På en stille eftermiddag i begyndelsen af september 2017 afslørede Equifax et ekstraordinært sikkerhedsbrud, der skønnes at have ramt næsten 200 millioner mennesker over hele verden. Da virksomheden først havde opdaget overtrædelsen i juli, burde det have givet rigelig tid til at forberede sig på et svar og en løsning for alle berørte personer. I stedet fortsatte Equifax med at give verden et perfekt eksempel på, hvordan man ikke kunne håndtere en større sikkerhedsbrud.
Fra det enorme omfang af datalækage, forvirrende legalese og hemmeligt usikre svarwebsteder havde Equifax alt. Tilføje i påstand om insiderhandel, dårlig kommunikation, en 30 procent fald i lagerværdi sammen med yderligere data lækager, og virksomheden syntes at have sat sig op for et dramatisk fald fra nåden. Nå, så meget nåde som et kreditrapporterings bureau, har du aldrig udtrykkeligt aftalt at aflevere dine følsomme data for at kunne have.
EquiBreach
Equifaxs første erklæring om bruddet sagde, at op til 144 millioner amerikanere måtte have haft deres kreditoplysninger kompromitteret. Dette omfattede navne, adresser, socialsikringsnumre (SSN'er), fødselsdatoer og finansielle poster. Virksomheden rapporterede også, at kreditkortnumre for 209.000 amerikanske forbrugere var medtaget i overtrædelsen. Desuden er tvister med personligt identificerende oplysninger for 189.000 individer blevet lækket.
Indledende rapporter i medierne omtalte indvirkede personer som Equifaxs kunder. Du er dog ikke rigtig kunde hos Equifax, Experian, TransUnion eller andre kreditrapporteringsbureauer. Disse agenturer indsamler data fra en række forskellige tjenester og leverandører af finansielle produkter. Data bruges derefter til at generere dit kredit score, så en långiver kan vurdere den risiko, du udgør. Ansøgning om lån, kreditkort eller pant? Sådan træffes beslutningen.
Konsekvensanalyse og TrustedID Premier
For at kompensere dig for at miste dataene fra næsten halvdelen af den amerikanske voksne befolkning, oprettede Equifax et websted, equifaxsecurity2017.com. Her er du i stand til at indtaste dit navn og en del SSN og finde ud af om dine detaljer var blandt de lækkede. Derudover kan du tilmelde dig deres tjeneste, TrustedID Premier. Dette er en tre bureau kredit rapport og SSN overvågningsværktøj, der supplerer amerikanske forbrugere i et år.
Alligevel var Equifax i deres oprindelige offentliggørelse, og i en uge efter det bemærkelsesværdigt tavse om detaljerne. Angrebstypen, synderen, og hvorfor den var i stand til at fortsætte så længe uden opdagelse, forblev en hemmelighed.
Dette førte mange til at mistanke om, at der var skyld i Equifax side. Seks dage senere, og efter et stort offentligt udbrud og indgreb fra en todelt senatorgruppe, indrømmede Equifax endelig, at angrebet brugte en kendt Apache Strut-udnyttelse (CVE-2017-5638) - en patch, som blev udgivet i marts 2017, to måneder før Equifax-overtrædelsen. Dette viste sig, at ligesom i WannaCry tidligere på året The Global Ransomware Attack og hvordan man beskytter dine data Det globale Ransomware Attack og hvordan man beskytter dine data En massiv cyberattack har ramt computere over hele kloden. Har du været ramt af den meget virulente selvreplikerende ransomware? Hvis ikke, hvordan kan du beskytte dine data uden at betale løsepenge? Læs mere, ikke opdatering af din software kan få ødelæggende konsekvenser.
Ikke bare amerikanske forbrugere
Selvom det ikke blev oplyst fra starten, blev Equifax tvunget til at indrømme, at oplysningerne om et "begrænset antal" af britiske og canadiske beboere også var medtaget i overtrædelsen. Op til 44 millioner britiske forbrugere har måske ikke engang været opmærksomme på, at det amerikanske kreditbureau havde deres data. Men det blev givet dem af virksomheder, herunder BT, British Gas og Capital One. Kreditbureauets britiske arm annoncerede tidlig aften fredag den 15. september, at 400.000 britiske indbyggere blev ramt. Dette mistænkte forsøg på at begrave nyheden afslørede en "procesfejl", som varede et halvt årti. Der er dog ikke givet nogen vejledning til britiske eller canadiske beboere.
Equifax's website Woes
Af grunde, der endnu ikke skal forklares, lancerede Equifax et særskilt websted for deres svar på overtrædelsen. Da webstedet blev oprettet som reaktion på et større sikkerhedsbrud, ville du forestille dig, at alle forholdsregler ville være blevet truffet for at sikre, at webstedet var et skinnende stykke stabilitet. I stedet er det store mængder amerikanske forbrugere, der ønsker at kontrollere deres information, overvældet dem. Dette efterlod mange ude af stand til at få adgang til webstedet, eller for at indlæse resultaterne af deres konsekvensanalyse.
