Equifax Inc. (EFX) mengumumkan pada 7 Sept, 2017 bahawa 143 juta pelanggannya dipengaruhi oleh hack yang berlaku antara pertengahan bulan Mei dan Julai. Angka itu meningkat kepada 145.5 juta pada minggu-minggu berikutnya, sehingga 147.9 juta pada 1 Mac, 2018, ketika syarikat itu menyatakan telah mengenal pasti 2.4 juta mangsa tambahan.
Selepas pasaran ditutup pada hari yang sama, syarikat melaporkan keputusan kewangan suku keempat dan tahun penuh. Pendapatan suku keempat syarikat meningkat 5% tahun ke tahun kepada $ 838.5 juta. Pendapatan bersih pada suku tahun naik 40% tahun ke tahun kepada $ 172.3 juta. Pendapatan dan keuntungan penuh tahun juga meningkat berbanding 2016: pendapatan naik 7% kepada $ 3.4 bilion, sementara pendapatan bersih meningkat 20% kepada $ 587.3 juta. Syarikat itu mengatakan bahawa hack itu telah mencecah $ 26.5 juta pada suku keempat dan $ 114.0 juta pada tahun penuh, selepas pembayaran insurans. Saham yang ditutup turun 1.3% sejajar dengan S & P 500, naik 0.6% dalam perdagangan selepas waktu pada masa penulisan.
Sebanyak 209, 000 nombor kad kredit pelanggan terdedah, menurut Equifax, dan dokumen pertikaian yang berkaitan dengan 182, 000 pengguna AS - termasuk maklumat peribadi - telah dikompromi. Pengguna Inggeris juga telah terjejas oleh pelanggaran tersebut; ada kemungkinan bahawa sesetengah orang Kanada dikompromi. Menurut Wall Street Journal, memetik sumber yang tidak dinamakan, 10.9 juta data lesen pemandu Amerika dicuri dalam pelanggaran tersebut.
Syarikat itu telah mengetahui mengenai serangan itu sejak 29 Julai, tetapi menunggu sebulan untuk memberi amaran kepada orang ramai. Pada 20 Sept, dilaporkan bahawa Mandiant, anak syarikat FireEye Inc. (FEYE) yang dikontrak oleh Equifax, menganggarkan pelanggaran sehingga kini kembali kepada sekurang-kurangnya 10 Mac.
Terdapat sedikit maklumat mengenai sumber serangan itu, yang sedang disiasat oleh FBI, tetapi menurut Bloomberg, persamaan dengan serangan sebelumnya pada Office of Personnel Management and Anthem Inc. menyarankan penyerang itu dapat ditaja negara, mungkin orang Cina. Bahawa maklumat pelanggan Equifax tidak dipaparkan di pasaran hitam juga menyarankan penggodam tidak hanya penjahat. Bloomberg juga melaporkan bahawa penyerang menyasarkan individu tertentu, mungkin kerana kekayaan atau nilai kecerdasan mereka.
Memandangkan penduduk dewasa AS adalah sekitar 250 juta, peluang yang baik bahawa anda terpengaruh oleh pelanggaran tersebut. Ia juga mungkin bahawa anda telah menjadi mangsa penipuan, sejak serangan itu bermula hampir enam bulan yang lalu.
Equifax yang berpangkalan di Atlanta, satu daripada tiga agensi pelaporan kredit besar - dua yang lain adalah Experian PLC (London: EXPN) dan TransUnion (TRU) - mengumpul data termasuk nombor Keselamatan Sosial, nombor kad kredit, nombor lesen pemandu, sewa dan utiliti maklumat pembayaran, dan data demografik. Oleh kerana model Equifax adalah perniagaan utama untuk perniagaan, ramai pelanggannya tidak menyedari bahawa data mereka disimpan oleh firma. Selain mengelakkan sistem kewangan dan kredit sama sekali, tidak ada cara mudah untuk memilih untuk tidak memiliki data peribadi yang disimpan oleh Equifax. (Lihat juga, 5 Hacks Data Kad Kredit Terbesar dalam Sejarah. )
Cara Semak Jika Anda Telah Terlibat
Equifax telah menyediakan tapak di mana anda boleh menyemak jika maklumat anda dikompromikan dengan memberikan nama terakhir anda dan enam digit terakhir nombor Keselamatan Sosial anda. Tapak ini telah menjadi subjek kritikan yang sengit, dan kami telah mengalih keluar pautan itu kerana pertanyaan mengenai keselamatannya. Ia telah dibentuk menggunakan WordPress, platform blogging yang luar biasa. Ia ditempatkan di domain berasingan untuk laman utama Equifax. Syarikat ini mengabaikan untuk mendaftarkan URL serupa, yang dapat digunakan untuk serangan phishing; seorang penggodam topi putih hanya membuat satu laman web untuk membuktikan satu titik, dan akaun Equifax rasmi mencatatkan pautan ke tapak palsu. Lebih dari sekali.
