Sono stato hackerato? Scopri se la violazione di Equifax ti colpisce

Equifax Inc. (EFX) ha annunciato il 7 settembre 2017 che 143 milioni dei suoi clienti sono stati colpiti da un attacco avvenuto tra metà maggio e luglio. Tale cifra è stata portata a 145, 5 milioni nelle settimane successive, quindi a 147, 9 milioni il 1 ° marzo 2018, quando la società ha dichiarato di aver identificato 2, 4 milioni di vittime in più.

Dopo la chiusura del mercato lo stesso giorno, la società ha riportato i risultati finanziari del quarto trimestre e dell'intero anno. I ricavi del quarto trimestre dell'azienda sono aumentati del 5% su base annua a $ 838, 5 milioni. L'utile netto nel trimestre è aumentato del 40% su base annua a $ 172, 3 milioni. Anche i ricavi e i profitti dell'intero anno sono aumentati rispetto al 2016: i ricavi sono aumentati del 7% a $ 3, 4 miliardi, mentre l'utile netto è aumentato del 20% a $ 587, 3 milioni. La società ha dichiarato che l'hack è costato $ 26, 5 milioni nel quarto trimestre e $ 114, 0 milioni nell'intero anno, al netto dei pagamenti assicurativi. Il titolo, che ha chiuso in calo dell'1, 3% in linea con l'S & P 500, è cresciuto dello 0, 6% nel trading after-hour al momento in cui scriviamo.

Fino a 209.000 numeri di carta di credito dei clienti sono stati esposti, secondo Equifax, e i documenti relativi alle controversie relativi a 182.000 consumatori statunitensi - che includono informazioni personali - sono stati compromessi. Anche i consumatori britannici sono stati colpiti dalla violazione; è possibile che alcuni canadesi siano stati compromessi. Secondo il Wall Street Journal, citando una fonte senza nome, i dati sulla patente di guida di 10, 9 milioni di americani sono stati rubati nella violazione.

La compagnia era a conoscenza dell'attacco dal 29 luglio, ma ha atteso più di un mese per avvisare il pubblico. Il 20 settembre è stato riferito che Mandiant, la controllata FireEye Inc. (FEYE) contratta da Equifax, stima che la violazione risalga almeno al 10 marzo.

Ci sono poche informazioni sulla fonte dell'attacco, che viene indagato dall'FBI, ma secondo Bloomberg, le somiglianze con i precedenti attacchi all'Ufficio di gestione del personale e Anthem Inc. suggeriscono che l'attaccante potrebbe essere sponsorizzato dallo stato, forse cinese. Il fatto che le informazioni dei clienti Equifax non siano apparse sul mercato nero suggerisce anche che gli hacker non fossero semplicemente criminali. Bloomberg riferisce inoltre che gli aggressori hanno preso di mira individui specifici, forse a causa del loro valore di ricchezza o intelligenza.

Dato che la popolazione adulta degli Stati Uniti è di circa 250 milioni, è probabile che tu sia stato colpito dalla violazione. È anche possibile che tu sia già stato vittima di una frode, poiché l'attacco è iniziato quasi sei mesi fa.

Equifax, con sede ad Atlanta, una delle tre principali agenzie di reportistica del credito al consumo - le altre due sono Experian PLC (London: EXPN) e TransUnion (TRU) - raccoglie dati tra cui numeri di previdenza sociale, numeri di carta di credito, numeri di patente di guida, affitto e utilità informazioni di pagamento e dati demografici. Poiché il modello di Equifax è principalmente business-to-business, molti dei suoi clienti non sono consapevoli del fatto che i loro dati siano archiviati dall'azienda. Oltre a evitare del tutto il sistema finanziario e creditizio, non esiste un modo semplice per rinunciare alla conservazione dei dati personali da parte di Equifax. (Vedi anche, 5 maggiori attacchi ai dati delle carte di credito nella storia. )

Come verificare se eri interessato

Equifax ha creato un sito in cui è possibile verificare se le informazioni sono state compromesse fornendo il proprio cognome e le ultime sei cifre del proprio numero di previdenza sociale. Questo sito è stato oggetto di intense critiche e abbiamo rimosso il collegamento a causa di domande relative alla sua sicurezza. È stato creato utilizzando WordPress, una piattaforma di blogging standard. È ospitato in un dominio separato rispetto al sito principale di Equifax. La società ha trascurato di registrare URL simili, che potrebbero essere utilizzati per attacchi di phishing; un hacker di cappelli bianchi ha creato proprio un sito del genere per dimostrare un punto e un account ufficiale Equifax ha twittato il link al sito falso. Più di una volta.

