Glavna stranica sigurnosti Equihax Jedna od najluđih povreda svih vremena

Equihax Jedna od najluđih povreda svih vremena

  • Lesley Fowler
  • 0
  • 4185
  • 66
Oglas

Mirnog popodneva početkom rujna 2017. Equifax je otkrio izvanrednu narušavanje sigurnosti za koju se procjenjuje da je pogodila gotovo 200 milijuna ljudi širom svijeta. Obzirom da je tvrtka prvi put otkrila kršenje u srpnju, to je trebalo pružiti dovoljno vremena za pripremu odgovora i rješenja za sve pogođene osobe. Umjesto toga, Equifax je nastavio pružati svijetu savršen primjer kako ne riješiti veliki sigurnosni propust.

Iz ogromnog opsega podataka, zbunjujuće nelegalne i užasno nesigurne web stranice za reakcije, Equifax je to sve imao. Dodajte navode tvrdnje o insajderskoj trgovini, slabe komunikacije, pada vrijednosti dionica od 30 posto, uz daljnja propuštanja podataka, a čini se da se tvrtka postavila za dramatični pad iz milosti. Pa, koliko god milosti bila agencija za izvještavanje o kreditima, nikad niste izričito pristali predati svoje osjetljive podatke.

EquiBreach

Prva izjava Equifaxa o kršenju zakona kaže da je do 144 milijuna Amerikanaca moglo biti ugroženo sa njihovim kreditnim podacima. To uključuje imena, adrese, brojeve socijalnog osiguranja (SSN-ove), datume rođenja i financijsku evidenciju. Iz tvrtke su također izvijestili da su u kršenje uključeni brojevi kreditnih kartica za 209.000 američkih potrošača. Nadalje, izbačeni su podaci o sporovima s osobnim podacima za 189.000 pojedinaca.

Početni izvještaji u medijima odnose se na ugrožene ljude kao kupce Equifaxa. Međutim, vi zapravo niste kupac Equifaxa, Experiana, TransUniona ili bilo koje druge agencije za izvještavanje o kreditima. Te agencije prikupljaju podatke od različitih pružatelja usluga i financijskih proizvoda. Podaci se zatim koriste za generiranje Vašeg kreditnog rezultata, omogućavajući zajmodavcu da procijeni rizik koji predstavljate. Podnošenje zahtjeva za kredit, kreditnu karticu ili hipoteku? Tako se donosi odluka.

Procjena učinka i TrustedID Premier

Kako bi vam nadoknadio gubitak podataka gotovo polovine odraslog stanovništva SAD-a, Equifax je uspostavio web mjesto, equifaxsecurity2017.com. Ovdje možete unijeti svoje ime i djelomični SSN i ​​otkriti jesu li vaši podaci među njima procurili. Uz to biste se mogli upisati u njihovu uslugu, TrustedID Premier. Ovo je kreditno izvješće s tri biroa i SSN alat za praćenje, koji se nadopunjuju s američkim potrošačima u godinu dana.

Ipak, u svom početnom otkrivanju, i tjedan dana nakon toga, Equifax je bio nevjerojatno tihim detaljima. Vrsta napada, krivac i zašto se tako dugo moglo nastaviti, bez otkrivanja, ostala je tajna.

Zbog toga su mnogi posumnjali da postoji krivica na strani Equifaxa. Šest dana kasnije, i nakon silnog javnog istupa i intervencija dvostranačke skupine senatora, Equifax je konačno priznao da je napad upotrijebio poznati eksploata Apache Strut (CVE-2017-5638) - zakrpu za koju je pušten u ožujku 2017., dva mjeseca prije kršenja Equifaxa. Ovo je dokazalo da je, baš kao i kod WannaCryja ranije godine, Global Ransomware Attack i kako zaštititi svoje podatke. Global Ransomware Attack i Kako zaštititi svoje podatke Veliki masovni cyber-napad napao je računala širom svijeta. Jeste li bili pogođeni izrazito virulentnim samoobnavajućim ransomware-om? Ako ne, kako možete zaštititi svoje podatke bez plaćanja otkupnine? , Ažuriranje softvera može imati pogubne posljedice.

