Equihax En af de mest katastrofale overtrædelser gennem tidene

  • Joseph Goodman
  • 0
  • 3540
  • 14
Reklame

På en stille eftermiddag i begyndelsen af ​​september 2017 afslørede Equifax et ekstraordinært sikkerhedsbrud, der blev anslået at have berørt næsten 200 millioner mennesker over hele verden. I betragtning af at virksomheden først havde opdaget overtrædelsen i juli, skulle det have givet god tid til at forberede sig på et svar og løsning for alle berørte personer. I stedet fortsatte Equifax med at give verden et perfekt eksempel på, hvordan ikke at håndtere et større sikkerhedsbrud.

Fra det enorme omfang af datalækage, forvirrende legalese og forfærdelige usikre responswebsteder, havde Equifax det hele. Tilføj beskyldninger om insiderhandel, dårlig kommunikation, et fald på 30 procent i aktieværdien sammen med yderligere datalækager, og virksomheden syntes at have indrettet sig til et dramatisk fald fra nåde. Nå, lige så meget nåde som et kreditrapporteringsbureau har du aldrig eksplicit accepteret at give dine følsomme data til.

EquiBreach

Equifaxs første erklæring om overtrædelsen sagde, at op til 144 millioner amerikanere kan have haft deres kreditoplysninger kompromitteret. Dette omfattede navne, adresser, Social Security-numre (SSN'er), fødselsdatoer og økonomiske poster. Virksomheden rapporterede også, at kreditkortnumre for 209.000 amerikanske forbrugere var inkluderet i overtrædelsen. Derudover er der udtaget uoverensstemmelsesregistre med personligt identificerende oplysninger for 189.000 personer.

Indledende rapporter i medierne omtalte påvirkede personer som Equifax kunder. Du er dog ikke rigtig kunde hos Equifax, Experian, TransUnion eller noget andet kreditrapporteringsbureau. Disse agenturer indsamler data fra en række forskellige tjenester og udbydere af finansielle produkter. Data bruges derefter til at generere dit kreditresultat, hvilket gør det muligt for en långiver at vurdere den risiko, du udgør. Ansøger du om et lån, kreditkort eller prioritetslån? Sådan tages beslutningen.

Konsekvensvurdering og TrustedID Premier

For at kompensere dig for at miste dataene for næsten halvdelen af ​​den amerikanske voksne befolkning oprettede Equifax et websted, equifaxsecurity2017.com. Her kan du indtaste dit navn og delvis SSN og finde ud af, om dine detaljer var blandt de lækkede. Derudover kan du tilmelde dig deres service, TrustedID Premier. Dette er en rapport med tre kontorer og SSN-overvågningsværktøj, der er komplementære til amerikanske forbrugere i et år.

Endnu i deres første afsløring og i en uge efter, var Equifax bemærkelsesværdigt tavs om detaljerne. Angrebstypen, den skyldige, og hvorfor den var i stand til at fortsætte så længe uden opdagelse, forblev en hemmelighed.

Dette fik mange til at mistænke for, at der var skyld i Equifax's side. Seks dage senere, og efter enorm offentlig skrig og indgreb fra en bipartisansk gruppe af senatorer, indrømmede Equifax endelig, at angrebet brugte en kendt Apache Strut-udnyttelse (CVE-2017-5638) - en patch, som blev frigivet i marts 2017, to måneder før Equifax-overtrædelsen. Dette beviste, at ligesom med WannaCry tidligere på året Global Ransomware Attack og hvordan man beskytter dine data Global Ransomware Attack og hvordan man beskytter dine data En massiv cyberattack har ramt computere over hele kloden. Er du blevet påvirket af den meget virulente selvreplicerende ransomware? Hvis ikke, hvordan kan du beskytte dine data uden at betale løsepenge? , ikke at opdatere din software kan have ødelæggende konsekvenser.

