Equifax Inc.(EFX)于2017年9月7日宣布,其5.43亿客户受到5月中旬至7月间黑客攻击的影响。 该数字在接下来的几周内增加到1.455亿,然后在2018年3月1日增加到1.479亿,当时该公司表示已发现240万受害者。
当天收市后,该公司报告了第四季度和全年财务业绩。 该公司第四季度收入同比增长5%至8.385亿美元。 本季度净收入同比增长40%至1.723亿美元。 与2016年相比,全年收入和利润也有所增长:收入增长7%至34亿美元,而净收入增长20%至5.873亿美元。 该公司表示,这次黑客行动在第四季度花费了2, 650万美元,在扣除保险支出后,全年花费了1.140亿美元。 该股收盘跌1.3%,与标准普尔500指数持平,在撰写本文时的盘后交易中上涨了0.6%。
据Equifax称,多达209, 000个客户的信用卡号被泄露,与182, 000名美国消费者有关的争议文件(包括个人信息)也遭到破坏。 英国消费者也受到违约行为的影响; 一些加拿大人有可能受到损害。 据《华尔街日报》援引一位不愿透露姓名的消息来源称,该违规行为盗窃了1, 090万美国人的驾驶执照数据。
该公司自7月29日以来就知道了这次袭击事件,但等待了一个多月才向公众发出警报。 据报道,9月20日,由Equifax签约的FireEye Inc.(FEYE)子公司Mandiant估计该漏洞至少可以追溯到3月10日。
联邦调查局正在调查有关攻击来源的信息,但据彭博社报道,与先前对人事管理办公室和国歌公司的攻击相似,这表明攻击者可能是国家赞助的,也许是中国人。 Equifax客户的信息没有在黑市上露面也表明,黑客不仅仅是罪犯。 彭博社还报告说,攻击者针对特定的个人,可能是因为他们的财富或智力价值。
鉴于美国的成年人口约为2.5亿,因此您很有可能受此漏洞影响。 自从攻击开始于近六个月以来,您很可能已经成为欺诈的受害者。
总部位于亚特兰大的Equifax是三大消费信用报告机构之一-其他两家是Experian PLC(伦敦:EXPN)和TransUnion(TRU)-收集包括社会安全号,信用卡号,驾驶执照号,房租和公用事业费的数据付款信息和人口统计数据。 由于Equifax的模型主要是企业对企业的模型,因此许多客户不知道他们的数据是由公司存储的。 除了完全避免财务和信用体系外,没有直接的方法选择退出Equifax存储个人数据。 (另请参阅“ 历史上5个最大的信用卡数据黑客”。 )
如何检查您是否受到影响
Equifax建立了一个站点,您可以在其中提供您的姓氏和社会安全号码的后六位,以检查您的信息是否受到损害。 该网站一直受到强烈批评,由于有关其安全性的问题,我们已删除了该链接。 它是使用现成的博客平台WordPress建立的。 它位于Equifax主站点的单独域中。 该公司忽略了注册类似的URL,这些URL可能被用于网络钓鱼攻击。 一位白帽黑客建立了一个这样的网站来证明这一点,而一个正式的Equifax帐户在推特上发布了指向该假网站的链接。 不止一次。
Equifax为客户(无论是否受影响)提供了以下服务,该服务称为TrustedID Premier:Equifax信用报告的副本,所有三个主要信用机构的信用监控和自动警报,能够阻止第三方访问您的Equifax信用报告(例外),社会安全号码监控和100万美元的身份盗窃保险。 申请截止日期为2017年11月21日。
该公司表示,这些服务都是免费的,但是冻结信用档案上的安全最初并不是免费的-至少不是每个人都可以。 当我试图在9月8日冻结Equifax信用档案时,该公司的网站表示该服务的费用为3.00美元,并要求提供信用卡信息以处理付款。
作为纽约居民,我可以免费冻结我的Experian文件。 TransUnion的站点最初无法处理请求-可能是流量增加的症状-但后来允许我免费冻结。
Equifax发言人在9月14日通过电子邮件发送的声明中告诉Investopedia,该公司将免除冻结信用文件的所有费用,并会在黑客被公开后自动退还付费的客户。 公司发给冻结信用报告的客户的PIN引起了新的担忧-安全性明显下降。 这些PIN使客户可以取消冻结信用报告,并遵循易于识别的模式。 发言人说,使用这些错误PIN的客户必须致电866-349-5191与现场代理通话。
