Тихим днем в начале сентября 2017 года Equifax обнаружил чрезвычайное нарушение безопасности, которое, по оценкам, затронуло почти 200 миллионов человек во всем мире. Учитывая, что компания впервые обнаружила нарушение в июле, это должно было предоставить достаточно времени, чтобы подготовиться к ответу и решению для всех затронутых лиц. Вместо этого, Equifax предоставил миру прекрасный пример того, как не справиться с серьезным нарушением безопасности.
Благодаря огромному объему утечки данных, запутанному юридическому и ужасно небезопасному веб-сайту ответов, Equifax получил все это. Добавьте обвинения в инсайдерской торговле, плохую связь, 30-процентное падение стоимости акций, наряду с дальнейшими утечками данных, и компания, похоже, настроилась на резкое падение с благодати. Что ж, так много льгот, как у агентства кредитных историй, вы никогда явно не соглашались передавать свои конфиденциальные данные.
EquiBreach
В первом заявлении Equifax о нарушении говорилось, что до 144 миллионов американцев могли поставить под угрозу свою кредитную информацию. Это включало имена, адреса, номера социального страхования (SSN), даты рождения и финансовые записи. Компания также сообщила, что в нарушение были включены номера кредитных карт для 209 000 потребителей в США. Кроме того, протокольные записи с информацией, позволяющей установить личность, для 189 000 физических лиц были утечки.
Первоначальные сообщения в средствах массовой информации упоминали пострадавших как клиентов Equifax. Однако вы на самом деле не являетесь клиентом Equifax, Experian, TransUnion или любого другого агентства кредитной отчетности. Эти агентства собирают данные от ряда различных поставщиков услуг и финансовых продуктов. Затем данные используются для создания вашего кредитного рейтинга, что позволяет кредитору оценить риск, который вы представляете. Подаете заявку на кредит, кредитную карту или ипотеку? Так принимается решение.
Оценка воздействия и TrustedID Premier
Чтобы компенсировать потерю данных почти половиной взрослого населения США, Equifax создал веб-сайт equifaxsecurity2017.com. Здесь вы можете ввести свое имя и частичный номер SSN и выяснить, не были ли ваши данные среди тех, которые были обнаружены. Кроме того, вы можете зарегистрироваться в их сервисе TrustedID Premier. Это кредитный отчет из трех бюро и инструмент мониторинга SSN, который дополняет потребителей США в течение года.
Тем не менее, в их первоначальном раскрытии и в течение недели после этого, Equifax был удивительно молчалив о деталях. Тип атаки, виновник и почему она могла продолжаться так долго, без обнаружения, оставалось секретом.
Это заставило многих заподозрить, что на стороне Эквифакса была виновность. Шесть дней спустя, и после огромного общественного протеста и вмешательства со стороны двухпартийной группы сенаторов, Equifax наконец признал, что атака использовала известный эксплойт Apache Strut (CVE-2017-5638) — патч, для которого был выпущен в марте 2017 года, два месяца до нарушения Equifax. Это доказало то же, что и с WannaCry в начале года.
, не обновление вашего программного обеспечения может иметь разрушительные последствия.
Не только потребители в США
Несмотря на то, что с самого начала об этом не сообщалось, Equifax был вынужден признать, что информация о «ограниченном количестве» жителей Великобритании и Канады также была включена в нарушение. До 44 миллионов потребителей в США, возможно, даже не знали о том, что кредитное агентство США имело свои данные. Однако его предоставили такие компании, как BT, British Gas и Capital One. Ранним вечером в пятницу, 15 сентября, отделение кредитного агентства в Великобритании объявило, что пострадали 400 000 жителей Великобритании. Эта предполагаемая попытка скрыть эту новость выявила «провал процесса», который длился полвека. Тем не менее, никаких рекомендаций для жителей Великобритании и Канады не было предложено.
Сайт Equifax Горе
По причинам, которые еще предстоит объяснить, Equifax запустила отдельный веб-сайт для ответа на нарушение. Учитывая, что сайт был создан в ответ на серьезное нарушение безопасности, вы можете себе представить, что были приняты все меры предосторожности, чтобы сайт был ярким маяком стабильности. Вместо этого большой объем американских потребителей, желающих проверить свою информацию, ошеломил их. Это привело к тому, что многие не смогли получить доступ к сайту или загрузить результаты своей оценки воздействия.
@briankrebs Вы видели, что OpenDNS блокирует страницу регистрации в Equifax? Называя это спамом? pic.twitter.com/xqvr8wJyM0
— Ник Фричетт (@Frichette_n) 8 сентября 2017 г.
