Blev jeg hacket? Find ud af, om Equifax-overtrædelsen påvirker dig

Equifax Inc. (EFX) meddelte den 7. september 2017, at 143 millioner af dets kunder var påvirket af et hack, der opstod mellem midten af ​​maj og juli. Dette tal blev ramt til 145, 5 millioner i de følgende uger og derefter til 147, 9 millioner den 1. marts 2018, da virksomheden sagde, at det havde identificeret 2, 4 millioner yderligere ofre.

Efter markedets lukning samme dag rapporterede virksomheden for 4. kvartal og det fulde års økonomiske resultater. Virksomhedens indtægter i fjerde kvartal steg 5% år-over-året til $ 838, 5 millioner. Nettoindkomsten steg i kvartalet 40% året før til $ 172, 3 millioner. Hele års indtægter og overskud steg også sammenlignet med 2016: indtægterne steg 7% til 3, 4 milliarder dollars, mens nettoindkomsten steg 20% ​​til $ 587, 3 millioner. Selskabet sagde, at hacket havde kostet det $ 26, 5 millioner i fjerde kvartal og $ 114, 0 millioner i hele året, netto efter forsikringsudbetalinger. Aktien, der lukkede 1, 3% på linje med S&P 500, er 0, 6% stigende i handel efter åbningstider på dette tidspunkt.

Så meget som 209.000 kunders kreditkortnumre blev eksponeret ifølge Equifax, og tvistdokumenter relateret til 182.000 amerikanske forbrugere - som inkluderer personlige oplysninger - blev kompromitteret. Britiske forbrugere var også blevet påvirket af overtrædelsen; Det er muligt, at nogle canadiere blev kompromitteret. Ifølge Wall Street Journal, der citerer en navngivet kilde, blev 10, 9 millioner amerikanernes kørekortdata stjålet i overtrædelsen.

Virksomheden havde vidst om angrebet siden 29. juli, men ventede i en måned med at advare offentligheden. Den 20. september blev det rapporteret, at Mandiant, FireEye Inc. (FEYE) datterselskab, der er indgået af Equifax, anslår bruddet tilbage til mindst 10. marts.

Der er kun lidt information om kilden til angrebet, som efterforskes af FBI, men ifølge Bloomberg ligner ligheder med tidligere angreb på Office of Personnel Management og Anthem Inc. angriberen kunne være statsstøttet, måske kinesisk. At Equifax-kundernes oplysninger ikke har vist sig på det sorte marked antyder også, at hackerne ikke blot var kriminelle. Bloomberg rapporterer også, at angriberen målrettede mod bestemte personer, måske på grund af deres rigdom eller efterretningsværdi.

I betragtning af at den voksne befolkning i USA er omkring 250 millioner, er chancerne store for, at du blev påvirket af overtrædelsen. Det er også muligt, at du allerede har været et offer for svig, da angrebet begyndte for næsten seks måneder siden.

Atlanta-baserede Equifax, et af de store tre forbrugerkreditrapporteringsbureauer - de to andre er Experian PLC (London: EXPN) og TransUnion (TRU)) indsamler data inklusive personnummer, kreditkortnumre, kørekortnummer, husleje og værktøj betalingsoplysninger og demografiske data. Da Equifax's model primært er business-to-business, er mange af dets kunder ikke klar over, at deres data gemmes af firmaet. Bortset fra at undgå det finansielle og kreditsystem helt, er der ingen ligefrem måde at fravælge at have personlige data gemt af Equifax. (Se også 5 største kreditkortdatahacks i historien. )

Sådan kontrolleres det, om du blev påvirket

Equifax har oprettet et websted, hvor du kan kontrollere, om dine oplysninger blev kompromitteret ved at give dit efternavn og de sidste seks cifre i dit Social Security-nummer. Dette sted har været genstand for intens kritik, og vi har fjernet linket på grund af spørgsmål vedrørende dets sikkerhed. Det blev oprettet ved hjælp af WordPress, en off-the-shelf-blogging-platform. Det er placeret i et separat domæne til Equifax hovedwebsite. Virksomheden forsømte ikke at registrere lignende URL'er, som kunne bruges til phishing-angreb; en hvid hathacker oprettede netop et sådant sted for at bevise et punkt, og en officiel Equifax-konto tweetede ud linket til det falske websted. Mere end en gang.

