Was ik gehackt? Ontdek of de Equifax-inbreuk invloed op u heeft

Equifax Inc. (EFX) kondigde op 7 september 2017 aan dat 143 miljoen van zijn klanten werden getroffen door een hack die plaatsvond tussen half mei en juli. Dat cijfer werd de komende weken verhoogd tot 145, 5 miljoen, vervolgens tot 147, 9 miljoen op 1 maart 2018, toen het bedrijf zei dat het 2, 4 miljoen extra slachtoffers had geïdentificeerd.

Na sluiting van de markt op dezelfde dag rapporteerde het bedrijf de financiële resultaten over het vierde kwartaal en het volledige jaar. De omzet van het vierde kwartaal steeg jaar op jaar met 5% tot $ 838, 5 miljoen. De nettowinst in het kwartaal steeg met 40% op jaarbasis tot $ 172, 3 miljoen. De opbrengsten en winsten voor het volledige jaar stegen ook ten opzichte van 2016: de opbrengsten stegen met 7% tot $ 3, 4 miljard, terwijl de netto-inkomsten met 20% stegen tot $ 587, 3 miljoen. Het bedrijf zei dat de hack het $ 26, 5 miljoen in het vierde kwartaal en $ 114, 0 miljoen in het hele jaar had gekost, na aftrek van verzekeringsuitkeringen. Het aandeel, dat 1, 3% sloot in overeenstemming met de S&P 500, is 0, 6% hoger in de uren na de handel op het moment van schrijven.

Volgens Equifax werden maar liefst 209.000 creditcardnummers van klanten blootgesteld en werden geschildocumenten met betrekking tot 182.000 Amerikaanse consumenten - waaronder persoonlijke informatie - aangetast. Britse consumenten werden ook getroffen door de inbreuk; het is mogelijk dat enkele Canadezen werden gecompromitteerd. Volgens de Wall Street Journal werden, onder verwijzing naar een naamloze bron, 10, 9 miljoen Amerikaanse rijbewijsgegevens gestolen in de inbreuk.

Het bedrijf kende de aanval sinds 29 juli, maar wachtte meer dan een maand om het publiek te waarschuwen. Op 20 september werd gemeld dat Mandiant, de dochteronderneming van FireEye Inc. (FEYE), gecontracteerd door Equifax, de inbreuk tot op 10 maart dateert.

Er is weinig informatie over de bron van de aanval, die door de FBI wordt onderzocht, maar volgens Bloomberg suggereren overeenkomsten met eerdere aanvallen op het Office of Personnel Management en Anthem Inc. dat de aanvaller door de staat gesponsord zou kunnen zijn, misschien Chinees. Dat de informatie van Equifax-klanten niet op de zwarte markt is verschenen, suggereert ook dat de hackers niet alleen criminelen waren. Bloomberg meldt ook dat de aanvallers zich op specifieke individuen richtten, misschien vanwege hun rijkdom of intelligentiewaarde.

Aangezien de volwassen bevolking van de VS ongeveer 250 miljoen inwoners is, is de kans groot dat u door de inbreuk bent getroffen. Het is ook mogelijk dat u al slachtoffer bent geworden van fraude, sinds de aanval bijna zes maanden geleden begon.

Het in Atlanta gevestigde Equifax, een van de drie grootste rapportagebureaus voor consumentenkrediet - de andere twee zijn Experian PLC (Londen: EXPN) en TransUnion (TRU) - verzamelt gegevens zoals sofi-nummers, creditcardnummers, rijbewijsnummers, huur en hulpprogramma's betalingsinformatie en demografische gegevens. Omdat het model van Equifax voornamelijk business-to-business is, weten veel van zijn klanten niet dat hun gegevens door het bedrijf worden opgeslagen. Afgezien van het vermijden van het financiële en kredietsysteem, is er geen eenvoudige manier om te weigeren dat persoonlijke gegevens door Equifax worden opgeslagen. (Zie ook 5 grootste hacks van creditcardgegevens in de geschiedenis. )

Hoe te controleren of u bent getroffen

Equifax heeft een site opgezet waar u kunt controleren of uw gegevens zijn aangetast door uw achternaam en de laatste zes cijfers van uw sofi-nummer te geven. Deze site is hevig bekritiseerd en we hebben de link verwijderd vanwege vragen over de beveiliging. Het is opgezet met behulp van WordPress, een standaard blogplatform. Het bevindt zich op een apart domein naast de hoofdsite van Equifax. Het bedrijf heeft nagelaten soortgelijke URL's te registreren, die kunnen worden gebruikt voor phishing-aanvallen; een white hat hacker heeft zo'n site opgezet om een ​​punt te bewijzen, en een officieel Equifax-account tweette de link naar de nep-site. Meerdere keren.