@briankrebs Har du set OpenDNS blokerer Equifax tilmeldingssiden? Kalder det spam? pic.twitter.com/xqvr8wJyM0
- Nick Frichette (@Frichette_n) 8. september 2017
Selv da kan antallet af besøgende på webstedet have været større, hvis det ikke havde været for dårlig webkonfiguration. I de fleste folks bog synes et websted uden domæne med tvivlsomme søgeord at være et phishing-svindel. OpenDNS syntes at være enig og blokerede adgangen til hjemmesiden for mange brugere. For at øge ironiens følelse, skal du indtaste de sidste seks cifre i din SSN for at fuldføre din vurdering. Dette er de samme data, som Equifax allerede har bevist, at de ikke kan beskytte!
Uverifiable resultater
Inden for få timer efter site launching var der rapporter om, at du ikke engang kunne stole på resultaterne af deres konsekvensanalyse. Indtastning af de samme detaljer flere gange vil give forskellige svar om, hvorvidt du var påvirket. Nogle forsøgte selv at indtaste videnskabeligt falsk information. Foruroligende fandt de, at Equifax ville fortælle den ikke-eksisterende person, at deres data var blevet lækket.
Så til Equifax. Min chef gik lige ind i et falsk navn med sin 9-årige søns socialsikringsnummer og stedet sagde, at han var berørt.
- G. ?? (@oh_sovivacious) 8. september 2017
Hvis du var villig til at acceptere, at dine data faktisk var blevet kompromitteret i overtrædelsen, hilste Equifax dig med en vage erklæring om overtrædelsen og opfordrede dig til at tilmelde dig TrustedID Premier. Da Equifax var kilden til overtrædelsen, synes det i dårlig smag, at de ville opfordre dig til at tilmelde dig en gratis prøveversion af deres egen svindelbeskyttelsestjeneste.
OMG, Equifax Security Freeze PINs er værre end jeg troede. Hvis du frøs din kredit i dag kl. 14.15 ET, får du f.eks. PIN-kode 0908171415.
- Tony Webster (@webster) 9. september 2017
De, der tilmeldte TrustedID Premier, kunne udføre en kreditfrysning og forsynet med en bekræftelseskode. PIN-koden syntes imidlertid at være en tidsstempel for, hvornår frysningen blev udført. Dette ville gøre PIN-koden ubrugelig - det kunne let gættes, så alle kunne låse op for din kreditfrysning. På trods af indledende benægtelser sagde Equifax senere, at de overgik til en ny metode, der ville randomisere PIN-generering. Desuden vil de tillade forbrugerne at anmode om en ny PIN-kode, der skal sendes til deres registrerede postadresse.
Legalese Debacle
Da Equifax først lancerede webstedet Equifaxsecurity2017, syntes Servicevilkår for TrustedID Premier at indebære, at du bruger tjenesten, blev du afkald på din ret til at deltage i enhver retssag mod selskabet i fremtiden. Opstanden ved denne opfattede uretfærdighed gjorde Equifax problem en opdatering den næste dag. De har nu anført, at voldgiftsklausulen ikke var gældende for sikkerhedsbruddet.
Equifax tilbyder overvågning og identitets tyverisikring pkg, men i fin print, en voldgiftsklausul og klasse handling afkald 1/3 pic.twitter.com/8F58B5qh4w
- Rhana Natour (@RNatourious) 8. september 2017
Dette gjorde kun lidt for at forsikre folk, der forståeligt nok ikke blev overbevist, hvilket førte til en yderligere erklæring næsten en uge senere, hvori de sagde "at de har fjernet det pågældende sprog fra TrustedID Premier Brugsbetingelser, og det gælder ikke for de gratis produkter, der tilbydes som reaktion på cybersikkerhedshændelsen eller for krav i forbindelse med selve cybersikkerhedshændelsen. Voldgiftssproget gælder ikke for nogen forbruger, der tilmeldte sig før sproget blev fjernet. "
Taget til opgave
I et træk, som Equifax hævder at være totalt tilfældighed, solgte tre ledende medarbejdere kun to dage efter at de først opdagede overtrædelsen aktier på i alt 1, 8 millioner dollar. Dette betydelige salg var bare dage efter at have opdaget overtrædelsen, men over en måned før de offentliggjorde det offentligt. Hvis enkeltpersonerne havde kendskab til sikkerhedsbruddet, ville de være i strid med loven om insiderhandel. Bevidst eller ellers var deres rettidige salg heldig. På tidspunktet for skrivningen er Equifaxs aktie faldet 30 procent siden offentliggørelsen af overtrædelsen.