Equifax tilbød kunder - berørt eller ej - følgende tjenester, som det kalder TrustedID Premier: kopier af en Equifax-kreditrapport, kreditovervågning og automatiserede alarmer til alle tre større kreditbureauer, muligheden for at blokere tredjepartsadgang til din Equifax-kreditrapport (med undtagelser), overvågning af personnummer og 1 million dollars i identitetstyveriforsikring. Ansøgningsfristen var 21. november 2017.

Virksomheden siger, at disse tjenester alle er gratis, men at placere en sikkerhedsfrysning på en kreditfil var oprindeligt ikke gratis - i det mindste ikke for alle. Da jeg forsøgte at fryse en Equifax-kreditfil 8. september, sagde selskabets websted, at tjenesten ville koste $ 3, 00 og bad om kreditkortoplysninger for at behandle betalingen.

Et skærmfang fra www.freeze.equifax.com (8. september 2017 kl. 11:46 EDT).

Som bosiddende i New York var jeg i stand til at placere en frysning på min Experian-fil gratis. TransUnions websted kunne ikke behandle anmodningen oprindeligt - sandsynligvis et symptom på øget trafik - men gav mig senere mulighed for at placere en frysning gratis.

I en e-mail-erklæring fortalte en Equifax-talsperson til Investopedia den 14. september, at firmaet afstår fra alle omkostninger for at indefryse kreditfiler og tilbagebetaler automatisk kunder, der betalte for at gøre det, efter at hacket blev offentliggjort. En ny bekymring - og en klar bortfald af sikkerhed - er nu opstået omkring de pinkoder, virksomheden udstedte til kunder, der havde frosset deres kreditrapporter. Disse PIN-koder, der giver kunderne mulighed for at frigøre kreditrapporter, følger et let identificerende mønster. Talsmanden sagde, at kunder med disse defekte PIN-koder skal ringe 866-349-5191 for at tale med en live agent.

Hvis du fik en pinkode efter rapportering af hacket, kan din være en af ​​de defekte. Det er ikke let at have det løst. Tolv opkald til linjen om morgenen 15. september gav otte travle signaler og fire tilfælde af total stilhed.

TrustedID Premier-tjenester Equifax-lister som gratis er kun gratis i et år. En talsmand fra Equifax fortalte Investopedia, at virksomheden ikke beder om kreditkortoplysninger, når kunder tilmelder sig tjenesten, og at virksomheden ikke automatisk vil fornye den eller opkræve et gebyr. Equifaxs standardsats for kreditovervågning er $ 17 pr. Måned.

Hvad skal man gøre, hvis man blev påvirket

Liz Weston, en personlig finansforfatter ved NerdWallet, har følgende råd til dem, der er berørt af Equifax-bruddet, som hun delte med Investopedia i en e-mail: "Equifax vil nå ud til ofrene og tilbyde dem kreditovervågning. Ofre skal sørge for, at at acceptere overvågningen forhindrer ikke dem i at deltage i retssager eller andre handlinger på vejen. "

Oprindeligt krævede TrustedID Premiers servicebetingelser (arkiveret version) faktisk, at brugerne afstår fra deres ret til at deltage i en klassesag mod Equifax: "Ved at give samtykke til at indsende dine krav til voldgift, mister du din ret til at anlægge eller deltage i en hvilken som helst klassesag (uanset om det er en navngivet sagsøger eller et klassemedlem) eller for at dele i en klassetillæggelse, inklusive klassekrav, hvor en klasse endnu ikke er blevet certificeret, selvom de kendsgerninger og omstændigheder, som kravene er baseret på allerede opstod eller eksisterede. " Efter et tilbageslag blev firmaets FAQ-side opdateret for at sige, at klausulen gjaldt TrustedID Premier-tjenesten, ikke hacket. Fra morgenen den 12. september inkluderer servicevilkårene ikke længere en voldgiftsbestemmelse.