Equifax bood klanten - al dan niet getroffen - de volgende diensten aan, die het TrustedID Premier noemt: kopieën van een Equifax-kredietrapport, kredietbewaking en geautomatiseerde waarschuwingen voor alle drie de belangrijkste kredietbureaus, de mogelijkheid om toegang van derden tot uw Equifax-kredietrapport te blokkeren (met uitzonderingen), sofinummerbewaking en $ 1 miljoen aan identiteitsdiefstalverzekering. De deadline voor aanmelding was 21 november 2017.

Het bedrijf zegt dat deze services allemaal gratis zijn, maar het plaatsen van een beveiligingsstop op een kredietbestand was in eerste instantie niet gratis - althans niet voor iedereen. Toen ik op 8 september een Equifax-kredietbestand probeerde te bevriezen, zei de website van het bedrijf dat de service $ 3, 00 zou kosten en vroeg om creditcardinformatie om de betaling te verwerken.

Een schermopname van www.freeze.equifax.com (8 september 2017 om 11:46 uur EDT).

Als inwoner van New York kon ik mijn Experian-bestand gratis bevriezen. De site van TransUnion kon het verzoek aanvankelijk niet verwerken - waarschijnlijk een symptoom van toegenomen verkeer - maar liet me later toe om een ​​gratis bevriezing te plaatsen.

In een verklaring per e-mail vertelde een woordvoerder van Equifax op 14 september aan Investopedia dat het bedrijf afziet van alle kosten om kredietbestanden te bevriezen en klanten die dit betaalden automatisch terugbetaalt nadat de hack openbaar is gemaakt. Een nieuw probleem - en een duidelijk verval van de beveiliging - is nu ontstaan ​​rond de pincodes die het bedrijf heeft gegeven aan klanten die hun kredietrapporten hadden bevroren. Deze pincodes, waarmee klanten kredietrapporten kunnen bevriezen, volgen een gemakkelijk identificeerbaar patroon. De woordvoerder zei dat klanten met deze defecte pincodes 866-349-5191 moeten bellen om met een live agent te spreken.

Als je na het melden van de hack een pincode hebt ontvangen, kan die van jou een van de defecte zijn. Het laten repareren is niet eenvoudig. Twaalf oproepen naar de lijn in de ochtend van 15 september leverden acht bezette signalen en vier gevallen van totale stilte op.

De TrustedID Premier-services Equifax-lijsten als gratis zijn slechts een jaar gratis. Een Equifax-woordvoerder vertelde Investopedia dat het bedrijf niet om creditcardinformatie vraagt ​​wanneer klanten zich aanmelden voor de service en dat het bedrijf deze niet automatisch zal verlengen of een vergoeding zal vragen. Het standaardtarief van Equifax voor kredietcontrole is $ 17 per maand.

Wat te doen als u getroffen bent

Liz Weston, een personal finance-schrijver bij NerdWallet, heeft het volgende advies voor degenen die getroffen zijn door de Equifax-inbreuk, die ze in een e-mail met Investopedia heeft gedeeld: "Equifax zal contact opnemen met de slachtoffers en hen kredietbewaking aanbieden. Slachtoffers moeten ervoor zorgen dat instemmen met de monitoring belet hen niet om deel te nemen aan rechtszaken of andere acties op de weg. "

Aanvankelijk eisten gebruikers op de servicepagina van TrustedID Premier (gearchiveerde versie) in feite afstand van hun recht om deel te nemen aan een class action-aanklacht tegen Equifax: "Door uw claims in te dienen voor arbitrage verliest u uw recht om te brengen of deel te nemen in een class action (hetzij als een genoemde eiser of een class member) of om te delen in een class action-beloning, inclusief class claims waarvoor een class nog niet is gecertificeerd, zelfs als de feiten en omstandigheden waarop de Claims zijn gebaseerd zich al hebben voorgedaan of bestond. " Na een terugslag werd de FAQ-pagina van het bedrijf bijgewerkt om te zeggen dat de clausule van toepassing was op de TrustedID Premier-service, niet op de hack. Vanaf de ochtend van 12 september bevatten de servicevoorwaarden niet langer een arbitragebeding.

