Ang inihayag ng Equifax Inc. (EFX) noong Setyembre 7, 2017 na 143 milyon sa mga customer nito ang naapektuhan ng isang hack na naganap sa pagitan ng kalagitnaan ng Mayo at Hulyo. Ang figure na iyon ay nabagsak sa 145.5 milyon sa mga sumusunod na linggo, pagkatapos ay sa 147.9 milyon noong Marso 1, 2018, nang sabihin ng kumpanya na kinilala nito ang 2.4 milyong karagdagang mga biktima.
Matapos isara ang merkado sa parehong araw, iniulat ng kumpanya ang ika-apat na quarter at buong resulta ng pinansiyal. Ang pang-apat na-kapat na kita ng kumpanya ay tumaas ng 5% taon-sa-taon sa $ 838.5 milyon. Ang netong kita sa quarter ay tumaas ng 40% year-over-year hanggang $ 172.3 milyon. Ang buong taon na kita at kita din ay tumaas kumpara sa 2016: ang mga kita ay umabot sa 7% hanggang $ 3.4 bilyon, habang ang netong kita ay tumaas ng 20% hanggang $ 587.3 milyon. Sinabi ng kumpanya na ang hack ay nagkakahalaga ng $ 26.5 milyon sa ika-apat na quarter at $ 114.0 milyon sa buong taon, netong mga payout sa seguro. Ang stock, na isinara ang 1.3% na naaayon sa S&P 500, ay hanggang sa 0.6% sa mga pagkalipas ng oras ng oras sa pagsulat.
Bilang 209, 000 mga numero ng credit card ng mga customer ay nakalantad, ayon sa Equifax, at mga dokumento sa pagtatalo na nauugnay sa 182, 000 US consumer - na kasama ang personal na impormasyon - ay nakompromiso. Ang mga consumer ng British ay naapektuhan din ng paglabag; posible na ang ilang mga taga-Canada ay nakompromiso. Ayon sa Wall Street Journal, na binabanggit ang isang hindi pinangalanan na pinagmulan, 10.9 milyong data ng lisensya sa pagmamaneho ng mga Amerikano ang ninakaw sa paglabag.
Ang kumpanya ay kilala tungkol sa pag-atake mula noong Hulyo 29, ngunit naghintay ng higit sa isang buwan upang alerto sa publiko. Noong Setyembre 20, iniulat na ang Mandiant, ang subsidiary ng FireEye Inc. (FEYE) na kinontrata ng Equifax, tinantya ang paglabag sa petsa hanggang sa Marso 10.
May kaunting impormasyon tungkol sa pinagmulan ng pag-atake, na sinisiyasat ng FBI, ngunit ayon sa Bloomberg, ang pagkakatulad sa naunang pag-atake sa Office of Personnel Management at Anthem Inc. ay nagmumungkahi na ang magsasalakay ay maaaring suportado ng estado, marahil Tsino. Na ang impormasyon ng mga customer ng Equifax ay hindi ipinakita sa itim na merkado ay nagmumungkahi din na ang mga hacker ay hindi lamang mga kriminal. Iniulat din ni Bloomberg na ang target ng mga umaatake ay nag-target sa mga tiyak na indibidwal, marahil dahil sa kanilang kayamanan o halaga ng katalinuhan.
Dahil sa ang populasyon ng may sapat na gulang sa US ay humigit-kumulang sa 250 milyon, mahusay ang pagkakataon na naapektuhan ka ng paglabag. Posible rin na ikaw ay naging biktima ng pandaraya, dahil nagsimula ang pag-atake halos anim na buwan na ang nakalilipas.