Даже тогда число посещающих сайт могло быть больше, если бы не плохая конфигурация сайта. В книге большинства людей веб-сайт вне домена с сомнительными ключевыми словами может показаться фишингом. OpenDNS, похоже, согласился и заблокировал доступ к сайту для многих пользователей. Чтобы усилить чувство иронии, чтобы завершить оценку, вы должны ввести последние шесть цифр своего SSN. Это те же данные, которые Equifax уже доказал, что они не могут защитить!
Непроверяемые результаты
Через несколько часов после запуска сайта появились сообщения о том, что вы даже не можете доверять результатам их оценки воздействия. Многократный ввод одних и тех же данных даст разные ответы относительно того, были ли вы затронуты. Некоторые люди даже пытались ввести заведомо ложную информацию. Они с тревогой обнаружили, что Эквифакс скажет несуществующему человеку, что его данные были пропущены.
Так что к Equifax. Мой босс только что ввел поддельное имя с номером социального страхования своего 9-летнего сына, и сайт сказал, что он пострадал.
— Г.?? (@oh_sovivacious) 8 сентября 2017 г.
Если вы согласились с тем, что ваши данные были скомпрометированы в результате взлома, Equifax приветствовал вас расплывчатым заявлением о нарушении и призвал вас зарегистрироваться в TrustedID Premier. Принимая во внимание тот факт, что источником нарушения был Equifax, кажется, что у них плохой вкус, что они побудят вас подписаться на бесплатную пробную версию собственной службы защиты от мошенничества.
OMG, пин-коды защиты от замораживания Equifax хуже, чем я думал. Например, если вы заморозили свой кредит сегодня в 14:15 по восточному времени, вы получите PIN-код 0908171415.
— Тони Вебстер (@webster) 9 сентября 2017 г.
Те, кто подписался на TrustedID Premier, смогли заморозить кредит и получили PIN-код подтверждения. Тем не менее, ПИН-код представлял собой временную метку, когда было выполнено замораживание. Это сделает ПИН-код бесполезным — его можно легко угадать, что позволит любому человеку разблокировать кредит. Несмотря на первоначальные отказы, Equifax позже сказал, что они переходят на новый метод, который будет случайным образом генерировать PIN-код. Кроме того, они позволят потребителям запрашивать новый ПИН-код для отправки на зарегистрированный почтовый адрес.
Легальный разгром
Когда Equifax впервые запустил веб-сайт equifaxsecurity2017, Условия предоставления услуг для TrustedID Premier, по-видимому, подразумевали, что при использовании сервиса вы отказываетесь от своего права на участие в любом групповом иске против компании в будущем. Шум от этой кажущейся несправедливости заставил Equifax выпустить обновление на следующий день. Теперь они заявили, что арбитражная оговорка не применима к нарушению безопасности.
Equifax предлагает мониторинг защита от кражи личных данных pkg, но мелким шрифтом, арбитражная оговорка отказ от коллективного действия 1/3 pic.twitter.com/8F58B5qh4w
— Рана Натур (@RNatourious) 8 сентября 2017 г.
Это мало помогло заверить людей, которые по понятным причинам не были убеждены в том, что почти неделю спустя они сделали еще одно заявление о том, что они «удалили этот язык из Условий использования TrustedID Premier и не будут применяться к бесплатным продуктам, предлагаемым в ответ на инцидент с кибербезопасностью». или для претензий, связанных с самим инцидентом кибербезопасности. Арбитражный язык не будет применяться к любому потребителю, который подписался до того, как язык был удален ».
Взятый на задание
В ходе акции, которую Equifax утверждает, что это было полное совпадение, всего через два дня после того, как они впервые обнаружили брешь, три топ-менеджера продали акции на общую сумму 1,8 млн. Долларов. Эта значительная продажа произошла всего через несколько дней после обнаружения нарушения, но за месяц до того, как они публично раскрыли его. Если бы люди знали о нарушении безопасности, то они были бы в нарушение законов об инсайдерской торговле. Так или иначе, их своевременная продажа была удачной. На момент написания статьи акции Equifax упали на 30 процентов с момента раскрытия нарушения.
Двухпартийная группа из 36 сенаторов направляет письмо в SEC, DOJ и FTC, призывая расследовать продажи акций Equifax после взлома данных. pic.twitter.com/xEApcjFFkP
— Кайл Гриффин (@ kylegriffin1) 13 сентября 2017 г.
Учитывая очень чувствительную природу нарушения, многие пострадавшие по понятным причинам критически относятся к очевидной слабой безопасности Equifax. Например, USA Today сообщила, что за несколько дней после раскрытия было подано 23 иска в 14 штатах против агентства кредитной отчетности. Как сообщает Bloomberg, коллективный иск, поданный в Орегоне, требует взыскания до 7 миллиардов долларов. Даже если суд присудит такую большую сумму, она составит чуть менее 500 долларов на человека. Кажется ли этого достаточно, чтобы компенсировать пожизненный риск кражи личных данных?
