Brian Curtis
0 
2095
375
V tiché odpoledne začátkem září 2017 společnost Equifax odhalila mimořádné porušení bezpečnosti, které podle odhadů zasáhlo téměř 200 milionů lidí na celém světě. Vzhledem k tomu, že společnost toto porušení poprvé objevila v červenci, mělo to poskytnout dostatek času na přípravu odpovědi a řešení pro všechny postižené osoby. Místo toho společnost Equifax poskytla světu dokonalý příklad toho, jak ne zvládnout závažné narušení bezpečnosti.
Z ohromného rozsahu úniku dat, matoucího právníka a ohavně nejistých webových stránek s odpovědí měl Equifax všechno. Přidejte další obvinění z obchodování zasvěcených osob, špatné komunikace, 30 procentního poklesu hodnoty akcií a dalších úniků dat a zdálo se, že se společnost připravila na dramatický pokles milosti. Dobře, stejně jako agentura pro hlášení úvěrů, nikdy jste výslovně nesouhlasili s předáním citlivých údajů, které můžete mít.
EquiBreach
První prohlášení společnosti Equifax o porušení uvádí, že až 144 milionů Američanů mohlo mít své úvěrové informace ohroženy. To zahrnovalo jména, adresy, čísla sociálního zabezpečení (SSN), data narození a finanční záznamy. Společnost také uvedla, že do porušení bylo zahrnuto číslo kreditní karty pro 209 000 amerických zákazníků. Kromě toho došlo k úniku záznamů o sporech s osobními identifikačními informacemi pro 189 000 jednotlivců.
Počáteční zprávy v médiích odkazovaly na postižené jednotlivce jako na zákazníky společnosti Equifax. Nejste však ve skutečnosti zákazníkem společností Equifax, Experian, TransUnion ani jiné agentury pro hlášení úvěrů. Tyto agentury shromažďují údaje od řady různých poskytovatelů služeb a finančních produktů. Data jsou pak použita k vygenerování vašeho úvěrového skóre, což umožňuje věřiteli posoudit riziko, které představují. Žádáte o půjčku, kreditní kartu nebo hypotéku? Takto se rozhoduje.
Posouzení dopadů a TrustedID Premier
Aby vám kompenzoval ztrátu dat téměř poloviny americké dospělé populace, společnost Equifax zřídila web, equifaxsecurity2017.com. Zde můžete zadat své jméno a částečné SSN a zjistit, zda vaše údaje byly mezi těmi, které unikly. Navíc se můžete přihlásit k jejich službě TrustedID Premier. Jedná se o zprávu o třech úřadech a monitorovací nástroj SSN, který je pro americké spotřebitele rok doplňkový.
Přesto ve svém počátečním odhalení a týden poté Equifax pozoruhodně mlčel o detailech. Typ útoku, viník, a proč byl schopen tak dlouho, bez detekce, zůstal tajemstvím.
To vedlo mnoho lidí k podezření, že na straně Equifaxu byla chyba. O šest dní později a po obrovských veřejných pobouřeních a intervencích bipartisanské skupiny senátorů Equifax konečně připustil, že útok použil známé vykořisťování Apache Strut (CVE-2017-5638) - náplast, pro kterou byl propuštěn v březnu 2017, dva měsíce před porušením Equifaxu. To prokázalo, že stejně jako u WannaCry dříve v roce Globální útok Ransomware a jak chránit vaše data Globální útok Ransomware a jak chránit vaše data Masivní počítačový útok zasáhl počítače po celém světě. Byl jste ovlivněn vysoce virulentním samoreplikujícím se ransomwarem? Pokud ne, jak můžete chránit svá data bez zaplacení výkupného? , neaktualizace softwaru může mít devastující důsledky.
Nejen američtí spotřebitelé
Ačkoli to nebylo od začátku zveřejněno, Equifax byl nucen přiznat, že informace pro “omezený počet” U.K. a obyvatel Kanady byl také zahrnut do porušení. Až 44 milionů spotřebitelů UK možná ani nevědělo, že americká úvěrová agentura má svá data. Poskytly jim však společnosti včetně společností BT, British Gas a Capital One. V pátek 15. září oznámila agentura U.K. úvěrové agentury, že bylo zasaženo 400 000 obyvatel UK. Tento podezřelý pokus pohřbít zprávy odhalil “selhání procesu” který trval půl dekády. Přesto nebyly poskytnuty žádné pokyny pro obyvatele Spojeného království nebo Kanady.
Webové stránky společnosti Equifax jsou strasti
Z důvodů, které dosud nebyly vysvětleny, spustila společnost Equifax samostatnou webovou stránku pro jejich reakci na narušení. Vzhledem k tomu, že web byl vytvořen v reakci na závažné narušení bezpečnosti, představovali byste si všechna opatření, která by byla přijata k zajištění toho, aby byl web zářícím majákem stability. Místo toho je ohromil velký objem amerických spotřebitelů, kteří si přáli zkontrolovat své informace. Mnoho z nich proto nemělo přístup na web ani nenačítalo výsledky svého posouzení dopadu.