Ang Equifax na nakabase sa Atlanta, isa sa malaking tatlong ahensya sa pag-uulat ng credit ng consumer - ang iba pang dalawa ay ang Experian PLC (London: EXPN) at TransUnion (TRU) - ay nangongolekta ng data kasama ang mga numero ng Social Security, mga numero ng credit card, mga driver ng mga numero ng lisensya, upa at utility impormasyon ng pagbabayad, at data ng demograpiko. Dahil ang modelo ng Equifax ay pangunahin sa negosyo-sa-negosyo, marami sa mga customer nito ay walang kamalayan na ang kanilang data ay nakaimbak ng kompanya. Bukod sa pag-iwas sa sistema ng pananalapi at kredito, walang prangka na paraan upang mag-opt out sa pagkakaroon ng personal na data na nakaimbak ng Equifax. (Tingnan din, 5 Pinakamalaking Mga Data ng Data ng Credit Card sa Kasaysayan. )
Paano Suriin Kung Naapektuhan Ka
Ang Equifax ay nag-set up ng isang site kung saan maaari mong suriin kung ang iyong impormasyon ay nakompromiso sa pamamagitan ng pagbibigay ng iyong huling pangalan at ang huling anim na numero ng iyong numero ng Social Security. Ang site na ito ay naging paksa ng matinding pagpuna, at tinanggal namin ang link dahil sa mga katanungan tungkol sa seguridad nito. Ito ay naka-set up gamit ang WordPress, isang platform ng blog na hindi naka-off. Ito ay nakalagay sa isang hiwalay na domain sa pangunahing site ng Equifax. Ang kumpanya ay napabayaan upang magrehistro ng mga katulad na URL, na maaaring magamit para sa pag-atake sa phishing; ang isang puting sumbrero na hacker ay nag-set up lamang ng isang site upang patunayan ang isang punto, at ang isang opisyal na account ng Equifax ay nag-tweet ng link sa pekeng site. Higit sa isang beses.
Inalok ng Equifax ang mga customer - apektado o hindi - ang mga sumusunod na serbisyo, na tinatawag nitong TrustedID Premier: mga kopya ng isang Equifax credit ulat, pagsubaybay sa kredito at awtomatikong mga alerto para sa lahat ng tatlong pangunahing biro ng credit, ang kakayahang harangan ang pag-access ng third-party sa iyong ulat ng Equifax credit (kasama ang mga eksepsiyon), pagsubaybay sa numero ng Social Security, at $ 1 milyon sa pagkakawatas sa pagkakakilanlan. Ang deadline na mag-apply ay Nobyembre 21, 2017.
Sinabi ng kumpanya na ang mga serbisyong ito ay pawang kompleto, ngunit ang paglalagay ng isang security freeze sa isang credit file ay hindi una libre - hindi bababa sa hindi para sa lahat. Nang sinubukan kong i-freeze ang isang Equifax credit file noong Setyembre 8, sinabi ng site ng kumpanya na ang serbisyo ay nagkakahalaga ng $ 3.00 at hiniling ang impormasyon sa credit card upang maiproseso ang pagbabayad.
Bilang isang residente ng New York, nagawa kong maglagay ng isang freeze sa aking file na Experian nang libre. Ang site ng TransUnion ay hindi ma-proseso ang kahilingan sa una - malamang isang sintomas ng nadagdagan na trapiko - ngunit kalaunan ay pinahintulutan akong maglagay ng isang freeze nang walang bayad.
Sa isang email na pahayag, sinabi ng isang tagapagsalita ng Equifax kay Investopedia noong Setyembre 14 na ang kompanya ay tinatanggihan ang lahat ng mga singil upang mai-freeze ang mga file ng kredito at awtomatiko na ibinababalik ang mga customer na nagbabayad na gawin ito pagkatapos na ginawang publiko. Ang isang bagong pag-aalala - at malinaw na pagkalipas ng seguridad - ngayon ay lumitaw sa paligid ng mga PIN na inilabas ng kumpanya sa mga customer na nag-frozen ng kanilang mga ulat sa kredito. Ang mga PIN na ito, na nagpapahintulot sa mga customer na ibigay ang mga ulat sa kredito, ay sumusunod sa isang madaling makikilalang pattern. Sinabi ng tagapagsalita na ang mga customer na may mga maling PIN na ito ay dapat tumawag sa 866-349-5191 upang makipag-usap sa isang live na ahente.