Weston siger, at berørte kunder bør overveje at indefryse deres kreditrapporter på alle tre større bureauer. Som nævnt ovenfor kan kreditbureauer opkræve gebyrer for påbegyndelse af denne frysning. Du kan også blive debiteret for frysning af konti, når du har brug for en kreditcheck (for f.eks. At ansøge om mobiltelefontjeneste). Disse gebyrer er generelt mindre end $ 10, men de kan tilføjes. Weston bemærker, at en anden mulighed er at placere en svigadvarsel på dine kreditrapporter på de tre kreditbureauer. (For mere, se Sådan gendannes fra identitetstyveri .)

Andre kreditovervågningstjenester, ikke sponsoreret af Equifax, er også tilgængelige. Services for identitetstyveri: værd at have ">

Equifax's svar

Equifaxs daværende formand og administrerende direktør, Richard Smith, sagde efter hacket, at det var "helt klart en skuffende hændelse for vores virksomhed, og en, der rammer kernen i, hvem vi er, og hvad vi gør." Han trak sig ned den 26. september og modtager ikke en bonus for 2017. Hans afgang fulgte dem af Chief Security Officer Susan Mauldin og Chief Information Officer David Webb den 14. september.

Få dage efter, at virksomheden afdækkede hacket internt - og inden overtrædelsen blev afsløret for offentligheden - solgte Equifaxs økonomichef John Gamble, dens præsident for arbejdsstyrkens løsninger Rodolfo Ploder og dens præsident for amerikanske informationsløsninger Joseph Loughran deres Equifax-aktier. Equifax sagde i en erklæring, at direktørerne ikke vidste om bruddet, da de solgte deres aktie. Gamble, Ploder og Loughran tjente samlet næsten 1, 8 millioner dollars fra salget.

Pr. 28. februar er Equifax 'aktie faldet 20, 1% fra lukningen 7. september (inden hack blev annonceret) til $ 113, 00. Efter flere forsinkelser siger Equifax, at den vil rapportere indtjeningen i fjerde kvartal efter tæt på 1. mar.

Lad retssager begynde

Reuters rapporterede den 11. september, at mere end 30 retssager - mange af dem søger klassesag - er blevet anlagt mod Equifax ved amerikanske domstole. Flere hævder overtrædelser af værdipapirret; andre beskylder TrustedID for at placere dyre tjenester til kunder, der var påvirket af dataovertrædelsen. Fem Utah-beboere har sagsøgt virksomheden i US District Court for manglende beskyttelse af kunders følsomme data. I sagen søges monetære skader på 5 milliarder dollars og indførelse af strengere industristandarder.

Et par berørte kunder tager en mindre traditionel rute med at søge anvendelse af Equifax. DoNotPay-chatboten yder hjælp til at indgive en klage i statslige domstole for små krav, hvor de maksimale sanktioner varierer fra $ 2.500 til $ 25.000. Bot kan kun generere papirer til en retssag, ikke faktisk arkivere den eller vises i retten, ifølge Verge.

FBI og den amerikanske advokat, John Horn, baserede i Atlanta, annoncerede en kriminel efterforskning af overtrædelsen den 18. september. Forbrugerens økonomiske beskyttelsesbureau og 34 statsadvokater generelt foretager undersøgelser.

