Oglas

Mirnog popodneva početkom rujna 2017. Equifax je otkrio izvanrednu narušavanje sigurnosti za koju se procjenjuje da je pogodila gotovo 200 milijuna ljudi širom svijeta. Obzirom da je tvrtka prvi put otkrila kršenje u srpnju, to je trebalo pružiti dovoljno vremena za pripremu odgovora i rješenja za sve pogođene osobe. Umjesto toga, Equifax je nastavio pružati svijetu savršen primjer kako ne riješiti veliki sigurnosni propust.

Iz ogromnog opsega podataka, zbunjujuće nelegalne i užasno nesigurne web stranice za reakcije, Equifax je to sve imao. Dodajte navode o trgovanju insajderima, lošoj komunikaciji, padu vrijednosti dionica od 30 posto, uz daljnje curenje podataka, a čini se da se tvrtka postavila za dramatični pad iz milosti. Pa, koliko god milosti bila agencija za izvještavanje o kreditima, nikad niste izričito pristali predati svoje osjetljive podatke.

EquiBreach

Prva izjava Equifaxa o kršenju zakona kaže da je do 144 milijuna Amerikanaca moglo biti ugroženo sa njihovim kreditnim podacima. To uključuje imena, adrese, brojeve socijalnog osiguranja (SSN-ove), datume rođenja i financijsku evidenciju. Iz tvrtke su također izvijestili da su u kršenje uključeni brojevi kreditnih kartica za 209.000 američkih potrošača. Nadalje, procurili su podaci o sporovima s osobnim podacima za 189.000 pojedinaca.

instagram viewer

Snimka zaslona objavljivanja ekvifaksa

Početna izvješća u medijima odnose se na ugrožene ljude kao kupce Equifaxa. Međutim, vi zapravo niste korisnik Equifaxa, Experiana, TransUniona ili bilo koje druge agencije za izvještavanje o kreditima. Te agencije prikupljaju podatke od različitih pružatelja usluga i financijskih proizvoda. Podaci se zatim koriste za generiranje Vašeg kreditnog rezultata, omogućavajući zajmodavcu da procijeni rizik koji predstavljate. Podnošenje zahtjeva za kredit, kreditnu karticu ili hipoteku? Tako se donosi odluka.

Procjena učinka i TrustedID Premier

Kako bi vam nadoknadio gubitak podataka gotovo polovine odraslog stanovništva SAD-a, Equifax je postavio web stranicu, equifaxsecurity2017.com. Ovdje možete unijeti svoje ime i djelomični SSN i ​​otkriti jesu li vaši podaci među njima procurili. Uz to biste se mogli upisati u njihovu uslugu, TrustedID Premier. Ovo je kreditno izvješće s tri biroa i SSN alat za praćenje, koji se nadopunjuju s američkim potrošačima tokom godinu dana.

Ipak, u svom početnom otkrivanju, i tjedan dana nakon toga, Equifax je bio nevjerojatno tihim detaljima. Vrsta napada, krivac i zašto se tako dugo moglo nastaviti, bez otkrivanja, ostala je tajna.

Zbog toga su mnogi posumnjali da postoji krivica na strani Equifaxa. Šest dana kasnije, nakon silnog javnog istupa i intervencija dvostranačke grupe senatora, Equifax je konačno priznao da je napad je upotrijebio poznati eksploata Apache Strut (CVE-2017-5638) - zakrpa za koju je pušten u ožujku 2017., dva mjeseca prije Equifaxa kršenje. To je dokazalo, kao i kod WannaCry početkom godine Global Ransomware Attack i kako zaštititi svoje podatkeOgroman cyber-napad napao je računala širom svijeta. Jeste li bili pogođeni izrazito virulentnim samoobnavajućim ransomware-om? Ako ne, kako možete zaštititi svoje podatke bez plaćanja otkupnine? Čitaj više , Ažuriranje softvera može imati pogubne posljedice.