Bipartisanske gruppe på 36 senatorer sender brev til SEC, DOJ og FTC, der opfordrer til en undersøgelse af Equifax-børs salg efter databrud. pic.twitter.com/xEApcjFFkP
- Kyle Griffin (@ kylegriffin1) 13. september 2017
På grund af overtrædelsens meget følsomme karakter er mange berørte personer forståeligt nok kritiske over Equifaxs tilsyneladende lax-sikkerhed. For eksempel rapporterede USA Today, at der i løbet af få dage efter offentliggørelsen blev indgivet 23 retssager i 14 stater mod kreditrapporteringsbureauet. Som rapporteret af Bloomberg, søger en klagehandling i Oregon at søge erstatning på op til 7 milliarder dollars. Selv om retten skulle tildele en så stor sum, svarer den til lige under $ 500 pr. Person. Synes dette nok for at kompensere for livstidsrisikoen for identitetstyveri?
Joshua Browder, skaberen af DoNotPay boten, udvidede sin funktionalitet til at forenkle processen med at anvende til småkraftsdomstolen for erstatning i forbindelse med Equifax-overtrædelsen. Dette er beundringsværdigt og går langt for at gøre den ofte komplekse juridiske dokumentation lettere at fordøje. Men nogle rapporter har hævdet, at DoNotPay bot, oprindeligt udviklet til at hjælpe dig med at bekæmpe parkeringsbøder, kunne automatisere hele processen. Som TechCrunch bemærker, er alle bot virkelig en hjælp til det oprindelige papirarbejde - du skal stadig kæmpe for sagen i retten.
En løbende hovedpine rundt om i verden
Hvis der stadig er tvivl om Equifaxs dårlige sikkerhedspraksis, vil et eksempel fra Equifaxs argentinske arm sandsynligvis fjerne det helt. Først rapporteret af KrebsOnSecurity, blev en online portal, der blev brugt af medarbejdere til at afvikle kredittvister ved navn Veraz (hvilket betyder sandfærdig på spansk), vist sig sårbar. Du kan forvente, at sårbarheden er teknisk, men i stedet var det en af de mest grundlæggende sikkerhedsforstyrrelser: dårlige adgangskoder. Den utrolig enkle og i mange tilfælde standard, brugernavn og adgangskode kombination af admin / admin tilladt enhver der skete på tværs af webstedet for at logge ind på medarbejderportalen.
Stødende gjorde det dig muligt at se, redigere og slette brugernavne og adgangskoder til over 100 argentinske Equifax-medarbejdere. I hvert tilfælde blev plaintext-adgangskoderne identificeret som medarbejderens brugernavn. Hvis det ikke var alvorligt, var der et område på webstedet med 715 sider med detaljerede rapporter om hver klage eller tvist, der var logget ind med Equifax. Disse oplysninger indeholdt DNI (den argentinske ækvivalent af SSN) for mere end 14.000 mennesker - igen, alt i ren tekst. Equifax tog hurtigt webstedet offline efter at være blevet kontaktet af KrebsOnSecurity, og undersøger for øjeblikket deres nyeste sikkerhedsfacus.
Hvad kan du gøre?
Det første skridt er at bruge Equifaxs hjemmeside for at kontrollere, om dine data var påvirket af bruddet. Sådan kontrolleres, om dine data blev stjålet i Equifax-overtrædelsen. Sådan kontrolleres, om dine data blev stjålet i Equifax-overtrædelsesnyhederne, bare overfladet af et Equifax-data brud der påvirker op til 80 procent af alle amerikanske kreditkort brugere. Er du en af dem? Sådan kontrollerer du. Læs mere . Men da resultaterne kan være inkonsekvent, kan det være bedst at antage, at du blev påvirket. Da virksomheden nu har afklaret sproget omkring det, skal du tilmelde dig deres TrustedID Premier-service. Dette vil give dig mulighed for at udføre en kreditfryse Sådan forhindrer du identitetstyveri ved at indefryse din kredit Sådan forhindrer du identitetstyveri ved at indefryse din kredit Dine personlige data er blevet kompromitteret, men din identitet er endnu ikke stjålet. Er der noget du kan gøre for at begrænse dine risici? Nå, du kan prøve at fryse din kredit - her er hvordan. Læs mere, og stop enhver, der åbner kredit i dit navn. På grund af den følsomme karakter af de tabte data i lækagen, er der mulighed for svindlere at peddle deres varer, så hold dig vågent mod socialteknik. Sådan beskytter du dig selv mod disse 8 socialtekniske angreb. Sådan beskytter du dig selv mod disse 8 sociale ingeniørangreb. teknik teknikker ville hacker brug og hvordan ville du beskytte dig selv fra dem? Lad os tage et kig på nogle af de mest almindelige metoder til angreb. Læs mere og phishing-svindel Sådan sporer du en phishing-mail Sådan sporer du en phishing-e-mail Det er svært at fange en phishing-mail. Svindlere udgør som PayPal eller Amazon, forsøger at stjæle dit kodeord og kreditkortoplysninger, deres bedrageri er næsten perfekt. Vi viser dig, hvordan du finder bedrageri. Læs mere .