Ikke kun amerikanske forbrugere

Skønt den ikke blev afsløret fra starten, blev Equifax tvunget til at indrømme, at oplysningerne til en “begrænset antal” af UK og canadiske beboere var også inkluderet i overtrædelsen. Op til 44 millioner britiske forbrugere har muligvis ikke engang været klar over, at det amerikanske kreditbureau havde deres data. Det blev dog leveret til dem af virksomheder, herunder BT, British Gas og Capital One. Kreditagenturets britiske arm meddelte tidligt aften fredag ​​den 15. september, at 400.000 britiske beboere var berørt. Dette mistænkte forsøg på at begrave nyheden afslørede a “procesfejl” der varede et halvt årti. Alligevel er der ikke blevet tilbudt nogen vejledning til britiske eller canadiske beboere.

Equifax webstedet er ondt

Af grunde, der endnu ikke er blevet forklaret, lancerede Equifax et separat websted for deres svar på overtrædelsen. I betragtning af at webstedet blev oprettet som svar på et større sikkerhedsbrud, kunne du forestille dig, at enhver forsigtighed var blevet truffet for at sikre, at stedet var et lysende fyrtårn af stabilitet. I stedet overvældede den store mængde amerikanske forbrugere, der ønsker at kontrollere deres oplysninger, dem. Dette gjorde, at mange ikke kunne få adgang til webstedet eller indlæse resultaterne af deres konsekvensanalyse.

@briankrebs Har du set OpenDNS blokerer for tilmeldingssiden til Equifax? Kalder det spam? pic.twitter.com/xqvr8wJyM0

- Nick Frichette (@Frichette_n) 8. september 2017

Selv da kan antallet, der besøger webstedet, have været større, hvis det ikke havde været for dårlig webstedskonfiguration. I de fleste folks bog ser et off-domain-websted med tvivlsomme søgeord ud til at være en phishing-svindel. OpenDNS syntes at være enig og blokerede adgangen til webstedet for mange brugere. For at styrke følelsen af ​​ironi skal du indtaste de sidste seks cifre på din SSN for at afslutte din vurdering. Dette er de samme data, som Equifax allerede har bevist, at de ikke kan beskytte!

Ikke-verificerbare resultater

Inden for få timer efter lanceringen af ​​webstedet var der rapporter om, at du ikke engang kunne stole på resultaterne af deres konsekvensanalyse. Indtastning af de samme detaljer flere gange ville give forskellige svar på, om du var berørt. Nogle mennesker forsøgte endda at indtaste bevidst falske oplysninger. Bekymringsomt fandt de, at Equifax ville fortælle den ikke-eksisterende person, at deres data var lækket.

Så til Equifax. Min chef har lige indtastet et falsk navn med sin 9 år gamle søns personnummer og webstedet sagde, at han var påvirket.

- G. ?? (@oh_sovivacious) 8. september 2017

Hvis du var villig til at acceptere, at dine data faktisk var blevet kompromitteret i overtrædelsen, hilste Equifax dig med en vag erklæring om overtrædelsen og opfordrede dig til at tilmelde dig TrustedID Premier. I betragtning af at Equifax var kilden til overtrædelsen, ser det ud til i dårlig smag, at de vil tilskynde dig til at tilmelde dig en gratis prøveversion af deres egne en svigbeskyttelsestjeneste.

OMG, Equifax sikkerhedsfrysnings-PIN-koder er værre, end jeg troede. Hvis du for eksempel frøs din kredit i dag kl. 14:15 ET, får du PIN-kode 0908171415.

- Tony Webster (@webster) 9. september 2017

De, der tilmeldte sig TrustedID Premier, var i stand til at udføre en kreditfrysning og forsynet med en bekræftelses-PIN. Imidlertid syntes PIN-koden at være et tidsstempel fra, hvornår frysningen blev udført. Dette ville gøre PIN-koden ubrugelig - den kunne nemt gætte, så enhver kan låse op for din kreditfrysning. På trods af de første benægtelser sagde Equifax senere, at de skiftede til en ny metode, der ville randomisere PIN-generation. Derudover vil de give forbrugere mulighed for at anmode om, at en ny pinkode sendes til deres registrerede postadresse.