Ne samo američki potrošači

Iako nije objavljen od samog početka, Equifax je bio prisiljen priznati da su informacije o "ograničenom broju" stanovnika SAD-a i Kanade također uključene u kršenje. Do 44 milijuna američkih potrošača možda uopće nije bilo svjesno da je američka kreditna agencija imala njihove podatke. Međutim, osigurale su ih tvrtke uključujući BT, British Gas i Capital One. Grčka kreditne agencije najavljena rano navečer u petak 15. rujna da je pogođeno 400.000 američkih stanovnika. Ovaj sumnjivi pokušaj zakopavanja vijesti otkrio je "neuspjeh procesa" koji je trajao pola desetljeća. Ipak, nisu ponuđene upute za stanovnike SAD-a ili Kanade.

Tegobe web stranica Equifaxa

Iz razloga koji tek treba objasniti, Equifax je pokrenuo zasebnu web stranicu kako bi odgovorio na kršenje. S obzirom na to da je web-lokacija postavljena kao odgovor na veliko narušavanje sigurnosti, zamislili biste da su poduzete sve mjere opreza kako bi web lokacija bila blistava svjetlost. Umjesto toga, velika količina američkih potrošača koji su željeli provjeriti svoje podatke nadvladala ih je. Mnogi su ostavili nemogućnost pristupa mjestu ili učitavanje rezultata procjene utjecaja.

@briankrebs Jeste li vidjeli da OpenDNS blokira stranicu za prijavu u Equifaxu? Nazivajući to neželjenom? pic.twitter.com/xqvr8wJyM0

- Nick Frichette (@Frichette_n) 8. rujna 2017

Čak i tada, brojevi koji posjećuju web lokaciju mogu biti veći da nije bilo loše konfiguracije web mjesta. U većini knjiga knjiga čini se da je web lokacija izvan domene upitnih ključnih riječi prevara. Čini se da se OpenDNS složio i mnogim korisnicima blokirao pristup web mjestu. Da biste pojačali osjećaj ironije, kako biste dovršili svoju procjenu, morate unijeti posljednjih šest znamenki vašeg SSN-a. To su isti podaci za koje je Equifax već dokazao da ne može zaštititi!

Neprovjerivi rezultati

Nekoliko sati nakon pokretanja web lokacije pojavila su se izvješća da ne možete čak vjerovati rezultatima njihove procjene utjecaja. Unos istih detalja više puta dao bi različite odgovore na to jeste li pogođeni. Neki su čak pokušali unijeti svjesno lažne podatke. Zabrinjavajuće, otkrili su da će Equifax nepostojećoj osobi reći da su njihovi podaci procurili.

Dakle, do Equifaxa. Moj je šef upravo upisao lažno ime sa brojem socijalnog osiguranja svog 9-godišnjeg sina, a stranica kaže da je pogođen.

- G??? (@Oh_sovivacious) 8. rujna 2017

Ako ste bili spremni prihvatiti da su vaši podaci u stvari bili ugroženi zbog kršenja pravila, Equifax vas je pozdravio s nejasnom izjavom o kršenju i ohrabrio vas da se upišete u TrustedID Premier. S obzirom da je Equifax bio izvor kršenja, čini se da će lošeg ukusa potaknuti vas da se prijavite na besplatno suđenje vlastite službe zaštite od prijevara.

OMG, Equifaxovi sigurnosni PIN-ovi za zamrzavanje lošiji su nego što sam mislio. Ako danas zamrznite kredit, primjerice, 14:15 ET, dobili biste PIN 0908171415.

- Tony Webster (@webster) 9. rujna 2017

Oni koji su se prijavili za TrustedID Premier mogli su kreditno zamrznuti i dobili su potvrdni PIN. Međutim, čini se da je PIN vremenski označio kada je izvršena zamrzavanje. Ovo bi PIN učinilo beskorisnim - lako bi se moglo pretpostaviti, omogućavajući svakome da otključa zamrzavanje kreditne kartice. Unatoč početnim poricanjima, Kasnije je rekao Equifax prelazili su na novu metodu koja će nasumično generirati PIN. Uz to, potrošačima bi omogućili da zatraže da se novi PIN pošalje na njihovu registriranu poštu.

