På en lugn eftermiddag i början av september 2017 avslöjade Equifax ett extra säkerhetsbrott som beräknades ha påverkat nästan 200 miljoner människor världen över. Med tanke på att företaget först upptäckte överträdelsen i juli, borde det ha gett gott om tid att förbereda sig för ett svar och en lösning för alla berörda personer. I stället fortsatte Equifax att ge världen ett perfekt exempel på hur man inte hanterar en större säkerhetsbrott.
Från det enorma räckvidd av dataläckage, förvirrande legalese och grymt osäkra svarwebbplatser hade Equifax allt. Lägg till i anklagelser om insiderhandel, dålig kommunikation, en 30 procent minskning av lagervärdet, tillsammans med ytterligare data läckage, och företaget verkade ha satt sig upp för ett dramatiskt fall från nåd. Tja, så mycket nåd som ett kreditrapporteringsbyrå har du aldrig uttryckligen kommit överens om att lämna dina känsliga uppgifter för att kunna ha.
EquiBreach
Equifaxs första uttalande om överträdelsen sa att upp till 144 miljoner amerikaner kan ha haft sin kreditinformation komprometterad. Detta inkluderade namn, adresser, Social Security Numbers (SSN), födelsedatum och finansiella poster. Företaget rapporterade också att kreditkortsnummer för 209 000 amerikanska konsumenter inkluderades i överträdelsen. Dessutom har tvister med personidentifierande uppgifter för 189 000 personer läckt ut.
Initiala rapporter i media hänvisade till påverkade individer som Equifaxs kunder. Du är dock inte riktigt kund hos Equifax, Experian, TransUnion eller någon annan kreditrapporteringsbyrå. Dessa myndigheter samlar in data från ett antal olika tjänster och leverantörer av finansiella produkter. Data används sedan för att generera ditt kreditresultat, vilket gör det möjligt för en långivare att bedöma den risk du ställer. Ansöker om lån, kreditkort eller inteckning? Så här fattas beslutet.
Konsekvensbedömning och TrustedID Premier
För att kompensera dig för att förlora data från nästan hälften av den amerikanska vuxna befolkningen, skapade Equifax en webbplats, equifaxsecurity2017.com. Här kan du skriva in ditt namn och dela SSN och ta reda på om dina uppgifter var bland de läckta. Dessutom kan du anmäla dig till sin tjänst, TrustedID Premier. Detta är en trebyråns kreditrapport och SSN-övervakningsverktyg som kompletterar amerikanska konsumenter i ett år.
Ändå var Equifax i sin första avslöjande, och för en vecka efter, anmärkningsvärt tyst på detaljerna. Anfallstypen, den skyldige, och varför den kunde fortsätta så länge utan detektion, förblev en hemlighet.
Detta ledde många att misstänka att det var skuld på Equifax sida. Sex dagar senare, och efter enorma offentliga uppror och interventioner från en tvåsidig grupp senatorer, erkände Equifax äntligen att attacken använde ett känt Apache Strut-utnyttjande (CVE-2017-5638) - en lapp som släpptes i mars 2017, två månader före Equifax-överträdelsen. Detta visade att, precis som med WannaCry tidigare på året Global Ransomware Attack och hur man skyddar dina data Global Ransomware Attack och hur man skyddar dina data En enorm cyberattack har slagit datorer runt om i världen. Har du blivit påverkad av den mycket virulenta självreplikerande ransomware? Om inte, hur kan du skydda dina uppgifter utan att lösa lösenummet? Läs mer, inte uppdatering av din programvara kan få förödande konsekvenser.
Inte bara amerikanska konsumenter
Trots att det inte förstods från början, var Equifax tvungen att erkänna att informationen för ett "begränsat antal" av brittiska och kanadensiska invånare också inkluderades i överträdelsen. Upp till 44 miljoner brittiska konsumenter kanske inte ens har varit medvetna om att den amerikanska kreditbyrån hade sina uppgifter. Men det gavs dem av företag inklusive BT, British Gas och Capital One. Kreditbyråns brittiska arm meddelade tidigt på kvällen fredagen den 15 september att 400 000 brittiska invånare drabbades. Detta misstänkta försök att begrava nyheterna avslöjade ett "processfel" som varade ett halvt decennium. Men ingen vägledning till brittiska eller kanadensiska invånare har erbjudits.