Ne samo američki potrošači

Iako nije objavljen od samog početka, Equifax je bio prisiljen priznati da su podaci za a “ograničen broj” stanovnika Ujedinjenog Kraljevstva i Kanade također su uključeni u prekršaj. Do 44 milijuna američkih potrošača možda nisu ni bili svjesni da je američka kreditna agencija imala njihove podatke. Međutim, osigurale su ih tvrtke uključujući BT, British Gas i Capital One. Britanska ruka kreditne agencije objavila je rano navečer u petak 15. rujna da je pogođeno 400.000 američkih stanovnika. Taj sumnjivi pokušaj pokopavanja vijesti otkrio je “neuspjeh procesa” koji je trajao pola desetljeća. Ipak nisu pružene nikakve upute za stanovnike SAD-a ili Kanade.

Teškoće za web mjesto Equifaxa

Iz razloga koji tek treba objasniti, Equifax je pokrenuo zasebno web mjesto za odgovor na kršenje. S obzirom na to da je web-lokacija postavljena kao odgovor na veliko narušavanje sigurnosti, zamislili biste da su poduzete sve mjere opreza kako bi web-lokacija bila blistava svjetlost. Umjesto toga, velika količina američkih potrošača koji su željeli provjeriti svoje podatke nadvladala ih je. To je mnogima onemogućilo pristup web mjestu ili učitavanje rezultata svoje procjene utjecaja.

@briankrebs Jeste li vidjeli da OpenDNS blokira stranicu za prijavu Equifaxa? To zovete neželjenom? pic.twitter.com/xqvr8wJyM0

- Nick Frichette (@Frichette_n) 8. rujna 2017

Čak i tada, brojevi koji posjećuju web lokaciju mogu biti veći da nije bilo loše konfiguracije web mjesta. U većini knjiga, čini se da bi web lokacija izvan domene s upitnim ključnim riječima bila lažna prijevara. Čini se da se OpenDNS složio i mnogim korisnicima blokirao pristup web mjestu. Da biste pojačali osjećaj ironije, da biste dovršili svoju procjenu, morate unijeti posljednjih šest znamenki vašeg SSN-a. To su isti podaci za koje je Equifax već dokazao da ne može zaštititi!

Neprovjerivi rezultati

Nekoliko sati nakon pokretanja web lokacije pojavila su se izvješća da ne možete čak vjerovati rezultatima njihove procjene utjecaja. Unos istih detalja više puta dao bi različite odgovore na to jeste li pogođeni. Neki su čak pokušali unijeti svjesno lažne podatke. Zabrinjavajuće, otkrili su da će Equifax nepostojećoj osobi reći da su njihovi podaci procurili.

Dakle, do Equifaxa. Moj je šef upravo upisao lažno ime sa brojem socijalnog osiguranja svog 9-godišnjeg sina, a stranica kaže da je pogođen.

- G. ?? (@oh_sovivacious) 8. rujna 2017

Ako ste bili spremni prihvatiti da su vaši podaci u stvari bili ugroženi zbog kršenja pravila, Equifax vas je pozdravio s nejasnom izjavom o kršenju i ohrabrio vas da se upišete u TrustedID Premier. S obzirom da je Equifax bio izvor kršenja, čini se da će lošeg ukusa potaknuti vas da se prijavite na besplatno suđenje vlastite službe za zaštitu od prevare..

OMG, Equifaxovi sigurnosni PIN-ovi za zamrzavanje lošiji su nego što sam mislio. Ako zamrznite kredit danas, primjerice, u 14:15 ET, dobili biste PIN 0908171415.

- Tony Webster (@webster) 9. rujna 2017

Oni koji su se prijavili za TrustedID Premier mogli su kreditno zamrznuti i dobili su potvrdni PIN. Međutim, čini se da je PIN vremenski označen kada je izvršena zamrzavanje. Ovo bi PIN učinilo beskorisnim - lako bi se moglo pretpostaviti, omogućavajući svakome da otključa zamrzavanje kreditne kartice. Unatoč početnim odbijanjima, Equifax je kasnije rekao da prelaze na novu metodu koja će nasumično generirati PIN. Uz to, potrošačima bi omogućili da zatraže da se novi PIN pošalje na njihovu registriranu poštu.