Legalanski debakl

Kada je Equifax prvi put pokrenuo web-lokaciju equifaxsecurity2017, čini se da Uvjeti pružanja usluge za TrustedID Premier to podrazumijevaju Koristite uslugu, odrekli ste se prava sudjelovanja u bilo kojoj klasnoj parnici protiv tvrtke u budućnost. Uznemirenost zbog ove uočene nepravde natjerala je Equifax izdati ažuriranje sljedeći dan. Sada su izjavili da arbitražna klauzula nije primjenjiva na kršenje sigurnosti.

Equifax nudi nadzor i zaštitu od krađe identiteta pkg, ali sitnim tiskom, arbitražnu klauzulu i odustajanje od klase 1/3 pic.twitter.com/8F58B5qh4w

- Rhana Natour (@RNatourious) 8. rujna 2017

Ovo nije malo da osigura ljude koji razumno neuvjerljivo vode do daljnja izjava gotovo tjedan dana kasnije navodeći da su "uklonili taj jezik iz Uvjeta korištenja TrustedID Premier i neće se primjenjivati besplatnim proizvodima koji se nude kao odgovor na incident s kibernetskom sigurnošću ili na tvrdnje povezane s incidentom kibernetičke sigurnosti sebe. Arbitražni jezik neće se primjenjivati ​​na potrošača koji su se prijavili prije uklanjanja jezika. "

Odvedeno na zadatak

Na potez za koji Equifax tvrdi da je totalna slučajnost, samo dva dana nakon što su prvi put otkrili kršenje prava, tri viša rukovoditelja prodala su dionice u vrijednosti od 1,8 milijuna dolara. Ova značajna prodaja dogodila se samo nekoliko dana nakon što su otkrili kršenje prava, ali više od mjesec dana prije nego što su to javno otkrili. Ako su pojedinci imali saznanja o kršenju sigurnosti, tada bi bili u suprotnosti s zakonima o trgovanju insajderima. Svjesno ili na drugi način, njihova je pravovremena prodaja bila sretna. U trenutku pisanja, dionice Equifaxa pale su za 30 posto od otkrivanja kršenja.

Bipartisanska skupina od 36 senatora šalje pismo SEC-u, DOJ-u i FTC-u tražeći istragu prodaje dionica Equifax nakon kršenja podataka. pic.twitter.com/xEApcjFFkP

- Kyle Griffin (@ kylegriffin1) 13. rujna 2017

S obzirom na vrlo osjetljivu prirodu kršenja, mnogi pogođeni pojedinci razumljivo su kritični prema očitoj laganoj sigurnosti Equifaxa. Na primjer, USA Today izvijestio je da je u nekoliko dana nakon objavljivanja, u 14 država podnesena 23 tužbe protiv agencije za izvještavanje o kreditima. Kao izvijestio Bloomberg, parnična tužba podnesena u Oregonu traži odštetu do 7 milijardi dolara. Čak i ako je sud dodijelio tako veliku svotu, ona iznosi nešto manje od 500 dolara po osobi. Čini li se to dovoljno za nadoknadu doživotnog rizika od krađe identiteta?

nemojte platiti ekvifaks zaslona

Joshua Browder, tvorac časopisa DoNotPay bot, proširio je svoju funkcionalnost radi pojednostavljenja postupka podnošenja zahtjeva za sudove za male zahtjeve za štete povezane s kršenjem Equifaxa. Ovo je divno i dugo ide do olakšavanja probave često složene pravne dokumentacije. Međutim, neka izvješća tvrde da bi DoNotPay bot, prvobitno razvijen za pomoć u borbi protiv kazni za parkiranje, mogao automatizirati čitav postupak. Kao Napomene TechCrunch, sve što bot stvarno radi jest pomoć u početnoj papirologiji - još uvijek se morate boriti protiv slučaja na sudu.

