Strona główna Bezpieczeństwo Equihax Jedno z najbardziej nieszczęsnych naruszeń wszechczasów

Equihax Jedno z najbardziej nieszczęsnych naruszeń wszechczasów

  • Mark Lucas
  • 0
  • 3274
  • 645
Reklama

W spokojne popołudnie na początku września 2017 r. Equifax ujawnił nadzwyczajne naruszenie bezpieczeństwa, które, jak szacowano, dotknęło prawie 200 milionów ludzi na całym świecie. Biorąc pod uwagę, że firma po raz pierwszy odkryła naruszenie w lipcu, powinno to zapewnić wystarczająco dużo czasu na przygotowanie odpowiedzi i rozwiązania dla wszystkich dotkniętych osób. Zamiast tego Equifax zapewnił światu doskonały przykład tego, jak to zrobić nie poradzić sobie z poważnym naruszeniem bezpieczeństwa.

Z ogromnego zakresu wycieku danych, mylących legalnych i strasznie niepewnych stron internetowych z odpowiedziami, Equifax miał to wszystko. Dodajmy zarzuty o wykorzystywanie informacji poufnych, słabą komunikację, 30-procentowy spadek wartości akcji, a także dalsze wycieki danych, a firma wydawała się być gotowa na dramatyczny spadek z łaski. Cóż, tyle łaski co agencja raportów kredytowych, na którą nigdy nie zgodziłeś się przekazać wrażliwych danych.

EquiBreach

Pierwsze oświadczenie Equifax o naruszeniu mówiło, że do 144 milionów Amerykanów mogło dojść do naruszenia ich informacji kredytowej. Obejmowały one nazwiska, adresy, numery ubezpieczenia społecznego (SSN), daty urodzenia i dokumentację finansową. Firma poinformowała również, że naruszenie dotyczyło numerów kart kredytowych dla 209 000 amerykańskich konsumentów. Ponadto ujawniono dane dotyczące sporów z danymi osobowymi dla 189 000 osób.

Wstępne doniesienia w mediach określały osoby dotknięte problemem jako klientów Equifax. Jednak tak naprawdę nie jesteś klientem Equifax, Experian, TransUnion ani żadnej innej agencji raportującej kredyty. Agencje te zbierają dane od wielu różnych usługodawców i dostawców produktów finansowych. Dane są następnie wykorzystywane do generowania oceny zdolności kredytowej, umożliwiając pożyczkodawcy ocenę ryzyka, jakie stwarzasz. Ubiegasz się o pożyczkę, kartę kredytową lub kredyt hipoteczny? Tak podejmuje się decyzję.

Ocena wpływu i TrustedID Premier

Aby zrekompensować ci utratę danych prawie połowy populacji dorosłych w USA, Equifax założył stronę internetową, equifaxsecurity2017.com. Tutaj możesz wpisać swoje imię i nazwisko oraz częściowy SSN i ​​dowiedzieć się, czy Twoje dane były wśród tych, które wyciekły. Dodatkowo możesz zarejestrować się w ich usłudze TrustedID Premier. Jest to raport kredytowy trzech biur i narzędzie do monitorowania SSN, uzupełniające przez rok amerykańskich konsumentów.

Jednak w pierwszym ujawnieniu i przez tydzień Equifax milczał bardzo szczegółowo. Rodzaj ataku, winowajca i powód, dla którego mógł on trwać tak długo, bez wykrycia, pozostawał tajemnicą.

Doprowadziło to wielu do podejrzeń, że po stronie Equifax była wina. Sześć dni później, po ogromnym publicznym oburzeniu i interwencjach dwustronnej grupy senatorów, Equifax ostatecznie przyznał, że w ataku wykorzystano znany exploit Apache Strut (CVE-2017-5638) - łatka, na którą wydano w marcu 2017 r., Dwa miesiące przed naruszeniem Equifax. To udowodniło, że podobnie jak WannaCry na początku roku Globalny atak ransomware i jak chronić dane Globalny atak ransomware i jak chronić dane Ogromny cyberatak nawiedził komputery na całym świecie. Czy dotknęło Cię wysoce zjadliwe samoreplikujące się oprogramowanie ransomware? Jeśli nie, w jaki sposób możesz chronić swoje dane bez płacenia okupu? , brak aktualizacji oprogramowania może mieć katastrofalne konsekwencje.