Джошуа Браудер, создатель бота DoNotPay, расширил его функциональность, чтобы упростить процесс обращения в суд мелких тяжб за ущерб, связанный с нарушением Equifax. Это замечательно и имеет большое значение для облегчения усвоения часто сложной юридической документации. Однако в некоторых сообщениях утверждается, что бот DoNotPay, изначально разработанный для помощи в борьбе с штрафами за парковку, может автоматизировать весь процесс. Как отмечает TechCrunch, все, что бот на самом деле делает, — это помогает с первоначальными документами — вам все равно придется бороться с делом в суде.
Постоянная головная боль во всем мире
Если оставались какие-либо сомнения относительно плохой практики обеспечения безопасности Equifax, то пример из аргентинского подразделения Equifax, скорее всего, полностью его устранит. Впервые сообщенный KrebsOnSecurity, он-лайн портал, используемый сотрудниками для урегулирования кредитных споров под названием Veraz (что означает правдиво по-испански), оказался уязвимым. Вы можете ожидать, что уязвимость будет технической, но вместо этого это была одна из самых основных ошибок безопасности: плохие пароли. Невероятно упрощенная и во многих случаях комбинация имени пользователя и пароля по умолчанию админ / админ разрешил всем, кто заходил на сайт, войти на портал сотрудников.
Изображение предоставлено: KrebsOnSecurity
Шокирующе это позволило вам просматривать, редактировать и удалять имена пользователей и пароли для более чем 100 сотрудников аргентинской компании Equifax. В каждом случае пароли в виде открытого текста совпадали с именем пользователя сотрудника. Если это не было достаточно серьезным, то была область сайта с 715 страницами подробных отчетов по каждой жалобе или спору, зарегистрированных в Equifax. Эта информация включала DNI (аргентинский эквивалент SSN) для более чем 14 000 человек — опять же, все в открытом виде. Equifax быстро отключил сайт после того, как с ним связалась KrebsOnSecurity, и в настоящее время изучает их последние ошибки в безопасности.
Что ты можешь сделать?
Первым шагом является использование веб-сайта Equifax для проверки того, что ваши данные были затронуты нарушением
, Однако, поскольку результаты могут быть противоречивыми, лучше предположить, что вы были затронуты. Теперь, когда компания прояснила язык вокруг нее, подпишитесь на их сервис TrustedID Premier. Это позволит вам выполнить замораживание кредита
и остановите всех, кто открывает кредит на ваше имя. Учитывая деликатный характер данных, потерянных в результате утечки, мошенники могут торговать своим товаром, поэтому будьте бдительны в отношении социальной инженерии.
и фишинг-мошенничество
,
После многих утечек данных мы часто советуем вам сменить пароли, начните использовать менеджер паролей
, зарегистрируйтесь на HaveIBeenPwned
, включите двухфакторную аутентификацию
везде, где это возможно, и улучшить вашу кибер-гигиену
, Хотя ни одно из этих действий не защитит вас от утечки Equifax, ужесточение мер безопасности не причинит вам вреда. Возможно, учитывая обстоятельства, даже стоило бы пройти лишнюю милю и выполнить полную проверку безопасности.
,
Equihaxxed
Нарушение Equifax, скорее всего, станет самым значительным событием в области безопасности за год, когда произойдет утечка данных и вымогательство. Как и в случае других важных событий в сфере безопасности, таких как WannaCry и бесконечный поток утечек данных, в поразительной природе взлома Equifax обнаруживается серебряная накладка. Привлекая внимание общественности к безопасности данных, кредитной отчетности и злоупотреблениям со стороны корпораций, существует возможность для обсуждения и смягчения этих вопросов. Надеемся, что сильный отклик многих сенаторов США обеспечит, чтобы это нарушение не исчезло на заднем плане. Equifax, по крайней мере, признал, что требуются некоторые кадровые изменения — в результате директор по информационным технологиям и директор по безопасности «вышли на пенсию».
Несмотря на его высокий профиль и огромный охват, до сих пор нет информации о том, кем были злоумышленники. Эквифакс, со своей стороны, полностью молчал по этому вопросу — в соответствии с остальной частью их плохо управляемой реакции. Спустя всего несколько дней после того, как взлом был обнародован, появилась группа, которая требовала получить данные и потребовала выкуп в 600 биткойнов. После того, как исследователи обнаружили службу хостинга сайта .onion, он был быстро закрыт.
Отдельно группа, называющая себя Equihax, также утверждала, что владеет данными, но не представила никаких проверяемых доказательств. Учитывая, насколько потенциально выгодны данные, вы можете быть уверены, что скоро хакеры попытаются заработать.
На вас повлияло нарушение безопасности Equifax? Как вы думаете, виноват ли Equifax, и могли ли они сделать больше, чтобы защитить вас? Дайте нам знать об этом в комментариях!
Кредит изображения: stevanovicigor / Depositphotos