Neprekidna glavobolja širom svijeta

Ako je ostala dvojba u vezi s lošim sigurnosnim praksama Equifaxa, primjerice argentinski krak kompanije Equifax vjerojatno će ga u potpunosti ukloniti. Prvi izvijestio KrebsOnSecurity, utvrđeno je da je ranjivi internetski portal koji zaposlenici rješavaju oko kreditnih sporova pod nazivom Veraz (što na španjolskom znači istinito). Možda očekujete da je ranjivost tehnička, ali umjesto toga, radilo se o jednom od najosnovnijih sigurnosnih propusta: loše lozinke. Nevjerojatno jednostavno, a u mnogim slučajevima zadane kombinacije korisničkog imena i zaporke admin / admin dopustio svima koji se događaju preko web mjesta da se prijave na portal zaposlenika.

snimka zaslona veras krebs
Kreditna slika: KrebsOnSecurity

Šokantno vam je ovo omogućilo pregled, uređivanje i brisanje korisničkih imena i lozinki za više od 100 zaposlenika argentinske tvrtke Equifax. U svakom su slučaju zaporke za otvoreni tekst bile iste kao i korisničko korisničko ime. Ako to nije dovoljno ozbiljno, postojalo je područje web stranice sa 715 stranica detaljnih izvještaja o svakoj pritužbi ili sporu koji su zabilježeni Equifaxom. Ti podaci uključuju DNI (argentinski ekvivalent SSN-a) za više od 14.000 ljudi - opet, svi u otvorenom tekstu. Equifax je brzo preuzeo web mjesto izvan mreže nakon što ga je KrebsOnSecurity kontaktirao, a trenutno istražuje njihove najnovije sigurnosne propuste.

Što možeš učiniti?

Prvi korak je korištenje web mjesta Equifax za provjerite jesu li zbog kršenja utjecali na vaše podatke Kako provjeriti jesu li vaši podaci ukradeni zbog povrede EquifaxaVijesti su upravo izašle zbog kršenja podataka Equifaxa koja utječe na čak 80 posto svih korisnika kreditnih kartica u SAD-u. Jeste li jedan od njih? Evo kako provjeriti. Čitaj više . No, kako rezultati mogu biti nedosljedni, najbolje je pretpostaviti da ste bili pogođeni. Budući da je tvrtka sada pojasnila jezik oko sebe, prijavite se za njihovu TrustedID Premier uslugu. To će vam omogućiti izvršiti zamrzavanje kredita Kako spriječiti krađu identiteta zamrzavanjem kreditne sposobnostiVaši osobni podaci ugroženi su, ali vaš identitet još nije ukraden. Možete li nešto učiniti da ublažite rizike? Pa, možete pokušati zamrznuti kredit - evo kako. Čitaj više i zaustavite bilo koga da otvori kredit na vaše ime. S obzirom na osjetljivu prirodu podataka izgubljenih u curenju, potencijalni su prevaranti da ograde svoje proizvode, pa budite budni protiv socijalni inženjering Kako se zaštititi od ovih 8 napada socijalnog inženjeringaKoje bi tehnike društvenog inženjeringa koristio haker i kako biste se zaštitili od njih? Pogledajmo neke od najčešćih metoda napada. Čitaj više i lažne prevare Kako uočiti lažnu e-poštuUhvatiti phishing e-poštu je teško! Prijevare predstavljaju kao PayPal ili Amazon, pokušavajući ukrasti zaporku i podatke o kreditnim karticama, ukoliko je njihova obmana gotovo savršena. Pokazujemo vam kako uočiti prevaru. Čitaj više .