Nie tylko konsumenci z USA

Chociaż nie ujawniono go od samego początku, Equifax był zmuszony przyznać, że informacje dotyczące “ograniczona liczba” naruszeń Wielkiej Brytanii i Kanady również zostało objętych naruszeniem. Do 44 milionów brytyjskich konsumentów mogło nawet nie wiedzieć, że amerykańska agencja kredytowa ma swoje dane. Dostarczyły je jednak firmy takie jak BT, British Gas i Capital One. Wczoraj wieczorem w piątek 15 września oddział agencji kredytowej Wielkiej Brytanii ogłosił, że dotknęło to 400 000 mieszkańców Wielkiej Brytanii. Podejrzewana próba zakopania wiadomości ujawniła: “awaria procesu” który trwał pół dekady. Jednak nie zaoferowano żadnych wskazówek dla mieszkańców Wielkiej Brytanii ani Kanady.

Witryna Equifax woes

Z przyczyn, które nie zostały jeszcze wyjaśnione, Equifax uruchomił osobną stronę internetową, w której zareagują na naruszenie. Biorąc pod uwagę, że witryna została utworzona w odpowiedzi na poważne naruszenie bezpieczeństwa, można sobie wyobrazić, że dołożono wszelkich starań, aby witryna była lśniącym światłem stabilności. Ogarnęła ich ogromna liczba amerykańskich konsumentów chcących sprawdzić swoje informacje. To spowodowało, że wielu nie było w stanie uzyskać dostępu do strony lub załadować wyników swojej oceny wpływu.

@ briankrebs Czy widziałeś, że OpenDNS blokuje stronę rejestracji Equifax? Nazywasz to spamem? pic.twitter.com/xqvr8wJyM0

- Nick Frichette (@Frichette_n) 8 września 2017 r

Nawet wtedy liczba osób odwiedzających stronę mogłaby być większa, gdyby nie zła konfiguracja strony. W książce większości osób strona internetowa z domenami zawierającymi wątpliwe słowa kluczowe wydaje się być oszustwem typu phishing. Wydawało się, że OpenDNS zgadza się i wielu użytkownikom zablokowało dostęp do strony. Aby wzmocnić poczucie ironii, aby zakończyć ocenę, musisz wprowadzić sześć ostatnich cyfr swojego numeru SSN. Są to te same dane, które Equifax już udowodnił, że nie mogą chronić!

Wyniki niemożliwe do zweryfikowania

W ciągu kilku godzin od uruchomienia witryny pojawiły się doniesienia, że ​​nie można nawet ufać wynikom ich oceny skutków. Wielokrotne wprowadzenie tych samych danych dałoby różne odpowiedzi na pytanie, czy to dotyczyło Ciebie. Niektórzy próbowali nawet wprowadzić świadomie fałszywe informacje. Niepokojące okazało się, że Equifax poinformuje nieistniejącą osobę o wycieku danych.

Tak do Equifax. Mój szef właśnie podał fałszywe imię i nazwisko wraz z numerem ubezpieczenia społecznego swojego 9-letniego syna, a strona powiedziała, że ​​to dotyczy.

- SOL.?? (@oh_sovivacious) 8 września 2017 r

Jeśli jesteś skłonny zaakceptować fakt, że dane zostały faktycznie naruszone w wyniku naruszenia, Equifax przywitał Cię niejasnym oświadczeniem o naruszeniu i zachęcił Cię do zarejestrowania się w TrustedID Premier. Biorąc pod uwagę, że źródłem naruszenia była Equifax, wydaje się, że w złym guście zachęcają cię do zapisania się na bezpłatny proces ochrony przed oszustwami.

OMG, PIN-y zabezpieczające Equifax są gorsze niż myślałem. Na przykład jeśli zamroziłeś swój kredyt dzisiaj, 14:15 ET, otrzymasz PIN 0908171415.

- Tony Webster (@webster) 9 września 2017 r

Osoby, które zarejestrowały się w TrustedID Premier, mogły wykonać zamrożenie kredytu i otrzymały PIN potwierdzający. Jednak PIN wydawał się być znacznikiem czasu, w którym przeprowadzono zamrożenie. Dzięki temu PIN byłby bezużyteczny - można go łatwo odgadnąć, umożliwiając każdemu odblokowanie blokady kredytu. Pomimo początkowych odmów, Equifax powiedział później, że przechodzą na nową metodę, która losowo generuje PIN. Ponadto pozwolą konsumentom zażądać przesłania nowego kodu PIN na zarejestrowany adres pocztowy.