I kølvandet på mange overtrædelser af data vil vi ofte anbefale dig at ændre dine adgangskoder, start med at bruge en adgangskodeadministrator. Hvordan adgangskodeadministratorer holder dine adgangskoder sikre. Hvordan adgangskodeadministratorer holder dine adgangskoder Sikker adgangskoder, der er svære at knække, er også svært at huske. Vil du være sikker? Du har brug for en adgangskodeadministrator. Sådan fungerer de, og hvordan de holder dig trygge. Læs mere, tilmeld dig for at HaveBeenPwned Se nu og se, om dine adgangskoder nogensinde er blevet lækket Check nu og se, om dine adgangskoder nogensinde er blevet lækket Dette nifty værktøj lader dig kontrollere eventuelle adgangskoder for at se om det nogensinde har været en del af en data lækage. Læs mere, aktiver tofaktorautentificering Hvad er tofaktorautentificering, og hvorfor du skal bruge det Hvad er tofaktorautentificering, og hvorfor du skal bruge det Tofaktorautentificering (2FA) er en sikkerhedsmetode, der kræver to forskellige måder at bevise din identitet. Det er almindeligt anvendt i hverdagen. For eksempel at betale med et kreditkort kræver ikke kun kortet, ... Læs mere, hvor det er muligt, og forbedre din cyberhygiejne Forbedre din cyberhygiejne i 5 enkle trin Forbedre din cyberhygiejne i 5 nemme trin I den digitale verden, "cyber hygiejne "er lige så vigtig som den virkelige verdens personlige hygiejne. Regelmæssig systemkontrol er nødvendig, sammen med nye og sikrere onlinevaner. Men hvordan kan du foretage disse ændringer? Læs mere . Mens ingen af disse direkte beskytter dig mod Equifax-lækagen, vil din sikkerhed ikke stramme dig. Måske givet omstændighederne ville det endda være værd at gå den ekstra mile og udføre en fuldstændig sikkerhedskontrol. Beskyt dig selv med en årlig sikkerhed og beskyttelse af personlige oplysninger. Beskyt dig selv med en årlig sikkerhed og beskyttelse af personlige oplysninger. Vi er næsten to måneder i det nye år, men der er stadig tid til at gøre en positiv beslutning. Glem at drikke mindre koffein - vi taler om at tage skridt til at sikre online sikkerhed og privatliv. Læs mere .
Equihaxxed
Equifax-overtrædelsen vil sandsynligvis være den standout-sikkerhedshændelse i et år, der er voldsomt med databrud og ransomware-angreb. Som med andre højt profilerede sikkerhedshændelser som WannaCry og den uendelige strøm af data lækager, er der en sølvforing, der findes i den forbløffende karakter af Equifax-bruddet. Ved at bringe offentligheden opmærksomhed på datasikkerhed, kreditrapportering og misbrug af virksomheder er der mulighed for at drøfte og afbøde disse spørgsmål. Det stærke svar fra mange amerikanske senatorer vil forhåbentlig sikre, at dette brud ikke forsvinder i baggrunden. Equifax har i det mindste indrømmet, at der er behov for nogle personaleændringer - Chief Information Officer og Chief Security Officer har "pensioneret" som følge heraf.
På trods af dets høje profil og enorme omfang er der stadig ingen oplysninger om, hvem angriberne var. For deres del har Equifax været helt stille i sagen - i tråd med resten af deres dårligt styrede svar. Bare dage efter overtrædelsen blev offentliggjort, opstod en gruppe, der hævder at have dataene og krævede et løsesum på 600 Bitcoin. Efter at forskerne opdagede hosting service af .onion webstedet, blev det straks lukket ned.
Separat hævder en gruppe, der kalder sig Equihax, også at være i besiddelse af dataene, men udbydes ikke noget kontrollerbart bevis. I betragtning af hvor potentielt lukrative dataene er, kan du være sikker på, at det ikke vil vare længe før hackerne forsøger at indbetale penge.
Var du berørt af Equifax sikkerhedsbrud? Synes du Equifax er skylden, og kunne de have gjort mere for at beskytte dig? Lad os vide i kommentarerne!
Billedkredit: Stevanovicigor / Depositobilleder