Equifax hemsida Woes
Av skäl som ännu inte förklarats lanserade Equifax en separat webbplats för sitt svar på överträdelsen. Med tanke på att webbplatsen upprättades till följd av ett större säkerhetsbrott, skulle du kunna tänka dig att alla försiktighetsåtgärder skulle ha vidtagits för att säkerställa att webbplatsen var en lysande styrka av stabilitet. I stället överväldigade den stora volymen av amerikanska konsumenter som vill kontrollera deras information. Detta lämnade många som inte kunde komma åt webbplatsen, eller att ladda resultaten av deras konsekvensbedömning.
@briankrebs Har du sett OpenDNS blockerar Equifax registreringssidan? Ringer det spam? pic.twitter.com/xqvr8wJyM0
- Nick Frichette (@Frichette_n) 8 september 2017
Även då kan antalet besökande webbplatsen ha varit större om det inte varit för dålig webbplatskonfiguration. I de flesta människors bok verkar en webbplats utanför domänen med tvivelaktiga sökord vara en phishing-bluff. OpenDNS tycktes komma överens och blockerade tillgången till webbplatsen för många användare. För att öka känslan av ironi, för att slutföra din bedömning måste du ange de sista sex siffrorna i din SSN. Detta är samma data som Equifax redan har bevisat att de inte kan skydda!
Overifierbara resultat
Inom några timmar efter lanseringen av webbplatsen rapporterades att du inte ens kunde lita på resultaten av deras konsekvensbedömning. Att ange samma uppgifter flera gånger skulle ge olika svar på om du påverkades. Vissa personer försökte till och med medvetet införa falsk information. Oroväckande fann de att Equifax skulle berätta för den obefintliga personen att deras data hade läckt ut.
Så till Equifax. Min chef gick precis in i ett falskt namn med sin 9-årige sons socialförsäkringsnummer och sa att han var påverkad.
- G. ?? (@oh_sovivacious) 8 september 2017
Om du var villig att acceptera att dina uppgifter faktiskt hade äventyras i överträdelsen, hälsade Equifax dig med ett vagt uttalande om överträdelsen och uppmanade dig att anmäla dig till TrustedID Premier. Med tanke på att Equifax var källa till överträdelsen, verkar det i dålig smak att de skulle uppmuntra dig att anmäla sig till en kostnadsfri försök av sig själv en bedrägeribekämpningstjänst.
OMG, Equifax Security Freeze PINs är sämre än jag trodde. Om du frös din kredit idag klockan 14:15 ET får du till exempel PIN 0908171415.
- Tony Webster (@webster) 9 september 2017
De som anmälde sig till TrustedID Premier kunde göra en kreditfrisättning och försedda med en bekräftelsesp PIN. PIN-koden visade sig emellertid vara en tidstämpel för när frysningen utfördes. Detta skulle göra PIN-koden värdelös - det kan lätt gissas, så att någon låser upp din kreditfrysning. Trots initiala förnekelser sa Equifax senare att de övergått till en ny metod som skulle slumpmässiggöra PIN-generering. Dessutom skulle de tillåta konsumenter att begära en ny PIN-kod som ska skickas till sin registrerade adress.
Legalese Debacle
När Equifax först lanserade webbplatsen Equifaxsecurity2017, verkade användarvillkoren för TrustedID Premier innebära att du använder tjänsten. Du avstod från din rätt att delta i en eventuell rättegång i klassen mot företaget i framtiden. Upproret vid denna uppfattade orättvisa gjorde Equifax problem en uppdatering nästa dag. De har nu uppgett att skiljedomsklausulen inte var tillämplig på säkerhetsbrottet.
Equifax erbjuder övervakning och identitetsstöldskydd pkg, men i finpapper, en skiljedomsklausul och klasshandling avstår 1/3 pic.twitter.com/8F58B5qh4w
- Rhana Natour (@RNatourious) 8 september 2017
Detta gjorde lite för att försäkra personer som förståeligt övertygades och ledde till ytterligare ett uttalande nästan en vecka senare och uppgav att de "har tagit bort det språket från TrustedID Premier Användarvillkor och det gäller inte de fria produkter som erbjuds som svar på cybersäkerhetsincidenten eller för fordringar relaterade till själva cybersäkerhetsincidenten. Skiljedomsspråket gäller inte någon konsument som registrerade sig innan språket togs bort. "
Tagen till uppgift
I ett drag som Equifax hävdar är totalt sammanträffande, bara två dagar efter att de först upptäckte överträdelsen sålde tre ledande befattningshavare aktier på totalt 1, 8 miljoner dollar. Denna betydande försäljning var bara dagar efter upptäckten av överträdelsen, men över en månad innan de publicerade det offentligt. Om individerna hade kännedom om säkerhetsbrottet, skulle de strida mot insiderhandelns lagar. Vetentligen eller annars var deras tidiga försäljning lycklig. I skrivande stund har Equifaxs aktier minskat med 30 procent sedan avslöjandet av överträdelsen.