@briankrebs Už jste viděli, že OpenDNS blokuje stránku registrace do Equifaxu? Voláte to spam? pic.twitter.com/xqvr8wJyM0
- Nick Frichette (@Frichette_n) 8. září 2017
I když počet návštěv navštěvujících web mohl být větší, pokud by to nebylo pro špatnou konfiguraci webu. V knize většiny lidí by web mimo doménu s pochybnými klíčovými slovy vypadal jako podvod typu phishing. Zdálo se, že OpenDNS souhlasí, a pro mnoho uživatelů zablokoval přístup na web. Chcete-li zvýšit pocit ironie, k dokončení hodnocení musíte zadat posledních šest číslic vašeho SSN. Toto jsou stejná data, která společnost Equifax již dokázala, že nemohou chránit!
Neověřitelné výsledky
Během několika hodin od spuštění webu se objevily zprávy, že jste nemohli ani důvěřovat výsledkům jejich posouzení dopadu. Vícenásobné zadávání stejných údajů by poskytlo odlišné odpovědi ohledně toho, zda vás to ovlivnilo. Někteří lidé se dokonce pokusili zadat vědomě nepravdivé informace. S obavami zjistili, že Equifax řekne neexistující osobě, že jejich údaje byly prozrazeny.
Takže k Equifaxu. Můj šéf právě zadal falešné jméno se svým sociálním číslem svého 9letého syna a web řekl, že byl zasažen.
- G.?? (@oh_sovivacious) 8. září 2017
Pokud jste byli ochotni souhlasit s tím, že vaše data byla ve skutečnosti porušena, Equifax vás pozdravil s vágním prohlášením o porušení a vyzval vás, abyste se zaregistrovali do TrustedID Premier. Vzhledem k tomu, že Equifax byl zdrojem porušení, zdá se, že je ve špatném vkusu, že by vás povzbudili, abyste se zaregistrovali ke své bezplatné bezplatné zkušební službě na ochranu proti podvodům.
OMG, bezpečnostní kódy PIN společnosti Freifax jsou horší, než jsem si myslel. Pokud například zmrazíte svůj kredit dnes, například 14:15 ET, získáte kód PIN 0908171415.
- Tony Webster (@webster) 9. září 2017
Ti, kteří se zaregistrovali do TrustedID Premier, byli schopni provést zmrazení kreditu a obdrželi potvrzovací PIN. PIN se však jevil jako časové razítko, kdy bylo provedeno zmrazení. Tím by byl PIN zbytečný - mohl by se snadno uhodnout, což by umožnilo každému odemknout vaše zmrazení kreditu. Přes počáteční popření, Equifax později řekl, že přecházeli na novou metodu, která by náhodně generovala PIN. Kromě toho by spotřebitelům umožnili požádat o zaslání nového kódu PIN na svou zaregistrovanou poštovní adresu.
The Legalese Debacle
Když společnost Equifax poprvé spustila webovou stránku equifaxsecurity2017, zdálo se, že podmínky služby TrustedID Premier naznačují, že služba bude používat, že jste se v budoucnu vzdali svého práva účastnit se jakékoli soudní žaloby proti společnosti. Rozruch u této vnímané nespravedlnosti přiměl Equifax vydat aktualizaci následující den. Nyní uvedli, že rozhodčí doložka se na narušení bezpečnosti nevztahuje.
Equifax nabízí monitorování a ochranu před krádeží identity pkg, ale v drobném tisku, rozhodčí doložka a vzdání se akce třídy 1/3 pic.twitter.com/8F58B5qh4w
- Rhana Natour (@RNatourious) 8. září 2017
To jen málo ujistilo lidi, kteří byli pochopitelně nepřesvědčeni, což vedlo k dalšímu prohlášení téměř o týden později, v němž bylo uvedeno, že jsou “odstranili tento jazyk ze smluvních podmínek Premier TrustedID Premier a nevztahuje se na bezplatné produkty nabízené v reakci na incident s kybernetickou bezpečností ani na nároky související s incidentem kybernetické bezpečnosti samotným. Rozhodčí jazyk se nebude vztahovat na žádného spotřebitele, který se zaregistroval před odstraněním jazyka.”
Přijato k úkolu
V kroku, který společnost Equifax tvrdí, že je to úplná náhoda, dva dny poté, co poprvé objevili porušení, prodali tři vedoucí pracovníci akcie v celkové hodnotě 1,8 milionu USD. Tento významný prodej byl jen několik dní po zjištění porušení, ale více než měsíc před jeho zveřejněním. Pokud by jednotlivci věděli o narušení bezpečnosti, byli by v rozporu se zákony o obchodování zasvěcených osob. Jejich vědomě či jinak byl jejich včasný prodej šťastný. V době psaní se akcie Equifaxu od zveřejnění porušení snížily o 30 procent.