Legalna klęska

Gdy Equifax po raz pierwszy uruchomił stronę internetową equifaxsecurity2017, Warunki świadczenia usług dla TrustedID Premier wydawały się sugerować, że korzystasz z usługi, zrzekłeś się prawa do udziału w jakimkolwiek pozwie zbiorowym przeciwko firmie w przyszłości. Wrzawa wywołana tą niesprawiedliwością spowodowała, że ​​Equifax wydało aktualizację następnego dnia. Stwierdzili teraz, że klauzula arbitrażowa nie ma zastosowania do naruszenia bezpieczeństwa.

Equifax oferuje monitorowanie i ochronę przed kradzieżą pkg, ale drobnym drukiem, klauzulą ​​arbitrażową i zwolnieniem z pozwów zbiorowych 1/3 pic.twitter.com/8F58B5qh4w

- Rhana Natour (@RNatourious) 8 września 2017 r

Nie zrobiło to nic, by zapewnić ludzi, których zrozumiałe nieprzekonanie doprowadziło do kolejnego oświadczenia prawie tydzień później stwierdzającego, że tak “usunąłem ten język z warunków korzystania z TrustedID Premier i nie będzie on miał zastosowania do bezpłatnych produktów oferowanych w odpowiedzi na incydent cyberbezpieczeństwa lub roszczeń związanych z samym incydentem cyberbezpieczeństwa. Język arbitrażowy nie będzie miał zastosowania do żadnego konsumenta, który zarejestrował się przed usunięciem języka.”

Zabrany do zadania

W posunięciu, które Equifax twierdzi, że jest to całkowity zbieg okoliczności, zaledwie dwa dni po pierwszym wykryciu naruszenia, trzech kierowników wyższego szczebla sprzedało akcje o wartości 1,8 miliona dolarów. Ta znacząca sprzedaż miała miejsce zaledwie kilka dni po wykryciu naruszenia, ale ponad miesiąc przed ich publicznym ujawnieniem. Gdyby osoby wiedziały o naruszeniu bezpieczeństwa, byłyby one sprzeczne z przepisami dotyczącymi wykorzystywania informacji poufnych. Świadomie lub inaczej, ich terminowa sprzedaż miała szczęście. W momencie pisania tego tekstu akcje Equifax spadły o 30 procent od momentu ujawnienia naruszenia.

Dwustronna grupa 36 senatorów wysyła pismo do SEC, DOJ i FTC z wezwaniem do przeprowadzenia dochodzenia w sprawie sprzedaży akcji Equifax po naruszeniu danych. pic.twitter.com/xEApcjFFkP

- Kyle Griffin (@ kylegriffin1) 13 września 2017 r

Biorąc pod uwagę bardzo wrażliwy charakter naruszenia, wiele osób dotkniętych katastrofą jest, co zrozumiałe, krytycznie nastawionych do pozornego luźnego bezpieczeństwa Equifax. Na przykład USA Today poinformowało, że w ciągu kilku dni po ujawnieniu 23 agencji sądowych zostało złożonych w 14 stanach przeciwko agencji informacji kredytowej. Jak donosi Bloomberg, pozew zbiorowy w Oregonie domaga się odszkodowania w wysokości do 7 miliardów dolarów. Nawet gdyby sąd zasądził tak dużą sumę, oznacza to prawie 500 USD na osobę. Czy wydaje się to wystarczające, aby zrekompensować dożywotnie ryzyko kradzieży tożsamości??

Joshua Browder, twórca bota DoNotPay, rozszerzył swoją funkcjonalność, aby uprościć proces ubiegania się w sądzie ds. Drobnych roszczeń o odszkodowanie za naruszenie Equifax. Jest to godne podziwu i przyczynia się do ułatwienia często skomplikowanej dokumentacji prawnej. Jednak niektóre raporty twierdziły, że bot DoNotPay, pierwotnie opracowany z myślą o walce z mandatami parkingowymi, może zautomatyzować cały proces. Jak zauważa TechCrunch, bota naprawdę pomaga jedynie w początkowej formalności - nadal musisz walczyć ze sprawą w sądzie.