Equifax menawarkan pelanggan - terjejas atau tidak - perkhidmatan berikut, yang dipanggil TrustedID Premier: salinan laporan kredit Equifax, pemantauan kredit dan isyarat automatik untuk ketiga-tiga biro kredit utama, keupayaan untuk menghalang akses pihak ketiga ke laporan kredit Equifax Anda (dengan pengecualian), pemantauan nombor Keselamatan Sosial, dan $ 1 juta dalam insurans kecurian identiti. Tarikh tutup permohonan adalah 21 Nov, 2017.
Syarikat itu mengatakan perkhidmatan ini semua percuma, tetapi meletakkan pembekuan keselamatan pada fail kredit tidak pada mulanya percuma - sekurang-kurangnya bukan untuk semua orang. Apabila saya cuba membekukan fail kredit Equifax pada 8 September, laman web syarikat itu berkata perkhidmatan itu akan menelan kos $ 3.00 dan meminta maklumat kad kredit untuk memproses pembayaran.
Sebagai penduduk New York, saya dapat membekukan fail Experian saya secara percuma. Tapak TransUnion tidak dapat memproses permintaan pada mulanya - kemungkinan gejala peningkatan lalu lintas - tetapi kemudian membenarkan saya meletakkan pembekuan secara percuma.
Dalam satu kenyataan yang diemail, jurucakap Equifax memberitahu Investopedia pada 14 September bahawa firma itu mengetepikan semua caj untuk membekukan fail kredit dan secara automatik membayar balik pelanggan yang dibayar untuk berbuat demikian selepas hack itu dipublikasikan. Kebimbangan baru - dan kelewatan yang jelas dalam keselamatan - kini timbul di sekitar PIN syarikat yang dikeluarkan kepada pelanggan yang telah membekukan laporan kredit mereka. PIN-PIN ini, yang membolehkan pelanggan untuk menyebarkan laporan kredit, mengikut pola yang mudah dikenalpasti. Jurucakap itu berkata pelanggan dengan PIN yang salah ini mesti menghubungi 866-349-5191 untuk bercakap dengan ejen hidup.
Senarai Perkhidmatan Equifax Premiered TrustedID percuma hanya percuma selama setahun. Jurucakap Equifax memberitahu Investopedia bahawa syarikat itu tidak meminta maklumat kad kredit apabila pelanggan mendaftar untuk perkhidmatan itu dan syarikat itu tidak akan memperbaharuinya secara automatik atau mengenakan bayaran. Kadar standard Equifax untuk pemantauan kredit adalah $ 17 sebulan.
Apa Yang Harus Dilakukan Jika Anda Telah Terlibat
Penulis kewangan peribadi di NerdWallet, Liz Weston, mempunyai nasihat berikut untuk mereka yang terkena pelanggaran Equifax, yang dia berikan dengan Investopedia dalam email: "Equifax akan menjangkau para korban dan menawarkan pemantauan kredit. Mangsa harus memastikan bahawa bersetuju untuk pemantauan tidak menghalang mereka daripada menyertai tindakan undang-undang atau tindakan lain di jalan raya."
Pada mulanya, halaman terma perkhidmatan TrustedID Premier (versi yang diarkibkan) sebenarnya memerlukan pengguna untuk mengetepikan hak mereka untuk menyertai saman aksi kelas terhadap Equifax: "Dengan bersetuju untuk mengemukakan Tuntutan Anda kepada timbang tara, Anda akan kehilangan hak Anda untuk membawa atau menyertai dalam mana-mana tindakan kelas (sama ada sebagai plaintif yang dinamakan atau ahli kelas) atau untuk berkongsi dalam mana-mana anugerah tindakan kelas, termasuk tuntutan kelas di mana kelas belum diperakui, walaupun fakta dan keadaan di mana Tuntutan yang berasaskan sudah berlaku atau wujud. " Berikutan tindak balas balik, halaman FAQ syarikat telah dikemaskini untuk mengatakan bahawa fasal itu digunakan untuk perkhidmatan Premier TrustedID, bukan hack. Sehingga pagi 12 September, terma perkhidmatan tidak lagi termasuk klausa timbang tara.