Bipartisan-gruppen av 36 senatorer skickar brev till SEC, DOJ och FTC som uppmanar till en undersökning av Equifax-börsförsäljningen efter ett brott mot uppgifterna. pic.twitter.com/xEApcjFFkP
- Kyle Griffin (@ kylegriffin1) 13 september 2017
Med tanke på den mycket känsliga karaktären av överträdelsen är många drabbade individer förståeligt kritiska för Equifaxs uppenbara laxskydd. Exempelvis rapporterade USA Today att det inom några dagar efter avslöjandet gjordes 23 rättsliga förfaranden i 14 stater mot kreditrapporteringsbyrån. Som rapporterats av Bloomberg, söker en klagomål som är inlämnad i Oregon en skada på upp till 7 miljarder dollar. Även om domstolen skulle tilldela en så stor summa, motsvarar den till knappt $ 500 per person. Verkar detta tillräckligt för att kompensera för livstidsrisken för identitetsstöld?
Joshua Browder, skaparen av DoNotPay boten, utvidgade sin funktionalitet för att förenkla processen att ansöka till smådomstolen för skadestånd som hänför sig till Equifax-överträdelsen. Detta är beundransvärt och går långt för att göra den ofta komplexa juridiska dokumentationen lättare att smälta. En del rapporter har dock hävdat att DoNotPay-boten, som ursprungligen utvecklats för att hjälpa dig att bekämpa parkeringsböter, skulle kunna automatisera hela processen. Som TechCrunch noterar, är all bot verkligen en hjälp med det ursprungliga pappersarbetet - du måste fortfarande slåss i ärendet.
En pågående huvudvärk runt om i världen
Om det fortfarande råder tvivel om Equifax dåliga säkerhetspraxis, kommer ett exempel från Equifaxs argentinska arm sannolikt att ta bort det helt. Först rapporterad av KrebsOnSecurity visade sig en onlineportal som anställda använde för att lösa kredittvister som heter Veraz (vilket betyder sanningsenlig på spanska) vara sårbara. Du kan förvänta dig att sårbarheten är teknisk, men i stället var det en av de mest grundläggande säkerhetsproblemen: dåliga lösenord. Den otroligt enkla, och i många fall vanliga, användarnamnet och lösenordskombinationen av admin / admin tillåter alla som hände på webbplatsen att logga in på medarbetarportalen.
Chockerbart låter du dig visa, redigera och ta bort användarnamn och lösenord för över 100 argentinska Equifax-anställda. I varje fall visade sig de enklaste lösenorden vara samma som medarbetarens användarnamn. Om det inte var tillräckligt svårt fanns det ett område på webbplatsen med 715 sidor detaljerade rapporter om varje klagomål eller tvist som var inloggad med Equifax. Denna information inkluderade DNI (den argentinska motsvarigheten till SSN) för mer än 14.000 personer - igen, allt i ren text. Equifax tog snabbt webbplatsen efter att ha kontaktats av KrebsOnSecurity, och undersöker för närvarande deras senaste säkerhetsfaux pas.
Vad kan du göra?
Det första steget är att använda Equifaxs hemsida för att kontrollera om dina data påverkades av överträdelsen. Hur man kontrollerar om dina data har stulits i Equifax-överträdelsen. Hur man kontrollerar om dina data har stulits i Equifax Breach News har bara uppstått av en Equifax-databrott som påverkar upp till 80 procent av alla amerikanska kreditkortsanvändare. Är du en av dem? Så här kontrollerar du. Läs mer . Men eftersom resultaten kan vara inkonsekventa kan det vara bäst att anta att du påverkades. Eftersom företaget nu har klarat språket runt det, anmäler sig till sin TrustedID Premier-tjänst. Detta låter dig göra en kreditfrysning Hur man förhindrar identitetsstöld genom att frysa ditt kredit Hur man förhindrar identitetsstöld genom att frysa ditt kredit Din personuppgifter har äventyras, men din identitet är ännu inte stulen. Finns det något du kan göra för att mildra dina risker? Tja, du kan försöka frysa din kredit - här är hur. Läs mer, och stoppa någon som öppnar kredit i ditt namn. Med tanke på den känsliga karaktären hos de data som förlorats i läckan finns det möjlighet för svindlare att peddla sina varor. Var därför vaksam mot socialteknik. Hur skyddar du dig mot dessa 8 sociala teknikattacker? Hur skyddar du dig mot dessa 8 sociala ingenjörsattacker? Vad socialt tekniksteknik skulle hackare använda och hur skulle du skydda dig från dem? Låt oss ta en titt på några av de vanligaste metoderna för attack. Läs mer och phishing-bedrägerier Så här markerar du ett phishing-e-post Så här spottar du ett phishing-e-post Att fånga ett phishing-e-postmeddelande är tufft! Bedrägerier utgör som PayPal eller Amazon, försöker stjäla ditt lösenord och kreditkortsinformation, deras bedrägeri är nästan perfekt. Vi visar dig hur du upptäcker bedrägerierna. Läs mer .
