我被黑了吗?看看Equifax的漏洞是否影响到你 编辑
Equifax公司(EFX公司 )2017年9月7日宣布,其1.43亿客户受到5月中旬至7月期间发生的黑客攻击的影响。在接下来的几周里,这一数字猛增至1.455亿人,然后在2018年3月1日,这家公司表示,已经确认了240万其他受害者。
当天收盘后,公司公布了第四季度和全年财报。该公司第四季度收入同比增长5%,达到8.385亿美元。本季度净收入同比增长40%,达到1.723亿美元。与2016年相比,全年收入和利润也有所增长:收入增长7%至34亿美元,净收入增长20%至5.873亿美元。该公司表示,扣除保险赔付,黑客攻击在第四季度和全年分别造成2650万美元和1.14亿美元的损失。该股收盘时下跌1.3%,与标准普尔500指数持平,截至发稿时,该股盘后交易上涨0.6%。
据Equifax称,多达20.9万名客户的信用卡号码被曝光,涉及18.2万名美国消费者的争议文件(包括个人信息)被泄露。英国消费者也受到了泄露的影响;一些加拿大人有可能被泄露《华尔街日报》,引用一个不具名的消息来源,1090万美国人的驾照数据偷 在突破口。
该公司从7月29日就知道了这起袭击事件,但等了一个多月才向公众发出警报。9月20日报道Mandiant,FireEye公司(费耶 )与Equifax签订合同的子公司估计违约至少要追溯到3月10日;
关于袭击来源的信息很少,联邦调查局正在调查,但根据彭博社 ,与早些时候针对人事管理办公室和Anthem公司的袭击相似,这表明袭击者可能是国家资助的,也许是中国人。Equifax客户的信息没有出现在黑市上,这也表明黑客不仅仅是罪犯。彭博社还报道说,袭击者的目标是特定的个人,可能是因为他们的财富或情报价值。
考虑到美国的成年人口约为2.5亿,你很有可能会受到这个漏洞的影响。也有可能自近六个月前攻击开始以来,您已经成为欺诈的受害者;
总部位于亚特兰大的Equifax是三大消费信贷报告机构之一,另外两家是益百利(Experian PLC)(伦敦:扩展) 和TransUnion(TRU公司)–收集数据,包括社会保险号码 、信用卡号码、驾驶证号码、租金和水电费支付信息以及人口统计数据。由于Equifax的模式主要是企业对企业的模式,因此它的许多客户不知道他们的数据是由公司存储的。除了完全避免使用金融和信贷系统之外,没有直接的方法可以选择不使用Equifax存储个人数据。
如何检查你是否受到影响
艾奎法克斯建立了一个地点 在这里,您可以通过提供您的姓氏和社会保险号码的最后六位数字来检查您的信息是否被泄露。这个网站受到了强烈的批评,我们删除了这个链接,因为它的安全性有问题。它是使用现成的博客平台WordPress建立的。它位于Equifax主站点的一个单独的域中。该公司忽略了注册类似的网址,这些网址可能被用于网络钓鱼攻击;一名白帽黑客建立了这样一个网站来证明这一点,一个Equifax官方帐户在推特上发布了这个假冒网站的链接。不止一次;
Equifax为客户提供的服务–无论是否受到影响–以下服务 它称之为TrustedID Premier:Equifax信用报告的副本、所有三大信用机构的信用监控和自动警报、阻止第三方访问Equifax信用报告的能力(例外)、社会保险号码监控以及100万美元的身份盗窃保险。申请截止日期为2017年11月21日。
该公司表示,这些服务都是免费的,但对信用档案进行安全冻结一开始并不是免费的,至少不是对所有人都免费。9月8日,当我试图冻结Equifax的信用档案时,该公司的网站说该服务的费用为3美元,并要求提供信用卡信息以处理付款;
屏幕抓取www.freeze.equifax.com(美国东部时间2017年9月8日上午11:46)。
作为一名纽约居民,我可以免费冻结我的益百利档案。TransUnion的网站最初无法处理该请求—可能是流量增加的症状—但后来允许我免费进行冻结。
Equifax的一位发言人在9月14日的一份电子邮件声明中告诉Abcexchange,该公司将免除冻结信用档案的所有费用,并将在黑客攻击公开后自动退还为此付费的客户。一个新的问题——以及明显的安全漏洞——现在已经出现在该公司发给冻结其信用报告的客户的PIN上。这些PIN允许客户解冻信用报告,遵循易于识别的模式。发言人说,有这些错误PIN码的客户必须致电866-349-5191与现场代理通话。
如果你在报告黑客攻击后得到一个密码,你的密码可能是有问题的密码之一。把它修好并不容易。9月15日上午,12个电话接通后,有8个占线信号,4个完全静音。
TrustedID Premier services Equifax免费列表如下只免费一年 . Equifax的一位发言人告诉Abcexchange,当客户注册该服务时,公司不会要求提供信用卡信息,公司不会自动续费或收取费用。Equifax的信用监控标准费率是每月17美元。
如果你受到影响怎么办
NerdWallet的个人理财作家Liz Weston为受Equifax违规影响的人提供了以下建议,她在电子邮件中与Abcexchange分享了这些建议:“Equifax将联系受害者,并为他们提供信用监控。受害者应该确保同意监控不会妨碍他们参与诉讼或其他行动;