Legalese-debakel

Da Equifax først lancerede webstedet equifaxsecurity2017, syntes Servicevilkårene for TrustedID Premier at antyde, at hvis du bruger tjenesten, frafaldt du din ret til at deltage i enhver retssag mod virksomheden i fremtiden. Opstanden ved denne opfattede uretfærdighed gjorde, at Equifax udsendte en opdatering næste dag. De har nu erklæret, at voldgiftsbestemmelsen ikke var gældende for sikkerhedsovertrædelsen.

Equifax tilbyder overvågning og identitetstyveri-beskyttelse pkg, men med små bogstaver, en voldgiftsbestemmelse og undtagelse fra klassehandling 1/3 pic.twitter.com/8F58B5qh4w

- Rhana Natour (@RNatourious) 8. september 2017

Dette gjorde lidt for at forsikre folk, der forståeligt nok var overbevist om, hvilket førte til en yderligere erklæring næsten en uge senere om, at de gjorde det “har fjernet dette sprog fra TrustedID Premier Brugsbetingelser, og det gælder ikke de gratis produkter, der tilbydes som svar på cybersikkerhedshændelsen eller for krav, der er relateret til selve cybersikkerhedshændelsen. Voldgiftssproget gælder ikke for nogen forbruger, der har tilmeldt sig, før sproget blev fjernet.”

Taget til opgaven

I et skridt, som Equifax hævder at være total sammenfald, kun to dage efter, at de først opdagede overtrædelsen, solgte tre ledende medarbejdere en samlet værdi af $ 1,8 millioner. Dette betydelige salg var kun få dage efter opdagelsen af ​​overtrædelsen, men over en måned før de offentligt afslørede det. Hvis individerne havde kendskab til sikkerhedsovertrædelsen, ville de være i strid med insiderhandel. Vidende eller på anden måde var deres rettidige salg heldige. I skrivende stund er Equifax 'aktie faldet 30 procent siden afsløringen af ​​overtrædelsen.

Bipartisan-gruppen på 36 senatorer sender brev til SEC, DOJ og FTC og opfordrer til en undersøgelse af Equifax-aktiesalg efter dataovertrædelse. pic.twitter.com/xEApcjFFkP

- Kyle Griffin (@ kylegriffin1) 13. september 2017

I betragtning af overtrædelsens meget følsomme karakter er mange berørte personer forståeligt kritiske overfor Equifax tilsyneladende slap sikkerhed. For eksempel rapporterede USA Today, at i de få dage efter afsløringen blev der indgivet 23 retssager i 14 stater mod kreditrapporteringsbureauet. Som rapporteret af Bloomberg søger en retssag anlagt i Oregon erstatning for op til 7 milliarder dollars. Selv hvis retten skulle tildele en så stor sum, svarer det til knap $ 500 pr. Person. Virker dette nok til at kompensere for livstidsrisikoen for identitetstyveri?

Joshua Browder, skaberen af ​​DoNotPay-bot, udvidede sin funktionalitet for at forenkle processen med at ansøge til den mindre skadesdomstol for skader i forbindelse med Equifax-overtrædelsen. Dette er beundringsværdigt og går langt for at gøre den ofte komplekse juridiske dokumentation lettere at fordøje. Nogle rapporter har dog hævdet, at DoNotPay-bot, oprindeligt udviklet til at hjælpe dig med at bekæmpe parkeringsbøder, kunne automatisere hele processen. Som TechCrunch bemærker, er alt bot virkelig hjælp med det indledende papirarbejde - du er stadig nødt til at kæmpe for sagen i retten.