Weston mengatakan bahawa pelanggan yang terpengaruh perlu mempertimbangkan membekukan laporan kredit mereka di ketiga-tiga biro utama. Seperti yang dinyatakan di atas, biro kredit mungkin mengenakan yuran untuk memulakan pembekuan itu. Anda juga mungkin akan dikenakan bayaran untuk memulangkan akaun apabila anda memerlukan pemeriksaan kredit (untuk memohon perkhidmatan telefon bimbit, sebagai contoh). Yuran ini secara amnya kurang daripada $ 10, tetapi mereka boleh menambah. Weston menyatakan bahawa pilihan lain adalah untuk meletakkan amaran penipuan pada laporan kredit anda di tiga biro kredit. (Untuk lebih lanjut, lihat Cara Memulihkan dari Pencurian Identiti .)
Perkhidmatan pemantauan kredit lain, yang tidak ditaja oleh Equifax, juga tersedia. Perkhidmatan Perlindungan Pencegahan Identity: Worth Having? menyenaraikan beberapa daripada mereka untuk anda menyiasat.
Maklum balas Equifax
Pengerusinya dan Ketua Pegawai Eksekutif Equifax, Richard Smith, berkata selepas hack itu ia "jelas kejadian yang mengecewakan bagi syarikat kami, dan yang menyerang hati siapa kami dan apa yang kami lakukan." Dia meletak jawatan pada 26 September dan tidak akan menerima bonus untuk 2017. Pemergiannya mengikuti ketua pegawai keselamatan Susan Mauldin dan ketua pegawai maklumat David Webb pada 14 September.
Beberapa hari selepas syarikat itu mendedahkan peretasan secara dalaman - dan sebelum pelanggaran itu diturunkan kepada orang ramai - ketua pegawai kewangan Equifax, John Gamble, presiden penyelesaian tenaga kerja Rodolfo Ploder, dan presiden penyelesaian maklumat AS Joseph Loughran menjual saham Equifax mereka. Equifax berkata dalam satu kenyataan bahawa para eksekutif tidak mengetahui tentang pelanggaran apabila mereka menjual stok mereka. Gamble, Ploder dan Loughran secara kolektif memperoleh hampir $ 1.8 juta daripada jualan.
Sehingga 28 Februari, saham Equifax telah jatuh 20.1% dari penutupnya pada 7 Sept (sebelum hack telah diumumkan) kepada $ 113.00. Selepas beberapa kelewatan, Equifax berkata ia akan melaporkan pendapatan suku keempat selepas ditutup pada 1 Mac.
Biarkan tuntutan undang-undang bermula
Reuters melaporkan pada 11 September bahawa lebih daripada 30 tindakan undang-undang - kebanyakan mereka yang mencari tindakan kelas - telah difailkan terhadap Equifax di mahkamah AS. Beberapa mendakwa pelanggaran undang-undang sekuriti; yang lain menuduh TrustedID menyediakan perkhidmatan yang mahal kepada pelanggan yang terjejas oleh pelanggaran data. Lima warga Utah telah menggugat syarikat itu di Mahkamah Daerah AS kerana kegagalan untuk melindungi data sensitif pelanggan. Saman ini mencari ganti rugi kewangan sebanyak $ 5 bilion dan pengenaan piawaian industri yang lebih ketat.
Beberapa pelanggan yang terjejas mengambil laluan yang kurang tradisional dalam mencari jalan keluar dari Equifax. Chatbot DoNotPay memberikan bantuan dalam memfailkan aduan di mahkamah tuntutan kecil negara, di mana penalti maksimum berkisar antara $ 2, 500 hingga $ 25, 000. Bot ini hanya dapat menghasilkan dokumen untuk tuntutan undang-undang, tidak benar-benar memfailkannya atau muncul di mahkamah, menurut Verge.
Peguam Negara AS FBI dan Atlanta John Horn mengumumkan siasatan jenayah terhadap pelanggaran pada 18 September. Biro Perlindungan Kewangan Pengguna dan 34 peguam negara sedang menjalankan pertanyaan.