Ang mga serbisyo ng TrustedID Premier na mga listahan ng Equifax bilang libre ay libre lamang sa isang taon. Sinabi ng isang tagapagsalita ng Equifax kay Investopedia na ang kumpanya ay hindi humihingi ng impormasyon sa credit card kapag nag-sign up ang mga customer para sa serbisyo at hindi awtomatikong i-renew ito ng kumpanya o singilin ang bayad. Ang karaniwang rate ng Equifax para sa pagsubaybay sa credit ay $ 17 bawat buwan.
Ano ang Gagawin Kung Naapektuhan Ka
Si Liz Weston, isang personal na manunulat sa pananalapi sa NerdWallet, ay may mga sumusunod na payo para sa mga naapektuhan ng paglabag sa Equifax, na ibinahagi niya sa Investopedia sa isang email: "Ang Equifax ay aabot sa mga biktima at mag-aalok sa kanila ng pagsubaybay sa kredito. Dapat siguraduhin ng mga biktima. ang pagsang-ayon sa pagsubaybay ay hindi pumipigil sa kanila na sumali sa mga demanda o iba pang mga pagkilos sa kalsada."
Sa una, ang mga termino ng serbisyo ng serbisyo (archive na bersyon) ay ginawa sa katunayan ng mga gumagamit upang talikuran ang kanilang karapatan na sumali sa isang aksyon na aksyon laban sa Equifax: "Sa pagsang-ayon na isumite ang Iyong Mga Pag-aangkin sa paghuhusga, Mawawalan ka ng Iyong karapatang magdala o makilahok sa anumang aksyon sa klase (maging bilang isang nagngangalang plaintiff o isang miyembro ng klase) o upang makibahagi sa anumang mga parangal sa aksyon sa klase, kabilang ang mga pag-aangkin sa klase kung saan ang isang klase ay hindi pa napatunayan, kahit na ang mga katotohanan at pangyayari kung saan nakabatay ang mga Claims ay naganap na o umiiral. " Kasunod ng isang backlash, ang pahina ng FAQ ng kumpanya ay na-update upang sabihin na ang sugnay na inilapat sa serbisyo ng TrustedID Premier, hindi ang hack. Tulad ng umaga ng Setyembre 12, ang mga termino ng serbisyo ay hindi na nagsasama ng isang sugnay ng arbitrasyon.
Sinabi ni Weston na ang mga apektadong customer ay dapat isaalang-alang ang pag-freeze ng kanilang mga ulat sa kredito sa lahat ng tatlong pangunahing bureaus. Tulad ng nabanggit sa itaas, ang mga bureaus ng credit ay maaaring singilin ang mga bayarin para sa pagsisimula na mag-freeze. Maaari ka ring sisingilin para sa mga unfreezing account kapag kailangan mo ng isang credit check (upang mag-aplay para sa serbisyo ng cellphone, halimbawa). Ang mga bayarin sa pangkalahatan ay mas mababa sa $ 10, ngunit maaari silang magdagdag. Binanggit ni Weston na ang isa pang pagpipilian ay ang maglagay ng isang alerto sa pandaraya sa iyong mga ulat sa kredito sa tatlong biro ng kredito. (Para sa higit pa, tingnan kung Paano Makaka-recover mula sa Pagnanakaw ng Pagkakakilanlan .)
Ang iba pang mga serbisyo sa pagsubaybay sa credit, na hindi naka-sponsor ng Equifax, ay magagamit din. Mga Serbisyo sa Pagnanakaw ng Pagnanakaw ng Pagkakakilanlan: Worth pagkakaroon? naglilista ng ilan sa kanila upang mag-imbestiga.
Tugon ni Equifax
Ang dating-chairman at CEO ng Equifax na si Richard Smith, ay sinabi pagkatapos ng hack na ito ay "malinaw na isang pagkabigo na pangyayari para sa aming kumpanya, at ang isa na tumama sa gitna ng kung sino tayo at kung ano ang ginagawa natin." Bumaba siya noong ika-26 ng Septyembre at hindi makakatanggap ng isang bonus para sa 2017. Ang kanyang pag-alis ay sumunod sa mga punong opisyal ng seguridad na si Susan Mauldin at punong opisyal ng impormasyon na si David Webb noong Setyembre 14.