Legalanski debakl

Kad je Equifax prvi put pokrenuo web-mjesto equifaxsecurity2017, čini se da Uvjeti pružanja usluge za TrustedID Premier podrazumijevaju korištenje ove usluge, vi se odričete prava sudjelovanja u bilo kojoj klasnoj tužbi protiv kompanije u budućnosti. Uznemirenost zbog ove uočene nepravde natjerala je Equifax da sljedeći dan izda novost. Sada su izjavili da arbitražna klauzula nije primjenjiva na kršenje sigurnosti.

Equifax nudi nadzor i zaštitu od krađe identiteta pkg, ali sitnim tiskom, arbitražnu klauzulu i odricanje od klase 1/3 pic.twitter.com/8F58B5qh4w

- Rhana Natour (@RNatourious) 8. rujna 2017

To je malo pomoglo u uvjeravanju ljudi koji su bili razumno uvjereni što je dovelo do daljnje izjave gotovo tjedan dana kasnije rekavši da su “uklonili su taj jezik iz Uvjeta upotrebe usluge TrustedID Premier i on se neće primjenjivati ​​na besplatne proizvode koji se nude kao odgovor na incident s kibernetičkom sigurnošću ili na tvrdnje povezane sa incidentom koji se tiče cyber sigurnosti. Arbitražni jezik neće se primjenjivati ​​na potrošača koji su se prijavili prije uklanjanja jezika.”

Odvedeno na zadatak

Na potez za koji Equifax tvrdi da je totalna slučajnost, samo dva dana nakon što su prvi put otkrili kršenje prava, tri viša rukovoditelja prodala su dionice u vrijednosti od 1,8 milijuna dolara. Ova značajna prodaja dogodila se samo nekoliko dana nakon što su otkrili kršenje prava, ali nešto više od mjesec dana prije nego što su to javno otkrili. Ako su pojedinci imali saznanja o kršenju sigurnosti, bili bi u suprotnosti s zakonima o trgovanju na insajderima. Svjesno ili na drugi način, njihova je pravovremena prodaja bila sretna. U vrijeme pisanja, Equifaxova dionica pala je 30 posto od objave kršenja.

Bipartisanska skupina od 36 senatora šalje pismo SEC-u, DOJ-u i FTC-u tražeći istragu prodaje dionica Equifax nakon kršenja podataka. pic.twitter.com/xEApcjFFkP

- Kyle Griffin (@ kylegriffin1) 13. rujna 2017

S obzirom na vrlo osjetljivu prirodu kršenja, mnogi pogođeni pojedinci razumljivo su kritični prema Equifaxovoj očiglednoj laganoj sigurnosti. Na primjer, USA Today izvijestio je da je u nekoliko dana nakon objavljivanja, u 14 država podnesena 23 tužbe protiv agencije za izvještavanje o kreditima. Kako je izvijestio Bloomberg, tužba za klasnu tužbu podnesena u Oregonu traži odštetu do 7 milijardi dolara. Čak i ako bi sud dodijelio tako veliku svotu, ona iznosi nešto manje od 500 dolara po osobi. Čini li se to dovoljno za nadoknadu doživotnog rizika od krađe identiteta?

Joshua Browder, tvorac DoNotPay bota, proširio je svoju funkcionalnost kako bi pojednostavio postupak podnošenja zahtjeva za suđenje u maloj šteti zbog štete povezane s kršenjem Equifaxa. To je divno i dugo ide do olakšavanja probave često složene pravne dokumentacije. Međutim, neka izvješća tvrde da bi DoNotPay bot, prvobitno razvijen radi pomaganja u borbi protiv kazni za parkiranje, mogao automatizirati čitav postupak. Kao što TechCrunch napominje, sve što bot zaista pomaže jest pomoći u početnoj papirologiji - još uvijek se morate boriti protiv slučaja na sudu.

