 18 Eylül'de ihlale ilişkin ceza soruşturması yaptığını açıkladı. Tüketici Mali Koruma Bürosu ve genel 34 başsavcı soruşturma yürütüyor.
Bay Smith Washington'a gidiyor
3 Ekim'de eski CEO Richard Smith, House Dijital Ticaret ve Tüketiciyi Koruma alt komitesinden önce ifade verdi. Equifax'ın tüketici verilerini korumadaki başarısızlığından dolayı defalarca özür diledi ve ihlal ve Equifax'in yanıtıyla ilgili bir dizi sorunla ilgili sorularla karşılaştı. Tanıklığın ardından şirketin hisseleri yükseldi, ancak hack açıklanmadan önce işlem gördüğü seviyelerin çok altında kaldı.
Başlangıçta TrustedID Premier'in hizmet şartlarına dahil edilen tartışmalı tahkim şartına ilişkin sorulara yanıt olarak Smith, "demirbaş" şartının asla ihlal için geçerli olmadığını ve dahil edilmesine "hata" dediğini söyledi. Aynı şeyi "standart" olarak adlandırdığı diğer Equifax hizmetlerini düzenleyen benzer hükümleri söylemezdi.
Şüpheli bir şekilde yönetilen hisse senedi satışları da incelemeye girdi: Bir Illinois Demokrat olan Jan Schakowsky, satışın "koku testini geçmediğini" söyledi, ancak Smith, "bilgim dahilinde, bilmiyorlardı" o zamanki ihlal.
Smith, ihlali insan hatası ve teknolojik başarısızlığın sonucu olarak nitelendirdi: Saldırganların sömürdüğü genel olarak bilinen bir güvenlik açığına sahip olan Apache Struts yazılımını yamalatmaktan sorumlu kişi bunu yapamadı ve şirket bu hatanın da başarısız olduğu konusunda uyardı.
Şirketin krize karşı sert tepkisi de eleştirilere neden oldu: şüpheli bir URL ile bir WordPress sitesi kurmak, benzer alan adlarını güvence altına almak (ve hatta müşterileri bu alanlardan birine yönlendirmemek), personel çağrı merkezlerini yeterince yetersiz bırakmak ve genellikle hassas verilerin toplanması, güvence altına alınması ve satılması için var olan şirketin, veritabanlarında bir siber saldırı için tamamen hazırlıksız olduğu izlenimi. Temsilci Markwayne Mullin, Oklahoma Cumhuriyeti, Smith'e verdiği yanıtın bir yangın alarmı çekmek gibi olması gerektiğini söyledi: "hemen devreye giriyor." Smith, ekibinin "protokolü izlediğini" söyledi. Birkaç temsilci, Ağustos ayında, ihlali bildikten sonra, dolandırıcılığın "büyük bir fırsat" ve "büyük, büyüyen bir işletme" olarak nitelendirdiği bir konuşma yaptığını belirtti.
Smith, saldırının kaynağı hakkında bir devlet aktörü olup olmadığı da dahil olmak üzere soruları cevaplamayı reddetti. Sadece FBI'ın soruşturma yürüttüğünü söyledi. Görev süresi boyunca Equifax'ın siber güvenlik yatırımlarını savundu ve on iki yıl önce geldiğinde, veri korumasına neredeyse hiç yatırım olmadığını söyledi. Şirket çeyrek milyar dolar harcadı ve şirketin verilerini güvence altına almak için 225 kişilik bir ekip kiraladı, Smith, şirketin BT bütçesinin siber güvenlik alanındaki% 10-14'üne yatırım yaptığını söyledi.
Bazı Temsilciler, ihlalin kredi izleme endüstrisinin rolü ve tüketici hakları ile ilgili temel sorular açtığını belirtti. "Equifax'ımızı tercih etmek istersem ne olur?" Diye sordu Schakowski. Smith, "bu, kredi raporlama kuruluşlarının rolü hakkında çok daha geniş bir tartışma gerektiriyor." Temsilci Tonko, New York Demokratı, Equifax ile hiç iş yapmayı seçmediğini, gerçekte bir "müşteri" olmadığına dikkat çekerek duyguyu yineledi. "Bu şirketin varlığını sürdürmesine neden izin veriliyor?" O sordu. Smith, çeşitli noktalarda kimliğini kanıtlamanın bir yolu olarak Sosyal Güvenlik numaralarının değerini sorguladı ve "tüketiciye güç geri verme" konusunda belirsiz referanslar yaptı.
Günün en büyük sorusu Kaliforniya Demokrat Doris Matsui'den geldi: "Verilerimin sahibi miyim?" Smith cevap veremedi. (Ayrıca bkz. Blockchain , Verilerinizin Sahibi - Equifax Değil - Yapabilir. )