Mr. Smith tager til Washington

Den 3. oktober vidnede den tidligere administrerende direktør Richard Smith for underudvalget House Digital Commerce and Consumer Protection. Han undskyldte adskillige gange for Equifax 'manglende beskyttelse af forbrugerdata og stod overfor spørgsmål om en række spørgsmål, der var relateret til overtrædelsen og Equifax' svar. Virksomhedens aktie steg efter vidnesbyrdet, men forblev et godt stykke under de niveauer, det handlede med inden hackingen blev afsløret.

Som svar på spørgsmål vedrørende den kontroversielle voldgiftsbestemmelse, der oprindeligt var inkluderet i TrustedID Premier's servicevilkår, sagde Smith, at "kedelpladen" -klausulen aldrig var beregnet til at gælde for overtrædelsen og kaldte dens optagelse for en "fejltagelse". Han vil ikke sige det samme om lignende klausuler for andre Equifax-tjenester, som han kaldte "standard".

Mistænkeligt tidsbestemt salg af udøvende aktier blev også undersøgt: Rep. Jan Schakowsky, en demokrat fra Illinois, sagde, at salget "ikke bestod lugtest", men Smith gennemsnit, "efter det bedste efter min viden, de vidste ikke" om overtrædelsen på det tidspunkt.

Smith beskrev bruddet som et resultat af menneskelig fejl og en teknologisk svigtende: den ansvarlige for at sørge for at lappe Apache Struts-softwaren - som havde en offentligt kendt sårbarhed, som angriberen udnyttede - kunne ikke gøre det, og en scanner, der ville have advarede virksomheden om denne fejl mislykkedes også.

Virksomhedens flailerende reaktion på krisen kom også til kritik: oprettelse af et WordPress-websted med en mistænkelig URL, undladelse af at sikre lignende domæner (og endda dirigere kunder til et af disse domæner), undlade at tilstrække personale callcentre og generelt skabe indtrykket af, at virksomheden - som eksisterer for at indsamle, sikre og sælge følsomme data - var helt uforberedt på et cyberangreb på sine databaser. Rep. Markwayne Mullin, en republikansk fra Oklahoma, fortalte Smith, at hans svar burde have været som at trække en brandalarm: "Den går straks på plads." Smith svarede, at hans team "fulgte protokollen." Flere repræsentanter nævnte, at Smith holdt en tale, der beskrev svig som en "enorm mulighed" og en "massiv, voksende forretning" i august - efter at han vidste om overtrædelsen.

Smith afviste at svare på spørgsmål om kilden til angrebet, herunder om det måske var en statsaktør. Han sagde ganske enkelt, at FBI varetager en efterforskning. Han forsvarede Equifaxs investeringer i cybersikkerhed i løbet af sin embedsperiode og sagde, at da han ankom for tolv år siden, var der praktisk talt ingen investeringer i databeskyttelse. Virksomheden brugte en kvart milliard dollars og ansat et team på 225 personer til at sikre virksomhedens data, sagde Smith, og investerede branchestandarden 10-14% af virksomhedens IT-budget i cybersikkerhed.

Nogle repræsentanter oplyste, at overtrædelsen har åbnet grundlæggende spørgsmål om kreditovervågningsindustriens rolle og forbrugernes rettigheder. "Hvad hvis jeg vil vælge vores Equifax?" Spurgte Schakowski. Smith svarede, "det kræver en meget bredere diskussion omkring kreditrapporteringsbureauernes rolle." Rep. Tonko, en New York-demokrat, gentog stemningen og påpegede, at han ikke rigtig er en "kunde", der aldrig har valgt at gøre forretninger med Equifax. "Hvorfor har dette firma lov til at fortsætte med at eksistere?" spurgte han. På forskellige punkter satte spørgsmålstegn ved værdien af ​​Social Security-numre som en måde at bevise identitet og gjorde vage referencer til at give "magt tilbage til forbrugeren."

Dagens største spørgsmål kom fra Californiens demokrat, Doris Matsui: "Ejer jeg mine data?" Smith kunne ikke svare. (Se også Blockchain kan gøre dig - ikke ligestillet - ejer af dine data. )