Skupina 36 senátorů Bipartisanu zasílá dopis SEC, DOJ a FTC s žádostí o vyšetřování prodeje akcií společnosti Equifax po porušení dat. pic.twitter.com/xEApcjFFkP
- Kyle Griffin (@ kylegriffin1) 13. září 2017
Vzhledem k vysoce citlivé povaze narušení je mnoho postižených jednotlivců pochopitelně kritických vůči zjevné laxní bezpečnosti společnosti Equifax. Například USA Today uvedly, že během několika dní po zveřejnění bylo proti agentuře pro hlášení úvěrů podáno 23 soudů ve 14 státech. Jak uvádí Bloomberg, soudní žaloba podaná v Oregonu požaduje náhradu škody až 7 miliard dolarů. I kdyby soud měl tak velkou částku přiznat, rovná se to téměř 500 USD na osobu. Vypadá to dost na kompenzaci celoživotního rizika krádeže identity?
Joshua Browder, tvůrce robota DoNotPay, rozšířil svou funkčnost, aby zjednodušil proces podávání žádostí o náhradu škody způsobené porušením systému Equifax u soudu pro drobné nároky. To je obdivuhodné a jde o dlouhou cestu k tomu, aby byla složitá právní dokumentace snadněji strávitelná. Některé zprávy však tvrdily, že bota DoNotPay, která byla původně vyvinuta, aby vám pomohla bojovat s pokutami za parkování, by celý proces mohla automatizovat. Jak poznamenává TechCrunch, vše, co bot dělá, je pomoc s počátečním papírováním - stále musíte bojovat proti případu u soudu.
Trvalá bolest hlavy po celém světě
Pokud by existovaly jakékoli pochybnosti o špatných bezpečnostních postupech společnosti Equifax, pak je pravděpodobné, že to zcela odstraní příklad z argentinské paže společnosti Equifax. Jako první byl zveřejněn portál KrebsOnSecurity, že online portál používaný zaměstnanci k řešení úvěrových sporů s názvem Veraz (ve španělštině znamená pravdivý) byl shledán zranitelným. Můžete očekávat, že zranitelnost bude technická, ale místo toho to byla jedna z nejzákladnějších chyb zabezpečení: chybná hesla. Neuvěřitelně zjednodušující a v mnoha případech výchozí, uživatelské jméno a heslo kombinace admin / admin umožnil každému, kdo se stal na tomto webu, přihlásit se na zaměstnanecký portál.
Obrázek Kredit: KrebsOnSecurity
Šokující vám to umožnilo prohlížet, upravovat a mazat uživatelská jména a hesla pro více než 100 argentinských zaměstnanců Equifaxu. V každém případě bylo shledáno, že hesla prostého textu jsou stejná jako uživatelské jméno zaměstnance. Pokud to nebylo dost závažné, byla na webu oblast se 715 stránkami podrobných zpráv o každé stížnosti nebo sporu zaznamenané u společnosti Equifax. Tyto informace zahrnovaly DNI (argentinský ekvivalent SSN) pro více než 14 000 lidí - opět vše v prostém textu. Equifax rychle kontaktoval web offline poté, co byl kontaktován KrebsOnSecurity, a v současné době zkoumá jejich nejnovější bezpečnostní faux pas.
Co můžeš udělat?
Prvním krokem je použití webové stránky společnosti Equifax ke kontrole, zda vaše data byla narušením narušena. Jak zkontrolovat, zda vaše data byla odcizena při porušení zásady Equifax Jak zkontrolovat, zda vaše data byla odcizena ve zprávách o porušení zásady Equifax právě vynořila porušení dat společnosti Equifax to ovlivňuje až 80 procent všech amerických kreditních karet. Jste jeden z nich? Zde je návod, jak to zkontrolovat. . Protože však výsledky mohou být nekonzistentní, může být nejlepší předpokládat, že vás to ovlivnilo. Protože společnost nyní vyjasnila jazyk kolem, přihlaste se k jejich službě TrustedID Premier. To vám umožní provést zmrazení kreditu Jak zabránit krádeži identity zmrazením vašeho kreditu Jak zabránit krádeži identity zmrazením vašeho kreditu Vaše osobní údaje byly ohroženy, ale vaše totožnost dosud nebyla odcizena. Existuje něco, co můžete udělat pro zmírnění vašich rizik? Dobře, můžete zkusit zmrazit svůj kredit - tady je návod. , a zastavte kohokoli, kdo otevírá kredit na vaše jméno. Vzhledem k citlivé povaze dat ztracených v úniku existuje riziko, že podvodníci mohou prodávat své zboží, takže buďte ostražití před sociálním inženýrstvím Jak se chránit před těmito 8 útoky sociálního inženýrství Jak se chránit před těmito 8 útoky sociálního inženýrství Co sociální technické techniky, které by hacker použil a jak byste se před nimi chránili? Pojďme se podívat na některé z nejčastějších metod útoku. a phishingové podvody Jak rozpoznat phishingový e-mail Jak najít phishingový e-mail Chytání phishingového e-mailu je těžké! Podvodníci představují PayPal nebo Amazon, snaží se ukrást vaše heslo a informace o kreditní kartě, protože jejich podvod je téměř dokonalý. Ukážeme vám, jak zjistit podvod. .