Ciągły ból głowy na całym świecie

Jeśli pozostały jakiekolwiek wątpliwości co do złych praktyk bezpieczeństwa Equifax, to przykład z argentyńskiego ramienia Equifax prawdopodobnie całkowicie go usunie. Po raz pierwszy zgłoszony przez KrebsOnSecurity portal internetowy wykorzystywany przez pracowników do rozstrzygania sporów kredytowych o nazwie Veraz (co w języku hiszpańskim jest zgodny z prawdą) został uznany za wrażliwy. Można się spodziewać, że luka będzie miała charakter techniczny, ale zamiast tego była to jedna z najbardziej podstawowych awarii zabezpieczeń: złe hasła. Niezwykle uproszczona, aw wielu przypadkach domyślna kombinacja nazwy użytkownika i hasła admin / admin zezwalał każdemu, kto spotkał się z witryną, na zalogowanie się do portalu pracowników.

Źródło zdjęcia: KrebsOnSecurity

Szokująco pozwoliło to na przeglądanie, edytowanie i usuwanie nazw użytkowników i haseł dla ponad 100 argentyńskich pracowników Equifax. W każdym przypadku hasła w postaci jawnego tekstu były takie same jak nazwa użytkownika pracownika. Jeśli to nie było wystarczająco poważne, istniał obszar strony z 715 stron szczegółowych raportów na temat każdej skargi lub sporu zarejestrowanych w Equifax. Informacje te obejmowały DNI (argentyński odpowiednik SSN) dla ponad 14 000 osób - znowu, wszystkie w postaci zwykłego tekstu. Equifax szybko przeniósł witrynę do trybu offline po skontaktowaniu się z nią przez KrebsOnSecurity i obecnie bada najnowsze faux pas.

Co możesz zrobić?

Pierwszym krokiem jest skorzystanie ze strony internetowej Equifax, aby sprawdzić, czy naruszenie danych miało wpływ na dane. Jak sprawdzić, czy dane zostały skradzione w wyniku naruszenia Equifax Jak sprawdzić, czy dane zostały skradzione w wiadomości o naruszeniu danych Equifax dotyczy to nawet 80 procent wszystkich użytkowników kart kredytowych w USA. Czy jesteś jednym z nich? Oto jak to sprawdzić. . Ponieważ jednak wyniki mogą być niespójne, najlepiej założyć, że to dotyczy. Ponieważ firma wyjaśniła teraz język, zarejestruj się w usłudze TrustedID Premier. Umożliwi to dokonanie blokady kredytu Jak zapobiec kradzieży tożsamości poprzez zamrożenie kredytu Jak zapobiec kradzieży tożsamości przez zamrożenie kredytu Twoje dane osobowe zostały naruszone, ale twoja tożsamość nie została jeszcze skradziona. Czy możesz coś zrobić, aby zminimalizować ryzyko? Możesz spróbować zablokować kredyt - oto jak to zrobić. i powstrzymaj każdego, kto otworzy kredyt w Twoim imieniu. Biorąc pod uwagę wrażliwy charakter danych utraconych w wyniku wycieku, oszuści mogą sprzedawać swoje towary, więc bądź czujny wobec inżynierii społecznej Jak się chronić przed tymi 8 atakami inżynierii społecznej Jak chronić się przed tymi 8 atakami inżynierii społecznej Jaki społeczność techniki inżynieryjne, których użyłby haker i jak się przed nimi uchronić? Rzućmy okiem na niektóre z najczęstszych metod ataku. i wyłudzanie informacji Jak rozpoznać wiadomość e-mail wyłudzającą informacje Jak rozpoznać wiadomość e-mail wyłudzającą informacje Złapanie wiadomości e-mail wyłudzających informacje jest trudne! Oszuści udają PayPal lub Amazon, próbując ukraść hasło i dane karty kredytowej, jeśli ich oszustwo jest niemal idealne. Pokazujemy, jak rozpoznać oszustwo. .