Weston zegt dat getroffen klanten moeten overwegen hun kredietrapporten bij alle drie de grote bureaus te bevriezen. Zoals hierboven vermeld, kunnen kredietbureaus kosten in rekening brengen voor het initiëren van die bevriezing. Er kunnen ook kosten in rekening worden gebracht voor niet-bevroren accounts wanneer u een kredietcontrole nodig heeft (bijvoorbeeld om een ​​mobiele telefoonservice aan te vragen). Deze kosten zijn over het algemeen minder dan $ 10, maar ze kunnen oplopen. Weston merkt op dat een andere optie is om een ​​fraudemelding te plaatsen op uw kredietrapporten bij de drie kredietbureaus. (Zie voor meer informatie Herstellen van identiteitsdiefstal .)

Andere kredietbewakingsdiensten, niet gesponsord door Equifax, zijn ook beschikbaar. Diensten ter bescherming tegen identiteitsdiefstal: de moeite waard ">

Reactie van Equifax

De toenmalige voorzitter en CEO van Equifax, Richard Smith, zei na de hack dat het "duidelijk een teleurstellend incident was voor ons bedrijf, en een dat de kern raakt van wie we zijn en wat we doen". Hij trad af op 26 september en ontvangt geen bonus voor 2017. Zijn vertrek volgde op die van Chief Security Officer Susan Mauldin en Chief Information Officer David Webb op 14 september.

Een paar dagen nadat het bedrijf de hack intern had ontdekt - en voordat de breuk aan het publiek werd onthuld - verkochten Equifax's chief financial officer John Gamble, zijn president van personeelsoplossingen Rodolfo Ploder, en zijn president van Amerikaanse informatieoplossingen Joseph Loughran hun Equifax-aandelen. Equifax zei in een verklaring dat de leidinggevenden niet op de hoogte waren van de schending toen ze hun aandelen verkochten. Gamble, Ploder en Loughran verdienden samen bijna $ 1, 8 miljoen aan de omzet.

Vanaf 28 februari is het aandeel van Equifax met 20, 1% gedaald vanaf het einde op 7 september (voordat de hack werd aangekondigd) tot $ 113, 00. Na verschillende vertragingen zegt Equifax dat het de winst over het vierde kwartaal na sluiting op 1 maart zal rapporteren.

Laat de rechtszaken beginnen

Reuters meldde op 11 september dat meer dan 30 rechtszaken - waarvan velen op zoek zijn naar class action - zijn aangespannen tegen Equifax voor Amerikaanse rechtbanken. Verschillende vermeende schendingen van het effectenrecht; anderen beschuldigen TrustedID van het aanbieden van kostbare services aan klanten die getroffen zijn door de datalek. Vijf inwoners van Utah hebben het bedrijf aangeklaagd bij de Amerikaanse rechtbank wegens het niet beschermen van gevoelige gegevens van klanten. Het pak streeft naar een geldelijke schadevergoeding van $ 5 miljard en het opleggen van strengere industrienormen.

Enkele getroffen klanten kiezen een minder traditionele route om een ​​beroep te doen op Equifax. De DoNotPay-chatbot biedt hulp bij het indienen van een klacht bij rechtbanken voor kleine vorderingen, waar de maximale boetes variëren van $ 2500 tot $ 25.000. De bot kan alleen papierwerk genereren voor een rechtszaak, niet echt indienen of voor de rechtbank verschijnen, volgens de Verge.

De FBI en de Amerikaanse advocaat John Horn in Atlanta kondigden op 18 september een strafrechtelijk onderzoek aan naar de inbreuk. Het Bureau voor financiële bescherming van consumenten en 34 openbare advocaten-generaal onderzoeken.