En løbende hovedpine rundt om i verden

Hvis der stadig var nogen tvivl om Equifaxs dårlige sikkerhedspraksis, vil et eksempel fra Equifaxs argentinske arm sandsynligvis fjerne det helt. Først rapporteret af KrebsOnSecurity, en online portal, der blev brugt af medarbejdere til at bilægge kreditvister med navnet Veraz (hvilket betyder sandhed på spansk) blev fundet at være sårbar. Du kan forvente, at sårbarheden er teknisk, men i stedet var det en af ​​de mest grundlæggende sikkerhedsfejl: dårlige adgangskoder. Den utroligt forenklede, og i mange tilfælde standard, brugernavn og kodeordkombination af admin / admin tilladt enhver, der skete på tværs af siden, at logge på medarbejderportalen.

Billedkredit: KrebsOnSecurity

Dette chokerende gjorde det muligt for dig at se, redigere og slette brugernavne og adgangskoder til over 100 argentinske Equifax-medarbejdere. I begge tilfælde fandtes, at klartekst-adgangskoder var de samme som medarbejderens brugernavn. Hvis det ikke var alvorligt nok, var der et område på webstedet med 715 sider detaljerede rapporter om hver klage eller tvist, der var logget med Equifax. Disse oplysninger omfattede DNI (den argentinske ækvivalent af SSN) for mere end 14.000 mennesker - igen, alt sammen i klartekst. Equifax tog hurtigt webstedet offline efter at have været kontaktet af KrebsOnSecurity, og undersøger i øjeblikket deres seneste sikkerhedskontor.

Hvad kan du gøre?

Det første trin er at bruge Equifaxs websted til at kontrollere, om dine data blev påvirket af overtrædelsen. Sådan kontrolleres, om dine data blev stjålet i Equifax-bruddet. Sådan kontrolleres, om dine data blev stjålet i Equifax-bruddet. der påvirker op til 80 procent af alle amerikanske kreditkortbrugere. Er du en af ​​dem? Sådan kontrolleres. . Da resultaterne imidlertid kan være inkonsekvente, kan det være bedst at antage, at du blev påvirket. Da virksomheden nu har klarlagt sproget omkring det, tilmeld dig deres TrustedID Premier-service. Dette giver dig mulighed for at udføre en kreditfrysning Sådan forhindres identitetstyveri ved at fryse din kredit Sådan forhindres identitetstyveri ved at fryse din kredit Dine personlige data er blevet kompromitteret, men din identitet er endnu ikke stjålet. Er der noget, du kan gøre for at afbøde dine risici? Du kan godt prøve at fryse din kredit - her er hvordan. , og stop enhver, der åbner kredit i dit navn. I betragtning af den følsomme karakter af de data, der er gået tabt i lækagen, er der potentiale for svindlere til at pæle med deres varer, så vær opmærksom på social engineering Sådan beskytter du dig mod disse 8 Social Engineering Attacks Sådan beskytter du dig mod disse 8 Social Engineering Attacks Hvad sociale ingeniørteknikker ville en hacker bruge, og hvordan ville du beskytte dig mod dem? Lad os se på nogle af de mest almindelige angrebsmetoder. og phishing-svindel Sådan finder du en phishing-e-mail Sådan finder du en phishing-e-mail Det er svært at fange en phishing-e-mail! Svindlere udgør som PayPal eller Amazon og prøver at stjæle din adgangskode og kreditkortoplysninger, og deres bedrag er næsten perfekt. Vi viser dig, hvordan du finder stedet svig. .