Equifax ha offerto ai clienti, interessati o meno, i seguenti servizi, che chiama TrustedID Premier: copie di un rapporto di credito Equifax, monitoraggio del credito e avvisi automatici per tutte e tre le principali agenzie di credito, la possibilità di bloccare l'accesso di terzi al proprio rapporto di credito Equifax (con eccezioni), monitoraggio del numero di previdenza sociale e $ 1 milione nell'assicurazione contro il furto di identità. Il termine ultimo per candidarsi era il 21 novembre 2017.

La società afferma che questi servizi sono tutti gratuiti, ma inizialmente il blocco della sicurezza in un file di credito non era inizialmente gratuito - almeno non per tutti. Quando ho provato a bloccare un file di credito Equifax l'8 settembre, il sito dell'azienda ha dichiarato che il servizio sarebbe costato $ 3, 00 e ha chiesto informazioni sulla carta di credito per elaborare il pagamento.

Una schermata presa da www.freeze.equifax.com (8 settembre 2017 alle 11:46 EDT).

Come residente a New York, sono stato in grado di bloccare gratuitamente il mio file Experian. Inizialmente il sito di TransUnion non è stato in grado di elaborare la richiesta - probabilmente un sintomo di un aumento del traffico - ma in seguito mi ha permesso di bloccare gratuitamente.

In una dichiarazione inviata via e-mail, un portavoce di Equifax ha dichiarato a Investopedia il 14 settembre che l'azienda sta rinunciare a tutte le spese per congelare i file di credito e rimborsa automaticamente i clienti che hanno pagato per farlo dopo che l'hacking è stato reso pubblico. Una nuova preoccupazione - e una chiara interruzione della sicurezza - è ora emersa attorno ai PIN che l'azienda ha emesso per i clienti che avevano congelato i loro rapporti di credito. Questi PIN, che consentono ai clienti di sbloccare i rapporti di credito, seguono un modello facilmente identificabile. Il portavoce ha affermato che i clienti con questi PIN difettosi devono chiamare 866-349-5191 per parlare con un agente in diretta.

Se hai ricevuto un PIN dopo aver segnalato l'hack, il tuo potrebbe essere uno di quelli difettosi. Farlo riparare non è facile. Dodici chiamate in linea la mattina del 15 settembre hanno prodotto otto segnali di occupato e quattro casi di totale silenzio.

Gli elenchi Equifax dei servizi TrustedID Premier come gratuiti sono gratuiti solo per un anno. Un portavoce di Equifax ha dichiarato a Investopedia che la società non richiede i dati della carta di credito quando i clienti si iscrivono al servizio e che la società non lo rinnoverà automaticamente né addebiterà una commissione. La tariffa standard di Equifax per il monitoraggio del credito è di $ 17 al mese.

Cosa fare se si fosse interessati

Liz Weston, scrittrice di finanza personale presso NerdWallet, ha i seguenti consigli per le persone colpite dalla violazione di Equifax, che ha condiviso con Investopedia in un'e-mail: "Equifax si rivolge alle vittime e offre loro il monitoraggio del credito. Le vittime dovrebbero assicurarsi che acconsentire al monitoraggio non impedisce loro di partecipare a cause legali o altre azioni lungo la strada. "

Inizialmente, la pagina dei termini di servizio (versione archiviata) di TrustedID Premier in effetti richiedeva agli utenti di rinunciare al loro diritto di partecipare a un'azione legale di classe contro Equifax: "Acconsentendo a presentare le richieste di risarcimento all'arbitrato, perderai il tuo diritto di presentare o partecipare in qualsiasi azione di classe (sia come attore nominato o un membro di classe) o di condividere qualsiasi premio di azione di classe, comprese le dichiarazioni di classe in cui una classe non è ancora stata certificata, anche se i fatti e le circostanze su cui si basano le rivendicazioni o esisteva ". A seguito di un contraccolpo, la pagina FAQ dell'azienda è stata aggiornata per indicare che la clausola si applicava al servizio TrustedID Premier, non all'hacking. A partire dalla mattina del 12 settembre, i termini di servizio non includono più una clausola compromissoria.