W wyniku wielu naruszeń danych często radzimy zmienić hasło, zacząć korzystać z menedżera haseł. Jak menedżerowie haseł dbają o bezpieczeństwo haseł Jak menedżerowie haseł dbają o bezpieczeństwo haseł Trudne do zapamiętania hasła są trudne do zapamiętania. Chcesz być bezpieczny? Potrzebujesz menedżera haseł. Oto jak działają i jak zapewniają ci bezpieczeństwo. , zarejestruj się w HaveIBeenPwned Sprawdź teraz i sprawdź, czy Twoje hasła wyciekały Sprawdź teraz i sprawdź, czy Twoje hasła wyciekały To fajne narzędzie pozwala sprawdzić dowolne hasło, aby sprawdzić, czy kiedykolwiek było to przyczyną wycieku danych. , włącz uwierzytelnianie dwuskładnikowe Co to jest uwierzytelnianie dwuskładnikowe i dlaczego warto go używać Co to jest uwierzytelnianie dwuskładnikowe i dlaczego warto go używać Uwierzytelnianie dwuskładnikowe (2FA) to metoda zabezpieczeń, która wymaga dwóch różnych sposobów dowodzenia Twoja tożsamość. Jest powszechnie stosowany w życiu codziennym. Na przykład płacenie kartą kredytową wymaga nie tylko karty,… gdziekolwiek to możliwe, i poprawy Twojej cyber higieny Popraw swoje bezpieczeństwo w cyberprzestrzeni w 5 łatwych krokach Popraw swoje bezpieczeństwo w cyberprzestrzeni w 5 łatwych krokach W świecie cyfrowym „cyber higiena” jest równie ważna jako rzeczywista higiena osobista. Potrzebne są regularne kontrole systemu, a także nowe, bezpieczniejsze nawyki online. Ale jak wprowadzić te zmiany? . Chociaż żadne z nich nie ochroni cię bezpośrednio przed wyciekiem Equifax, zaostrzenie bezpieczeństwa nie wyrządzi ci krzywdy. Być może biorąc pod uwagę okoliczności, warto byłoby nawet zrobić dodatkowe kroki i przeprowadzić pełną kontrolę bezpieczeństwa. Chroń siebie dzięki corocznej kontroli bezpieczeństwa i prywatności Chroń siebie dzięki corocznej kontroli bezpieczeństwa i prywatności Mamy prawie dwa miesiące do nowego roku, ale są jeszcze dwa miesiące jeszcze czas na pozytywne rozstrzygnięcie. Zapomnij o piciu mniejszej ilości kofeiny - mówimy o podjęciu kroków w celu zapewnienia bezpieczeństwa i prywatności online. .

Equihaxxed

Naruszenie Equifax najprawdopodobniej będzie wyróżniającym się wydarzeniem w zakresie bezpieczeństwa w roku szalejącym z naruszeniami danych i atakami ransomware. Podobnie jak w przypadku innych głośnych zdarzeń związanych z bezpieczeństwem, takich jak WannaCry i niekończący się strumień wycieków danych, w zdumiewającej naturze naruszenia Equifax można znaleźć srebrną podszewkę. Zwracając uwagę opinii publicznej na bezpieczeństwo danych, sprawozdawczość kredytową i nadużycia korporacyjne, istnieje możliwość przedyskutowania i złagodzenia tych kwestii. Silna reakcja wielu senatorów USA zapewni, że naruszenie to nie zniknie z tła. Equifax przyznał przynajmniej, że konieczne są pewne zmiany personalne - dyrektor ds. Informacji i dyrektor ds. Bezpieczeństwa mają “na emeryturze” w rezultacie.

Pomimo wysokiego profilu i ogromnego zasięgu wciąż nie ma informacji o tym, kim byli napastnicy. Ze swojej strony Equifax milczał w tej sprawie - w zgodzie z resztą źle zarządzanej odpowiedzi. Zaledwie kilka dni po ujawnieniu naruszenia, pojawiła się grupa, która twierdziła, że ​​ma dane, i zażądała okupu w wysokości 600 bitcoinów. Po tym, jak naukowcy odkryli usługę hostingową witryny .onion, została ona natychmiast zamknięta.

Osobno grupa nazywająca się Equihax również twierdziła, że ​​jest w posiadaniu danych, ale nie przedstawiła żadnego weryfikowalnego dowodu. Biorąc pod uwagę potencjalnie intratne dane, możesz być pewien, że nie potrwa długo, zanim hakerzy podejmą próbę zarobienia pieniędzy.

Czy naruszyło Cię naruszenie bezpieczeństwa Equifax? Czy uważasz, że Equifax jest winny i czy mogliby zrobić więcej, aby cię chronić? Daj nam znać w komentarzach!

Źródło obrazu: stevanovicigor / Depositphotos




Jeszcze bez komentarzy

6 sztuczek, które musisz wiedzieć, aby zachować bezpieczeństwo podczas korzystania z couchsurfingu
Media społecznościowe
Najgorętsze aplikacje społecznościowe na żywo, które musisz wypróbować
Media społecznościowe
7 sekretów do zamieszczania wirusowych filmów wideo
Media społecznościowe
O nowoczesnej technologii, prostej i niedrogiej.
Twój przewodnik w świecie nowoczesnych technologii. Dowiedz się, jak korzystać z technologii i gadżetów, które nas otaczają każdego dnia i dowiedz się, jak odkrywać ciekawe rzeczy w Internecie.