Neprekidna glavobolja širom svijeta

Ako je ostala dvojba u vezi s lošim sigurnosnim praksama Equifaxa, primjerice, argentinski krak Equifaxa vjerojatno će ga u potpunosti ukloniti. Prvo je izvijestio KrebsOnSecurity, internetski portal koji zaposlenici rješavaju oko kreditnih sporova nazvanih Veraz (što na španjolskom znači istinito) otkriven je ranjivim. Možda očekujete da je ranjivost tehnička, ali umjesto toga, to je bio jedan od najosnovnijih sigurnosnih propusta: loše lozinke. Nevjerojatno jednostavno, a u mnogim slučajevima zadane kombinacije korisničkog imena i zaporke admin / admin dopustio svima koji se događaju preko web mjesta da se prijave na portal zaposlenika.

Kreditna slika: KrebsOnSigurnost

Šokantno vam je ovo omogućilo pregled, uređivanje i brisanje korisničkih imena i lozinki za preko 100 zaposlenih u Argentini Equifax-a. U svakom su slučaju zaporke u otvorenom tekstu jednake korisničkom korisničkom imenu. Ako to nije dovoljno ozbiljno, postojalo je područje web stranice sa 715 stranica detaljnih izvještaja o svakoj pritužbi ili sporu koji su zabilježeni Equifaxom. Ti podaci uključuju DNI (argentinski ekvivalent SSN-a) za više od 14.000 ljudi - opet, svi u otvorenom tekstu. Equifax je brzo preuzeo web-lokaciju izvan mreže nakon što je KrebsOnSecurity kontaktirao, a trenutno istražuje njihove najnovije sigurnosne propuste.

Što možeš učiniti?

Prvi korak je upotreba web stranice Equifaxa da provjerite jesu li na vaše podatke utjecali kršenje Kako provjeriti jesu li vaši podaci ukradeni u kršenju Equifaxa Kako provjeriti jesu li vaši podaci ukradeni u Equifaxovim vijestima o kršenju samo što su se pojavile povrede podataka Equifax-a. što utječe na do 80 posto svih korisnika kreditnih kartica u SAD-u. Jeste li jedan od njih? Evo kako provjeriti. , No, kako rezultati mogu biti nedosljedni, najbolje je pretpostaviti da ste bili pogođeni. Budući da je tvrtka sada pojasnila jezik oko sebe, prijavite se za njihovu TrustedID Premier uslugu. To će vam omogućiti da izvršite zamrzavanje kredita Kako spriječiti krađu identiteta zamrzavanjem svoje kreditne kartice Kako spriječiti krađu identiteta zamrzavanjem vašeg kredita Osobni podaci ugroženi su, ali vaš identitet još nije ukraden. Postoji li išta što možete učiniti da ublažite rizike? Pa, možete pokušati zamrznuti kredit - evo kako. i zaustavite bilo koga da otvori kredit na vaše ime. S obzirom na osjetljivu prirodu podataka izgubljenih u curenju, postoji vjerovatnoća da prevaranti ne mogu prevariti svoje stvari, pa budite oprezni od socijalnog inženjeringa Kako se zaštititi od ovih 8 napada socijalnog inženjeringa Kako se zaštititi od ovih 8 napada socijalnog inženjeringa Šta društveno inženjerske tehnike bi haker koristio i kako biste se zaštitili od njih? Pogledajmo neke od najčešćih metoda napada. i krađe identiteta Kako uočiti lažnu e-poštu kako pronađi krađu identiteta Kako locirati e-poštu za krađu identiteta Uhvatiti je e-poštu s krađu identiteta! Prijevare predstavljaju kao PayPal ili Amazon, pokušavajući ukrasti zaporku i podatke o kreditnim karticama, ukoliko je njihova obmana gotovo savršena. Pokazujemo vam kako uočiti prevaru. .