最初,TrustedID Premier的服务条款页面(存档版本)&事实上是否要求用户放弃对Equifax提起集体诉讼的权利:“如果同意将您的索赔提交仲裁,您将丧失提起或参与任何集体诉讼(无论是作为指定原告还是集体成员)或分享任何集体诉讼裁决的权利,包括类别尚未认证的类别索赔,即使索赔所依据的事实和情况已经发生或存在常见问题页面 已更新为该条款适用于TrustedID Premier服务,而不是黑客攻击。截至9月12日上午,服务条款不再包括 仲裁条款。
韦斯顿说,受影响的客户应该考虑冻结他们在所有三大银行的信用报告。如上所述,信贷局可以收取启动冻结的费用。当您需要信用检查(例如申请手机服务)时,解冻账户也可能会收取费用。这些费用一般不到10美元,但可以加起来。韦斯顿指出,另一种选择是将欺诈警报放在你的信用报告在三个信贷局。
Equifax响应
Equifax当时的董事长兼首席执行官理查德·史密斯(Richard Smith)在黑客攻击事件发生后表示,这“显然是我们公司的一个令人失望的事件,它触及了我们是谁和我们做什么的核心。”他于9月26日辞职,将不会获得2017年的奖金。在9月14日首席安全官Susan Mauldin和首席信息官David Webb离职之后,他又离开了;
在公司内部发现黑客攻击的几天后,在向公众披露黑客攻击之前,Equifax的首席财务官John Gamble、员工解决方案总裁Rodolfo Ploder和美国信息解决方案总裁Joseph Loughran出售了Equifax的股票。Equifax在一份声明中说,这些高管在出售股票时并不知道违规行为。Gamble、Ploder和Loughran合二为一赚得 销售额将近180万美元。
截至2月28日,Equifax的股价从9月7日收盘(黑客攻击宣布前)下跌了20.1%,至113.00美元。经过几次推迟后,Equifax表示,将在3月1日收盘后公布第四季度盈利。
让诉讼开始吧
路透社9月11日报道称,美国法院已对Equifax提起30多起诉讼,其中许多是集体诉讼。一些指控违反了证券法;另一些指控TrustedID向受数据泄露影响的客户推销昂贵的服务。5名犹他州居民向美国地方法院起诉该公司未能保护客户的敏感数据。该诉讼要求赔偿50亿美元的金钱损失,并要求实施更严格的行业标准。
少数受影响的客户在向Equifax寻求追索权时采取了不太传统的路线。这个不支付聊天机器人协助向州小额索赔法院提起诉讼,最高处罚从2500美元到25000美元不等。据介绍,bot只能生成诉讼文书,而不能实际立案或出庭科技博客 .
美国联邦调查局(FBI)和亚特兰大的美国检察官约翰·霍恩(JohnHorn)于9月18日宣布对这一违规行为展开刑事调查。消费者金融保护局和34个州的总检察长正在进行调查;
史密斯先生去华盛顿
10月3日,前首席执行官理查德·史密斯在众议院数字商务和消费者保护小组委员会作证。他多次为Equifax未能保护消费者数据道歉,并面临与违规和Equifax回应有关的一系列问题。证词公布后,该公司股价上涨,但仍远低于黑客事件披露前的交易水平。
在回答有关最初列入TrustedID Premier服务条款的争议性仲裁条款的问题时,史密斯说,“样板”条款从未打算适用于违约行为,并称列入该条款是一个“错误”;他不会对管理其他Equifax服务的类似条款说同样的话,他称之为“标准”;
时间可疑的高管股票销售也受到了审查:伊利诺伊州民主党众议员沙考斯基(Jan Schakowsky)说,这种销售“没有通过嗅觉测试”,但史密斯断言,“据我所知,他们当时并不知道违规行为。”;
Smith将此漏洞描述为人为错误和技术故障的结果:负责确保修补Apache Struts软件(攻击者利用了一个众所周知的漏洞)的人员未能做到这一点,而本应向公司发出该错误警报的扫描仪也失败了;
该公司对危机的反应也受到了批评:设立了一个网址可疑的WordPress网站,未能保护类似的域名(甚至将客户引导到其中一个域名),未能为呼叫中心配备足够的人手,并普遍给人留下这样的印象:该公司的存在是为了收集信息,保护和出售敏感数据——对其数据库遭到网络攻击完全没有准备。俄克拉荷马州共和党众议员马科韦恩·穆林(Markwayn Mullin)告诉史密斯,他的回答应该像是拉响了火警:“马上就可以了。”史密斯回答说,他的团队“遵守了协议”。几位代表提到,史密斯在一次演讲中把欺诈描述为“巨大的机会”;8月份,在他知道这起违规事件后,他又开始了“大规模、不断增长的业务”。
史密斯拒绝回答有关袭击来源的问题,包括是否可能是国家行为体。他只是说联邦调查局正在进行调查。他在任职期间为Equifax在网络安全方面的投资辩护说,当他12年前上任时,几乎没有在数据保护方面的投资。史密斯说,公司花费了25亿美元,聘请了一个225人的团队来保护公司的数据,并将行业标准的IT预算的10-14%投资于网络安全;
一些代表表示,这一违规行为引发了有关信贷监控行业的作用和消费者权利的根本问题。&如果我想选择我们的Equifax怎么办?&“沙考斯基”问道。史密斯回答说,“这需要围绕信用报告机构的角色展开更广泛的讨论。”纽约民主党众议员通科也表达了同样的看法,他指出,他并不是真正的客户,从未选择与Equifax做生意。&为什么允许这家公司继续存在?&他问。在不同的时候,史密斯质疑社会保险号码作为证明身份的一种方式的价值,并含糊不清地提到将权力还给消费者;
当天最大的问题来自加州民主党人松井多丽丝;我拥有我的数据吗? &史密斯无法回答。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论