Weston afferma che i clienti interessati dovrebbero considerare di congelare i loro rapporti di credito in tutti e tre i principali uffici. Come accennato in precedenza, gli uffici di credito possono addebitare commissioni per l'avvio di tale blocco. Potresti anche essere addebitato per account non congelati quando è necessario un controllo del credito (ad esempio per richiedere il servizio di telefonia cellulare). Queste commissioni sono generalmente inferiori a $ 10, ma possono sommarsi. Weston osserva che un'altra opzione è quella di mettere un avviso di frode sui rapporti di credito presso le tre agenzie di credito. (Per ulteriori informazioni, vedere Come ripristinare dal furto di identità .)

Sono inoltre disponibili altri servizi di monitoraggio del credito, non sponsorizzati da Equifax. Servizi di protezione contro il furto di identità: vale la pena avere ">

La risposta di Equifax

L'allora presidente e CEO di Equifax, Richard Smith, ha dichiarato dopo l'hacking che "è stato chiaramente un incidente deludente per la nostra azienda e che colpisce nel cuore di chi siamo e di ciò che facciamo". Si è dimesso il 26 settembre e non riceverà un bonus per il 2017. La sua partenza è seguita a quella del responsabile della sicurezza Susan Mauldin e del responsabile delle informazioni David Webb il 14 settembre.

Pochi giorni dopo che l'azienda ha scoperto l'hacking internamente - e prima che la violazione fosse rivelata al pubblico - il direttore finanziario di Equifax, John Gamble, il presidente Rodolfo Ploder, presidente delle soluzioni per la forza lavoro degli Stati Uniti, e Joseph Loughran, presidente delle soluzioni informative statunitensi, vendevano le loro azioni Equifax. Equifax ha dichiarato in una nota che i dirigenti non erano a conoscenza della violazione quando vendevano le loro azioni. Gamble, Ploder e Loughran hanno guadagnato collettivamente quasi $ 1, 8 milioni dalle vendite.

A partire dal 28 febbraio, le azioni di Equifax sono scese del 20, 1% dalla sua chiusura il 7 settembre (prima che fosse annunciato l'annuncio della violazione) a $ 113, 00. Dopo diversi ritardi, Equifax afferma che riferirà i guadagni del quarto trimestre dopo la chiusura del 1 marzo.

Che le cause abbiano inizio

Reuters ha riferito l'11 settembre che più di 30 azioni legali - molte delle quali in cerca di azione collettiva - sono state intentate contro Equifax nei tribunali statunitensi. Diverse asseriscono violazioni della legge sui titoli; altri accusano TrustedID di proporre costosi servizi ai clienti interessati dalla violazione dei dati. Cinque residenti nello Utah hanno fatto causa alla società presso la Corte distrettuale degli Stati Uniti per non aver protetto i dati sensibili dei clienti. La causa richiede danni monetari di $ 5 miliardi e l'imposizione di standard industriali più severi.

Alcuni clienti interessati stanno prendendo una strada meno tradizionale nella ricerca di un ricorso da Equifax. Il chatbot DoNotPay fornisce assistenza nella presentazione di un reclamo presso tribunali statali per le controversie di modesta entità, in cui le sanzioni massime variano da $ 2.500 a $ 25.000. Il bot può solo generare documenti per una causa, non effettivamente archiviarlo o apparire in tribunale, secondo il Verge.

Il 18 settembre, l'avvocato americano Horn e con sede a Atlanta, John Horn, ha annunciato un'indagine penale sulla violazione. L'Ufficio per la protezione finanziaria dei consumatori e 34 procuratori generali stanno conducendo indagini.