Smith gaat naar Washington

Op 3 oktober getuigde voormalig CEO Richard Smith voor de subcommissie House Digital Commerce and Consumer Protection. Hij verontschuldigde zich meerdere keren voor het feit dat Equifax de gegevens van de consument niet beschermde en kreeg te maken met vragen over een reeks problemen met betrekking tot de inbreuk en het antwoord van Equifax. De aandelen van het bedrijf stegen na de getuigenis, maar bleven ruim onder het niveau waarop het werd verhandeld voordat de hack werd bekendgemaakt.

In antwoord op vragen over de controversiële arbitragebeding die aanvankelijk was opgenomen in de servicevoorwaarden van TrustedID Premier, zei Smith dat de "boilerplate" -clausule nooit bedoeld was om op de inbreuk van toepassing te zijn en noemde de opname ervan een "fout". Hij zou niet hetzelfde zeggen over soortgelijke clausules die andere Equifax-diensten regelen, die hij "standaard" noemde.

Verdacht getimede verkoop van executieve aandelen kwam ook onder de loep: Rep. Jan Schakowsky, een democraat uit Illinois, zei dat de verkoop "de geurtest niet doorstaat", maar Smith nam het gemiddelde aan, "voor zover ik weet, wisten ze niet" de breuk op dat moment.

Smith beschreef de breuk als het resultaat van menselijke fouten en een technologisch falen: de persoon die verantwoordelijk was voor het patchen van de Apache Struts-software - die een publiekelijk bekende kwetsbaarheid had die door de aanvallers werd uitgebuit - deed dit niet en een scanner die waarschuwde het bedrijf van die fout ook mislukt.

De flagrante reactie van het bedrijf op de crisis kwam ook voor kritiek: het opzetten van een WordPress-site met een verdachte URL, het falen om vergelijkbare domeinen te beveiligen (en zelfs klanten naar een van die domeinen te leiden), onvoldoende callcenters personeel en in het algemeen het creëren van de indruk dat het bedrijf - dat bestaat om gevoelige gegevens te verzamelen, te beveiligen en te verkopen - totaal niet was voorbereid op een cyberaanval op zijn databases. Rep. Markwayne Mullin, een Republikein in Oklahoma, vertelde Smith dat zijn reactie had moeten zijn zoals het trekken van een brandalarm: "het gaat onmiddellijk op zijn plaats." Smith antwoordde dat zijn team 'het protocol volgde'. Verschillende vertegenwoordigers vermeldden dat Smith in augustus een toespraak hield waarin fraude werd beschreven als een "enorme kans" en een "massale, groeiende onderneming" - nadat hij op de hoogte was van de inbreuk.

Smith weigerde vragen te beantwoorden over de bron van de aanval, inclusief of het een staatsacteur zou kunnen zijn. Hij zei eenvoudig dat de FBI een onderzoek uitvoert. Hij verdedigde de investeringen van Equifax in cybersecurity tijdens zijn ambtstermijn en zei dat toen hij twaalf jaar geleden aankwam, er vrijwel geen investering in gegevensbescherming was. Het bedrijf gaf een kwart miljard dollar uit en huurde een team van 225 personen in om de gegevens van het bedrijf te beveiligen, zei Smith, waarbij hij de industriestandaard 10-14% van het IT-budget van het bedrijf investeerde in cybersecurity.

Sommige vertegenwoordigers gaven aan dat de inbreuk fundamentele vragen heeft opgeroepen over de rol van de kredietbewakingssector en de rechten van de consument. "Wat als ik voor onze van Equifax wil kiezen?" Vroeg Schakowski. Smith antwoordde: "dat vereist een veel bredere discussie over de rol van kredietinformatiebureaus." Vertegenwoordiger Tonko, een New Yorkse democraat, herhaalde het sentiment en wees erop dat hij niet echt een 'klant' is, omdat hij er nooit voor heeft gekozen om zaken te doen met Equifax. "Waarom mag dit bedrijf blijven bestaan?" hij vroeg. Op verschillende punten betwijfelde Smith de waarde van sofi-nummers als een manier om identiteit te bewijzen en maakte hij vage verwijzingen naar "macht teruggeven aan de consument".

De grootste vraag van die dag kwam van de Californische democraat Doris Matsui: "Bezit ik mijn gegevens?" Smith kon niet antwoorden. (Zie ook, Blockchain kan u maken - niet Equifax - de eigenaar van uw gegevens. )