Ilang araw matapos alisan ng kumpanya ang hack sa loob - at bago pa man ibunyag ang paglabag sa publiko - ang pinuno ng Equifax ng pinuno ng pinansiyal na si John Gamble, ang pangulo nito ng mga solusyon sa workforce na si Rodolfo Ploder, at ang pangulo nito ng mga solusyon sa impormasyon ng US na si Joseph Loughran ay nagbenta ng kanilang pagbabahagi ng Equifax. Sinabi ni Equifax sa isang pahayag na hindi alam ng mga executive ang paglabag sa ipinagbenta nila ang kanilang stock. Ang Gamble, Ploder at Loughran ay kolektibong nakakuha ng halos $ 1.8 milyon mula sa mga benta.
Hanggang sa Pebrero 28, ang stock ng Equifax ay bumagsak ng 20.1% mula sa malapit nitong Sept. 7 (bago inihayag ang hack) sa $ 113.00. Matapos ang ilang mga pagkaantala, sinabi ni Equifax na mag-uulat ito ng pang-apat na-kapat na kita matapos na malapit sa Marso 1.
Magsimula ang Mga Batas
Iniulat ng Reuters noong Septyembre 11 na higit sa 30 mga demanda - marami sa kanila ang naghahangad ng aksyon sa klase - ay isinampa laban sa Equifax sa mga korte ng US. Maraming sinasabing paglabag sa batas ng seguridad; ang iba ay inaakusahan ang TrustedID ng pagtatayo ng mga mamahaling serbisyo sa mga customer na apektado ng paglabag sa data. Limang residente ng Utah ang sumampa sa kumpanya sa US District Court dahil sa kabiguan na protektahan ang sensitibong data ng mga customer. Ang suit ay naghahanap ng mga pinsala sa pananalapi na $ 5 bilyon at ang pagpapataw ng mga pamantayan sa industriya na mas mahirap.
Ang ilang mga apektadong customer ay kumukuha ng isang hindi gaanong tradisyonal na ruta sa paghanap ng pag-urong mula sa Equifax. Ang DoNotPay chatbot ay nagbibigay ng tulong sa pag-file ng isang reklamo sa mga maliliit na korte ng estado, kung saan ang pinakamataas na parusa mula sa $ 2, 500 hanggang $ 25, 000. Ang bot ay maaari lamang makabuo ng mga papeles para sa isang demanda, hindi talaga file ito o lumitaw sa korte, ayon sa Verge.
Ang FBI at Atlanta na nakabase sa Atlanta na si John Horn ay inihayag ng isang kriminal na pagsisiyasat sa paglabag sa Septiyembre 18. Ang Consumer Financial Protection Bureau at 34 na abugado ng estado sa pangkalahatan ay nagsasagawa ng mga katanungan.
Tumungo si G. Smith sa Washington
Noong Oktubre 3 ang dating CEO na si Richard Smith ay nagpatotoo bago ang komite ng Komite sa Komersyal ng Digital at Consumer Protection. Ilang beses siyang humingi ng tawad sa kabiguan ng Equifax na protektahan ang data ng mga mamimili at humarap sa mga katanungan tungkol sa isang hanay ng mga isyu na may kaugnayan sa paglabag at tugon ni Equifax. Ang stock ng kumpanya ay tumaas kasunod ng patotoo, ngunit nanatiling maayos sa ibaba ng mga antas na ipinagpalit nito bago isiwalat ang hack.
Bilang tugon sa mga katanungan hinggil sa kontrobersyal na sugnay ng arbitrasyon na una ay kasama sa mga termino ng serbisyo ng TrustedID Premier, sinabi ni Smith na ang sugnay na "boilerplate" ay hindi inilaan na mag-aplay sa paglabag at tinawag ang pagsasama nito ng isang "pagkakamali." Hindi niya sasabihin ang pareho ng mga katulad na sugnay na namamahala sa iba pang mga serbisyo ng Equifax, na tinawag niyang "pamantayan."
Ang kahina-hinala na naka-time na mga benta ng stock sa stock ay din sa ilalim ng masusing pagsisiyasat: Si Rep. Jan Schakowsky, isang Illinois Democrat, ay nagsabing ang pagbebenta "ay hindi pumasa sa pagsusulit ng amoy, " ngunit si Smith ay nag-average, "sa abot ng aking kaalaman, hindi nila alam" tungkol sa ang paglabag sa oras.