Il signor Smith va a Washington

Il 3 ottobre l'ex CEO Richard Smith ha testimoniato davanti alla sottocommissione House Digital Commerce and Consumer Protection. Si è scusato più volte per l'incapacità di Equifax di proteggere i dati dei consumatori e ha affrontato domande su una serie di problemi relativi alla violazione e alla risposta di Equifax. Le azioni dell'azienda sono aumentate in seguito alla testimonianza, ma sono rimaste ben al di sotto dei livelli scambiati prima che fosse divulgato l'hack.

In risposta alle domande riguardanti la controversa clausola compromissoria inizialmente inclusa nei termini di servizio di TrustedID Premier, Smith ha dichiarato che la clausola "boilerplate" non è mai stata destinata alla violazione e ha definito la sua inclusione un "errore". Non direbbe lo stesso di clausole simili che disciplinano altri servizi Equifax, che ha definito "standard".

Anche le vendite esecutive a tempo sospetto sono state esaminate attentamente: il rappresentante Jan Schakowsky, un democratico dell'Illinois, ha dichiarato che la vendita "non supera il test degli odori", ma Smith ha dichiarato, "per quanto ne so, non sapevano" circa la violazione al momento.

Smith ha descritto la violazione come il risultato di un errore umano e di un fallimento tecnologico: la persona incaricata di assicurarsi di rattoppare il software Apache Struts - che aveva una vulnerabilità nota pubblicamente che gli aggressori hanno sfruttato - non è riuscita a farlo, e uno scanner che avrebbe avvisato la compagnia di quell'errore anche fallito.

Anche la risposta imperfetta della società alla crisi è stata criticata: creare un sito WordPress con un URL sospetto, non riuscire a proteggere domini simili (e persino indirizzare i clienti a uno di questi domini), non riuscire a dotare adeguatamente i call center e in generale creare l'impressione che la società - che esiste per raccogliere, proteggere e vendere dati sensibili - fosse totalmente impreparata per un attacco informatico sui suoi database. Il rappresentante Markwayne Mullin, un repubblicano dell'Oklahoma, ha detto a Smith che la sua risposta avrebbe dovuto essere come tirare un allarme antincendio: "immediatamente va a posto". Smith ha risposto che il suo team "ha seguito il protocollo". Diversi rappresentanti hanno affermato che Smith ha tenuto un discorso descrivendo la frode come una "grande opportunità" e una "grande impresa in crescita" in agosto - dopo aver saputo della violazione.

Smith ha rifiutato di rispondere alle domande sulla fonte dell'attacco, incluso se potrebbe essere un attore statale. Ha detto semplicemente che l'FBI sta conducendo un'indagine. Ha difeso gli investimenti di Equifax nella sicurezza informatica durante il suo mandato, dicendo che quando è arrivato dodici anni fa, praticamente non c'erano investimenti nella protezione dei dati. La società ha speso un quarto di miliardo di dollari e ha assunto un team di 225 persone per proteggere i dati dell'azienda, ha affermato Smith, investendo il 10-14% del budget IT della società nella sicurezza informatica.

Alcuni rappresentanti hanno indicato che la violazione ha sollevato questioni fondamentali sul ruolo dell'industria del monitoraggio del credito e sui diritti dei consumatori. "E se volessi scegliere il nostro Equifax?" Chiese Schakowski. Smith ha risposto, "ciò richiede una discussione molto più ampia sul ruolo delle agenzie di reporting creditizio". Il rappresentante Tonko, un democratico di New York, ha fatto eco al sentimento, sottolineando che non è proprio un "cliente", non avendo mai scelto di fare affari con Equifax. "Perché questa società è autorizzata a continuare a esistere?" chiese. In vari punti, Smith ha messo in dubbio il valore dei numeri di previdenza sociale come un modo per dimostrare l'identità e ha fatto vaghi riferimenti al "potere di restituire al consumatore".

La più grande domanda del giorno è arrivata dalla democratica della California Doris Matsui: "Possiedo i miei dati?" Smith non riuscì a rispondere. (Vedi anche, Blockchain potrebbe renderti - Non Equifax - il proprietario dei tuoi dati. )