Zbog brojnih kršenja podataka, često bismo vam savjetovali da promijenite zaporke, započnite s korištenjem upravitelja lozinki Kako menadžeri lozinki čuvaju vaše lozinkeTeško je upamtiti i lozinke koje je teško probiti. Želite biti sigurni? Trebate upravitelja lozinki. Evo kako rade i kako vas čuvaju. Čitaj više , prijavite se na HaveIBeenPwned Provjerite sada i provjerite jesu li vaše lozinke ikad nestaleOvaj sjajni alat omogućuje vam da provjerite bilo koju lozinku da biste vidjeli je li ikad bila dio curenja podataka. Čitaj više , omogućiti dvofaktorsku provjeru autentičnosti Što je dvofaktorska provjera autentičnosti i zašto biste je trebali koristitiDvofaktorna autentifikacija (2FA) sigurnosna je metoda koja zahtijeva dva različita načina dokazivanja vašeg identiteta. Uobičajeno se koristi u svakodnevnom životu. Na primjer, plaćanje kreditnom karticom ne zahtijeva samo karticu, ... Čitaj više kad god je to moguće, i poboljšati svoju cyber higijenu Poboljšajte svoju cyber higijenu u 5 jednostavnih korakaU digitalnom svijetu "cyber higijena" je jednako važna kao i stvarna osobna higijena. Potrebne su redovne provjere sustava, zajedno s novim, sigurnijim mrežnim navikama. Ali kako možete izvršiti te promjene? Čitaj više . Iako se ništa od toga neće zaštititi izravno od propuštanja Equifaxa, pooštravanje sigurnosti neće vam nanijeti nikakvu štetu. Možda bi s obzirom na okolnosti čak bilo vrijedno prijeći dodatnu milju i obaviti potpunu sigurnosnu provjeru Zaštitite se godišnjom provjerom sigurnosti i privatnostiSkoro smo dva mjeseca u novoj godini, ali još uvijek ima vremena za donošenje pozitivne odluke. Zaboravite piti manje kofeina - govorimo o poduzimanju koraka za zaštitu mrežne sigurnosti i privatnosti. Čitaj više .

Equihaxxed

Kršenje Equifaxa najvjerojatnije će biti izdvojeni sigurnosni događaj u godini koja je bila bijesna zbog kršenja podataka i napada ransomwarea. Kao i kod drugih važnih sigurnosnih događaja poput WannaCryja i neprekidnog protoka podataka, mora se pronaći srebrna obloga u zadivljujućoj prirodi kršenja Equifaxa. Skretanjem pozornosti javnosti na sigurnost podataka, kreditno izvještavanje i korporativne zloupotrebe pruža se prilika da se o tim stvarima razgovara i ublaži. snažan odgovor mnogih američkih senatora nadat ćemo se da ovo kršenje ne nestane u pozadini. Equifax je barem priznao da su potrebne neke kadrovske promjene - glavni i informativni direktor i šef službe sigurnosti "Penzionisan" kao rezultat.

Unatoč visokom profilu i velikom rasponu, još uvijek nema podataka o tome tko su bili napadači. Sa svoje strane, Equifax je ostao potpuno tih u vezi s tim - u skladu s ostatkom svog lošeg odgovora. Samo nekoliko dana nakon što je kršenje objavljeno, pojavila se skupina koja tvrdi da posjeduje podatke i tražila otkupninu od 600 Bitcoina. Nakon istraživači su otkrili uslugu hostinga mjesta .onion odmah je ugašen.

Zasebno, grupa koja se naziva Equihax također je tvrdila da posjeduje podatke, ali nije ponudio provjerljiv dokaz. S obzirom na to koliko su podaci potencijalno unosni, možete biti sigurni da neće proći dugo prije nego što hakeri pokušaju unovčiti.

Da li vas je utjecalo kršenje sigurnosti Equifaxa? Mislite li da je kriv za Equifax, a mogli su učiniti više kako bi vas zaštitili? Javite nam u komentarima!

Kreditna slika: stevanovicigor /Depositphotos

James je MakeUseOf's Vodič za kupovinu i hardver vijesti i slobodni pisac strastveni u tome da tehnologiju učini dostupnom i sigurnom za sve. Pored tehnologije, također se zanimaju za zdravlje, putovanja, glazbu i mentalno zdravlje. Diplomirao strojarstvo na Sveučilištu u Surreyu. Može se naći i pisanje o kroničnoj bolesti na PoTS Jots.