Inilarawan ni Smith ang paglabag sa resulta ng pagkakamali ng tao at isang teknolohikal na pagkabigo: ang taong namamahala sa pagtiyak na i-patch ang Apache Struts software - na mayroong isang kilalang kahinaan sa publiko na sinamantala ng mga nagsasalakay - nabigo na gawin ito, at isang scanner na magkakaroon binigyan ng babala ang kumpanya ng error na iyon ay nabigo din.
Ang tugon ng flailing ng kumpanya sa krisis ay dumating din para sa pagpuna: ang pag-set up ng isang site ng WordPress na may isang kahina-hinalang URL, na hindi pagtupad upang mai-secure ang mga katulad na domain (at kahit na ang pagdirekta ng mga customer sa isa sa mga domain na iyon), hindi pagtupad sa sapat na mga sentro ng tawag sa kawani, at sa pangkalahatan ay lumilikha. ang impression na ang kumpanya - na umiiral upang mangolekta, secure at magbenta ng sensitibong data - ay ganap na hindi handa para sa isang cyberattack sa mga database nito. Rep. Markwayne Mullin, isang Republikano sa Oklahoma, sinabi kay Smith ang kanyang tugon ay dapat na tulad ng paghila ng alarma sa sunog: "agad itong pumapasok sa lugar." Tumugon si Smith na ang kanyang koponan ay "sumunod sa protocol." Maraming mga kinatawan ang nagbanggit na si Smith ay nagbigay ng talumpati na naglalarawan ng pandaraya bilang isang "malaking pagkakataon" at isang "napakalaking, lumalagong negosyo" noong Agosto - matapos niyang malaman ang tungkol sa paglabag.
Tumanggi si Smith na sagutin ang mga katanungan tungkol sa pinagmulan ng pag-atake, kabilang ang kung ito ay maaaring maging artista ng estado. Sinabi niya lamang na ang FBI ay nagsasagawa ng isang pagsisiyasat. Ipinagtanggol niya ang pamumuhunan ni Equifax sa cybersecurity sa panahon ng kanyang panunungkulan, na sinasabi na pagdating niya labing-dalawang taon na ang nakalilipas, halos walang pamumuhunan sa pangangalaga ng data. Ang kumpanya ay gumastos ng isang quarter bilyong dolyar at umarkila ng isang koponan ng 225-tao upang ma-secure ang data ng kumpanya, sinabi ni Smith, na namuhunan sa pamantayan ng industriya na 10-14% ng badyet ng IT ng kumpanya sa cybersecurity.
Ang ilang mga Kinatawan ay nagpahiwatig na ang paglabag ay nagbukas ng mga pangunahing katanungan tungkol sa papel ng industriya ng pagmamanman ng credit at mga karapatan ng mga mamimili. "Paano kung nais kong mag-opt ng aming Equifax?" Tanong ni Schakowski. Sumagot si Smith, "nangangailangan ng mas malawak na talakayan tungkol sa papel ng mga ahensya ng pag-uulat ng credit." Si Rep. Tonko, isang Demokratikong New York, ay nagbigay ng damdamin, na itinuturo na hindi siya tunay na isang "customer, " na hindi pa napiling pumili ng negosyo sa Equifax. "Bakit pinapayagan ang kumpanyang ito na magpatuloy sa pagkakaroon?" tanong niya. Sa iba't ibang mga punto, kinuwestiyon ni Smith ang halaga ng mga numero ng Social Security bilang isang paraan upang mapatunayan ang pagkakakilanlan at gumawa ng hindi malinaw na mga sanggunian sa pagbibigay ng "kapangyarihan pabalik sa consumer."
Ang pinakamalaking tanong sa araw ay nagmula sa California Democrat Doris Matsui: "May-ari ba ako ng aking data?" Hindi makasagot si Smith. (Tingnan din, Maaaring Makagawa ka ng Blockchain - Hindi Equifax - ang May-ari ng Iyong Data. )