I kølvandet på mange overtrædelser af data, vil vi ofte råde dig til at ændre dine adgangskoder, begynde at bruge en adgangskodemanager. Hvordan adgangskodeadministratorer holder dine adgangskoder sikre. Hvordan adgangskodeadministratorerne opbevarer dine adgangskoder. Vil du være sikker? Du har brug for en adgangskodemanager. Her er, hvordan de fungerer, og hvordan de holder dig i sikkerhed. , tilmeld dig HaveIBeenPwned-kontrol nu, og se, om dine adgangskoder nogensinde er lækket. Kontroller nu, og se, om dine adgangskoder nogensinde er lækket. Dette smarte værktøj giver dig mulighed for at kontrollere ethvert kodeord for at se, om det nogensinde har været en del af en datalækage. , aktiver tofaktorautentisering Hvad er tofaktorautentisering, og hvorfor du skal bruge det Hvad er tofaktorauthenticering, og hvorfor du skal bruge det Tofaktorautentisering (2FA) er en sikkerhedsmetode, der kræver to forskellige måder at bevise på din identitet. Det bruges ofte i hverdagen. For eksempel kræver betaling med et kreditkort ikke kun kortet,… hvor det er muligt, og forbedrer din cyberhygiejne Forbedr din cyberhygiejne i 5 nemme trin Forbedr din cyberhygiejne i 5 nemme trin I den digitale verden er "cyberhygiejne" lige så vigtig som den rigtige personlige hygiejne. Regelmæssige systemcheck er nødvendige sammen med nye, mere sikre online vaner. Men hvordan kan du foretage disse ændringer? . Selvom ingen af ​​disse direkte beskytter dig mod Equifax-lækage, vil stramning af din sikkerhed ikke skade dig. Måske i betragtning af omstændighederne ville det endda være værd at gå den ekstra kilometer og udføre en fuld sikkerhedskontrol. Beskyt dig selv med en årlig sikkerhed og privatlivskontrol. Beskyt dig selv med en årlig sikkerhed og privatlivskontrol. Vi er næsten to måneder ind i det nye år, men der er stadig tid til at tage en positiv beslutning. Glem at drikke mindre koffein - vi taler om at tage skridt til at beskytte online sikkerhed og privatliv. .

Equihaxxed

Equifax-overtrædelsen vil sandsynligvis være den fremtrædende sikkerhedsbegivenhed i et år, der er fyldt med dataovertrædelser og ransomware-angreb. Som med andre højprofilerede sikkerhedsbegivenheder som WannaCry og den uendelige strøm af datalækager, er der et sølvfor, der kan findes i den forbløffende karakter af Equifax-overtrædelsen. Ved at give offentlighedens opmærksomhed på datasikkerhed, kreditrapportering og virksomhedsmisbrug er der en mulighed for, at disse spørgsmål diskuteres og afbødes. Mange amerikanske senators stærke reaktion vil forhåbentlig sikre, at denne overtrædelse ikke forsvinder i baggrunden. Equifax har i det mindste indrømmet, at nogle personaleændringer er påkrævet - Chief Information Officer og Chief Security Officer har “pensioneret” som resultat.

På trods af sin høje profil og enorme rækkevidde er der stadig ingen oplysninger om, hvem angriberen var. På deres side har Equifax forblevet helt stille om sagen - i overensstemmelse med resten af ​​deres dårligt styrede svar. Bare dage efter, at overtrædelsen blev offentliggjort, dukkede en gruppe op og hævdede at have dataene og krævede en løsepenge på 600 Bitcoin. Efter at forskere opdagede hosting-tjenesten på .onion-webstedet, blev den straks lukket ned.

Separat hævdede en gruppe, der kalder sig Equihax, også at være i besiddelse af dataene, men tilbød intet verificerbart bevis. I betragtning af hvor potentielt lukrative dataene er, kan du være sikker på, at det ikke vil vare længe, ​​før hackerne forsøger at indbetale.

Blev du påvirket af Equifax sikkerhedsbrud? Tror du Equifax har skylden, og kunne de have gjort mere for at beskytte dig? Fortæl os det i kommentarerne!

Billedkredit: stevanovicigor / Depositphotos




Endnu ingen kommentarer

Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.