Zbog mnogih povreda podataka često bismo vam savjetovali da promijenite zaporke, započnite s korištenjem upravitelja lozinki. Kako upravitelji lozinki čuvaju svoje lozinke Kako upravljači lozinkom čuvaju sigurne lozinke teško je zapamtiti. Želite biti sigurni? Trebate upravitelja lozinki. Evo kako rade i kako vas čuvaju. , prijavite se na HaveIBeenPwned Check Now i provjerite jesu li vaše lozinke ikada procurile Provjerite sada i pogledajte da li su vaše lozinke ikad procurile Ovaj sjajni alat omogućuje vam da provjerite bilo koju lozinku da biste vidjeli je li ikad bila dio curenja podataka. , omogućite dvofaktorsku provjeru autentičnosti Što je dvofaktorska provjera autentičnosti i zašto biste je trebali koristiti Što je dvofaktorska provjera autentičnosti i zašto biste je trebali koristiti Dvofaktorna provjera identiteta (2FA) sigurnosna je metoda koja zahtijeva dva različita načina dokazivanja svoj identitet. Uobičajeno se koristi u svakodnevnom životu. Na primjer, plaćanje kreditnom karticom ne zahtijeva samo karticu, ... kad god je to moguće, i poboljšajte svoju cyber higijenu. Poboljšajte svoju cyber higijenu u 5 jednostavnih koraka. Poboljšajte svoju cyber higijenu u 5 jednostavnih koraka U digitalnom svijetu, "cyber higijena" je jednako važna. kao stvarna osobna higijena. Potrebne su redovne provjere sustava, zajedno s novim, sigurnijim mrežnim navikama. Ali kako možete izvršiti te promjene? , Iako se ništa od toga neće zaštititi izravno od propuštanja Equifaxa, pooštravanje sigurnosti neće vam nanijeti nikakvu štetu. Možda bi s obzirom na okolnosti čak bilo vrijedno prijeći daljnju kilometražu i obaviti potpuni sigurnosni pregled. Zaštitite se godišnjom provjerom sigurnosti i privatnosti Zaštitite se godišnjom provjerom sigurnosti i privatnosti Gotovo smo dva mjeseca do nove godine, ali tu je još uvijek je vrijeme za pozitivno rješenje. Zaboravite piti manje kofeina - govorimo o poduzimanju koraka za zaštitu mrežne sigurnosti i privatnosti. .

Equihaxxed

Kršenje Equifaxa najvjerojatnije će biti izdvojeni sigurnosni događaj u godini koja je obilježena kršenjima podataka i napadima protiv nuklearnog softvera. Kao i kod drugih važnih sigurnosnih događaja poput WannaCryja i neprekidnog protoka podataka, mora se pronaći srebrna obloga u zadivljujućoj prirodi kršenja Equifaxa. Skretanjem pozornosti javnosti na sigurnost podataka, kreditno izvještavanje i korporativne zloupotrebe pruža se prilika da se o tim stvarima razgovara i ublaži. Snažan odgovor mnogih američkih senatora nadat će se da ovo kršenje neće nestati u pozadini. Equifax je barem priznao da su potrebne neke kadrovske promjene - glavni i informativni direktor i šef službe sigurnosti “umirovljen” kao rezultat.

Unatoč visokom profilu i velikom rasponu, još uvijek nema podataka o tome tko su bili napadači. Sa svoje strane, Equifax je ostao potpuno tih u vezi s tim - u skladu s ostatkom svog lošeg odgovora. Samo nekoliko dana nakon što je kršenje objavljeno, pojavila se skupina koja tvrdi da posjeduje podatke i zatražila otkup od 600 Bitcoina. Nakon što su istraživači otkrili uslugu hostinga .onion stranice, odmah je isključena.

Zasebno, grupa koja se naziva Equihax također je tvrdila da posjeduje podatke, ali nije ponudila provjerljiv dokaz. S obzirom na to koliko su podaci potencijalno unosni, možete biti sigurni da neće proći dugo prije nego što hakeri pokušaju unovčiti.

Jeste li pogođeni sigurnosnim kršenjem Equifaxa? Mislite li da je kriv za Equifax, a mogli su učiniti više da vas zaštite? Javite nam se u komentarima!

Kreditna slika: stevanovicigor / Depositphotos




Još ne komentari

6 jednostavnih trikova za smanjenje stresa putem e-pošte
Produktivnost
10 savjeta za upravljanje zajedničkim datotekama na Google disku
Produktivnost
8 besplatnih alata karte uma i kako ih najbolje iskoristiti
Produktivnost
O modernoj tehnologiji, jednostavnoj i pristupačnoj.
Vaš vodič u svijetu moderne tehnologije. Naučite kako koristiti tehnologije i uređaje koji nas okružuju svaki dan i naučite kako otkriti zanimljivosti na Internetu.