V důsledku mnoha narušení dat vám často doporučujeme změnit hesla, začít používat správce hesel Jak si správci hesel udržují vaše hesla v bezpečí Jak manažeři hesel udržují vaše hesla v bezpečí Hesla, která je obtížné crackovat, je také obtížně zapamatovatelná. Chcete být v bezpečí? Potřebujete správce hesel. Tady je, jak fungují a jak vás udržují v bezpečí. , přihlaste se k HaveIBeenPwned Zkontrolovat nyní a zjistit, zda vaše hesla někdy unikla Zkontrolujte, zda a vaše hesla již někdy unikla Tento šikovný nástroj vám umožní zkontrolovat jakékoli heslo a zjistit, zda se někdy stalo součástí úniku dat. , povolte dvoufaktorové ověřování Co je dvoufaktorové ověření a proč byste ho měli používat Co je dvoufaktorové ověřování a proč byste měli používat dvoufaktorové ověřování (2FA) je bezpečnostní metoda, která vyžaduje dva různé způsoby dokazování vaši identitu. Běžně se používá v každodenním životě. Například platba kreditní kartou vyžaduje nejen kartu,… pokud je to možné, a zlepšit vaši kybernetickou hygienu Zlepšení kybernetické hygieny v 5 jednoduchých krocích Zlepšení kybernetické hygieny v 5 jednoduchých krocích V digitálním světě je „kybernetická hygiena“ stejně důležitá jako osobní hygiena v reálném světě. Je třeba pravidelně kontrolovat systém a nové, bezpečnější online návyky. Jak ale můžete tyto změny provést? . Zatímco žádný z nich vás přímo neochrání před únikem Equifaxu, zpřísnění bezpečnosti vám neublíží. Možná za daných okolností by dokonce stálo za to jít na míli navíc a provést úplnou bezpečnostní kontrolu. Chraňte se s roční kontrolou bezpečnosti a ochrany osobních údajů Chraňte se s roční kontrolou bezpečnosti a ochrany osobních údajů Jsme téměř dva měsíce do nového roku, ale je tu stále je čas na pozitivní rozhodnutí. Zapomeňte na pití méně kofeinu - mluvíme o tom, jak podniknout kroky k zabezpečení online bezpečnosti a soukromí. .
Equihaxxed
Porušení Equifaxu bude s největší pravděpodobností standout bezpečnostní událostí v roce nekontrolovatelným s narušením dat a útoky ransomware. Stejně jako u jiných vysoce významných bezpečnostních událostí, jako je WannaCry a nekonečný tok úniků dat, existuje v ohromující povaze narušení Equifaxu stříbrná podšívka. Upozorněním veřejnosti na bezpečnost údajů, vykazování úvěrů a nesprávné praktiky podniků je možné tyto záležitosti projednat a zmírnit. Silná reakce mnoha amerických senátorů snad zajistí, že toto porušení nezmizí na pozadí. Společnost Equifax alespoň připustila, že jsou nutné určité personální změny - hlavní informační úředník a hlavní bezpečnostní úředník “v důchodu” jako výsledek.
Přes svůj vysoký profil a obrovský rozsah stále neexistují žádné informace o tom, kdo byli útočníci. Equifax v této záležitosti zůstal naprosto mlčenlivý - v souladu se zbytkem špatně zvládané reakce. Jen několik dní po zveřejnění narušení se objevila skupina, která požadovala data a požadovala výkupné 600 bitcoinů. Poté, co vědci objevili hostitelskou službu webu .onion, byla okamžitě vypnuta.
Odděleně skupina, která se nazývala Equihax, také prohlašovala, že vlastní data, ale neposkytla žádný ověřitelný důkaz. Vzhledem k potenciálně lukrativním datům si můžete být jisti, že to nebude trvat dlouho, než se hackeři pokusí o hotovost.
Byli jste ovlivněni narušením bezpečnosti Equifaxu? Myslíte si, že Equifax je na vině, a mohli udělat víc, aby vás ochránili? Dejte nám vědět v komentářích!
Obrázek Kredit: stevanovicigor / Depositphotos