Encik Smith Pergi ke Washington
Pada 3 Oktober bekas Ketua Pegawai Eksekutif Richard Smith memberi keterangan di hadapan jawatankuasa kecil Digital Digital dan Perlindungan Pengguna. Dia memohon maaf beberapa kali untuk kegagalan Equifax untuk melindungi data pengguna dan menghadapi pelbagai masalah berkaitan dengan pelanggaran dan maklum balas Equifax. Saham syarikat meningkat berikutan kesaksian, tetapi tetap jauh di bawah tahap yang diniagakan sebelum percubaan telah didedahkan.
Sebagai tindak balas kepada soalan-soalan mengenai klausa timbang tara yang kontroversial yang pada mulanya dimasukkan dalam terma perkhidmatan TrustedID Premier, Smith berkata klausa "boilerplate" tidak pernah bermaksud untuk memohon kepada pelanggaran itu dan memanggil inklusinya sebagai "kesilapan." Dia tidak akan mengatakan sama dengan klausa yang sama yang mengawal perkhidmatan Equifax yang lain, yang dipanggil "standard".
Penjualan saham eksekutif yang dicurigakan juga diteliti: Rep. Jan Schakowsky, seorang Demokrat Illinois, berkata penjualan "tidak lulus ujian bau, " tetapi Smith berkata, "sehingga pengetahuan saya yang terbaik, mereka tidak tahu" pelanggaran pada masa itu.
Smith menyifatkan pelanggaran itu sebagai akibat daripada kesilapan manusia dan kegagalan teknologi: orang yang bertanggungjawab memastikan patch perisian Apache Struts - yang mempunyai kerentanan diketahui oleh umum penyerang yang dieksploitasi - gagal melakukannya, dan pengimbas yang akan mempunyai memaklumkan perusahaan tentang kesalahan itu juga gagal.
Tanggapan yang menggelincir syarikat terhadap krisis juga datang untuk kritikan: menubuhkan sebuah laman web WordPress dengan URL yang mencurigakan, gagal untuk mendapatkan domain yang serupa (dan bahkan mengarahkan pelanggan ke salah satu daripada domain tersebut), gagal untuk menelefon pusat panggilan staf, dan secara umumnya mewujudkan tanggapan bahawa syarikat itu - yang ada untuk mengumpul, menjamin dan menjual data sensitif - sama sekali tidak bersedia untuk cyberattack pada pangkalan datanya. Rep. Markwayne Mullin, seorang Republikan Oklahoma memberitahu Smith responnya sepatutnya seperti penggera kebakaran: "ia segera berlaku." Smith menjawab bahawa pasukannya "mengikuti protokol." Beberapa wakil menyebut bahawa Smith memberi ucapan yang menggambarkan penipuan sebagai "peluang besar" dan "perniagaan besar-besaran yang berkembang" pada bulan Ogos - selepas dia mengetahui tentang pelanggaran itu.
Smith enggan menjawab soalan mengenai sumber serangan itu, termasuk sama ada ia mungkin seorang pelakon negeri. Beliau berkata hanya FBI sedang menjalankan siasatan. Dia mempertahankan pelaburan Equifax dalam keamanan maya selama masa jabatannya, mengatakan ketika ia tiba dua belas tahun yang lalu, praktiknya tidak ada investasi dalam perlindungan data. Syarikat itu menghabiskan seperempat bilion dolar dan mengupah pasukan 225 orang untuk mendapatkan data syarikat itu, kata Smith, yang melabur 10-14% daripada piawaian industri IT dalam cybersecurity.
Sesetengah Wakil menunjukkan bahawa pelanggaran telah membuka soalan asas tentang peranan industri pemantauan kredit dan hak pengguna. "Bagaimana jika saya mahu memilih Equifax?" Schakowski bertanya. Smith menjawab, "yang memerlukan perbincangan yang lebih luas di sekitar peranan agensi pelaporan kredit." Rep. Tonko, seorang Demokrat New York, menyuarakan sentimen tersebut, menunjukkan bahawa dia bukanlah "pelanggan", yang tidak pernah memilih untuk melakukan perniagaan dengan Equifax. "Mengapa syarikat ini dibenarkan untuk terus wujud?" dia tanya. Di pelbagai titik, Smith mempersoalkan nilai nombor Keselamatan Sosial sebagai satu cara untuk membuktikan identiti dan membuat rujukan samar-samar untuk memberikan "kuasa kembali kepada pengguna."
Soalan terbesar hari ini berasal dari California Demokrat Doris Matsui: "Adakah saya memiliki data saya?" Smith tidak dapat menjawabnya. (Lihat juga, Blockchain Boleh Membuat Anda - Tidak Equifax - Pemilik Data Anda. )