I kölvattnet av många dataöverträdelser rekommenderar vi ofta att du byter lösenord, börjar använda en lösenordshanterare. Hur lösenordsansvariga håller dina lösenord säkra. Hur lösenordsansvariga håller dina lösenord Säkra lösenord som är svåra att knäcka är också svåra att komma ihåg. Vill du vara säker? Du behöver en lösenordshanterare. Så här fungerar de och hur de håller dig trygg. Läs mer, anmäl dig till HaveIBeenPwned Kontrollera nu och se om dina lösenord har någonsin läckt Kontrollera nu och se om dina lösenord har någonsin lösts Det här smutsiga verktyget låter dig kontrollera något lösenord för att se om det någonsin varit en del av en dataläcka. Läs mer, aktivera tvåfaktors autentisering Vad är tvåfaktorautentisering och varför du borde använda den Vad är tvåfaktorautentisering och varför du ska använda den Tvåfaktorautentisering (2FA) är en säkerhetsmetod som kräver två olika sätt att bevisa din identitet Det används ofta i vardagen. För att till exempel betala med ett kreditkort krävs inte bara kortet, ... Läs mer om möjligt och förbättra din cyberhygien Förbättra din cyberhygien i 5 enkla steg Förbättra din cyberhygien i 5 enkla steg I den digitala världen, "cyber hygiene "är lika viktigt som verklig personlig hygien. Regelbundna systemkontroller behövs tillsammans med nya, säkrare onlinevanor. Men hur kan du göra dessa förändringar? Läs mer . Medan ingen av dessa direkt skyddar dig mot Equifax läckan, kommer åtstramning din säkerhet att göra dig ingen skada. Kanske med tanke på omständigheterna skulle det även vara värt att gå den extra milen och utföra en fullständig säkerhetskontroll Skydda dig själv med en årlig säkerhets- och sekretesskontroll. Skydda dig själv med en årlig säkerhets- och sekretesskontroll. Vi är nästan två månader in i det nya året, men det finns fortfarande dags att göra en positiv upplösning. Glöm inte att dricka mindre koffein - vi pratar om att vidta åtgärder för att skydda onlinesäkerhet och integritet. Läs mer .
Equihaxxed
Equifax-överträdelsen kommer sannolikt att vara den standout-säkerhetshändelsen i ett år som är bråttom för överträdelser av uppgifter och ransomware-attacker. Precis som med andra högprofilerade säkerhetshändelser som WannaCry och den oändliga strömmen av data läckage finns det ett silverfoder som finns i den otroliga naturen i Equifax-brottet. Genom att få allmänhetens uppmärksamhet på datasäkerhet, kreditrapportering och företagsbedrägerier finns det en möjlighet att diskutera och mildra dessa frågor. Det starka svaret från många amerikanska senatörer kommer förhoppningsvis att se till att detta brott inte försvinner i bakgrunden. Equifax har åtminstone medgett att vissa personalförändringar krävs - Chief Information Officer och Chief Security Officer har "pensionerat" som ett resultat.
Trots sin höga profil och stora omfattning finns det fortfarande ingen information om vem angriparna var. För sin del har Equifax varit helt tyst i frågan - i överensstämmelse med resten av deras dåligt hanterade svar. Bara några dagar efter att överträdelsen gjordes offentliggjordes en grupp som hävdar att de hade uppgifter och krävde ett lön på 600 Bitcoin. Efter att forskare upptäckte hosting-tjänsten på .onion-webbplatsen, stängdes den omedelbart.
Separat hävdade en grupp som kallade sig Equihax också att de innehöll uppgifterna, men erbjöd sig inget kontrollerbart bevis. Med tanke på hur potentiellt lukrativa uppgifterna är kan du vara säker på att det inte kommer att vara länge innan hackarna försöker tjäna pengar.
Har du påverkats av Equifax säkerhetsbrott? Tror du Equifax är skyldig, och kunde de ha gjort mer för att skydda dig? Låt oss veta i kommentarerna!
Bildkrediter: stevanovicigor / Depositphotos