免费提供的TrustedID Premier服务Equifax列表仅一年免费。 Equifax发言人告诉Investopedia,当客户注册该服务时,该公司不会要求提供信用卡信息,并且该公司不会自动续订或收取费用。 Equifax的信用监控标准费率为每月$ 17。
如果您受到影响该怎么办
NerdWallet的个人理财作家Liz Weston为受Equifax违规影响的人提供了以下建议,她在与Investopedia的电子邮件中分享了这些信息:“ Equifax将与受害人联系并向他们提供信用监控。受害者应确保同意进行监视并不能阻止他们参与诉讼或其他行动。”
最初,TrustedID Premier的服务条款页面(存档版本)确实要求用户放弃其参加针对Equifax的集体诉讼的权利:“通过同意将您的主张提交仲裁,您将丧失提出或参加的权利。参与任何集体诉讼(无论是作为指定原告还是集体成员),或分享任何集体诉讼裁决,包括尚未获得集体认证的集体诉讼,即使已经根据其提出申诉的事实和情况或存在。” 强烈反对之后,公司的“常见问题解答”页面进行了更新,说该条款适用于TrustedID Premier服务,而不适用于黑客。 从9月12日上午开始,服务条款不再包含仲裁条款。
韦斯顿说,受影响的客户应考虑冻结所有三个主要机构的信用报告。 如上所述,征信机构可能会收取冻结费用。 当您需要信用检查(例如,申请手机服务)时,也可能需要为解冻帐户付费。 这些费用通常不到10美元,但可以加起来。 韦斯顿指出,另一种选择是在三个征信机构的信用报告上放置欺诈警报。 (有关更多信息,请参见 如何从身份盗用中恢复 。)
也可以使用非Equifax赞助的其他信用监控服务。 身份盗窃保护服务:值得拥有吗? 列出其中几个供您调查。
Equifax的回应
Equifax当时的董事长兼首席执行官理查德·史密斯(Richard Smith)在遭到黑客攻击后表示,“这显然对我们公司来说是令人失望的事件,这是我们是谁以及我们做什么的核心。” 他于9月26日辞职,2017年将不会获得奖金。他的离职是在9月14日首席安全官Susan Mauldin和首席信息官David Webb离开之后。
在公司内部发现黑客攻击的几天后,即在漏洞被公开之前,Equifax的首席财务官John Gamble,其劳动力解决方案总裁Rodolfo Ploder和其美国信息解决方案总裁Joseph Loughran出售了他们的Equifax股票。 Equifax在一份声明中说,高管们在出售股票时并不知道违规行为。 Gamble,Ploder和Loughran的销售收入总计近180万美元。
截至2月28日,Equifax的股价已从9月7日的收盘价(宣布被黑客入侵之前)下跌20.1%,至113.00美元。 经过几次延迟后,Equifax表示将在3月1日收盘后报告第四季度收益。
让诉讼开始
路透社在9月11日报道说,在美国法院已经对Equifax提起了30多次诉讼-其中许多正在寻求集体诉讼。 几项指控违反了证券法; 其他人则指责TrustedID向受数据泄露影响的客户提供昂贵的服务。 五个犹他州居民因未能保护客户的敏感数据而在美国地方法院起诉该公司。 该诉讼要求赔偿50亿美元的金钱损失,并实行更严格的行业标准。
一些受影响的客户在寻求Equifax的追索权时走的是一条不太传统的路线。 DoNotPay聊天机器人可协助在州小额钱债法庭提起诉讼,最高刑罚在2500美元到25, 000美元之间。 据Verge称,该机器人只能为诉讼生成文书,而不能实际归档或出庭。
FBI和总部位于亚特兰大的美国检察官约翰·霍恩(John Horn)于9月18日宣布对该违规行为进行刑事调查。美国消费者金融保护局(Consumer Financial Protection Bureau)和34个州的检察长正在调查。
史密斯先生去华盛顿
10月3日,前首席执行官Richard Smith在众议院数字商务和消费者保护小组委员会作证。 他多次对Equifax未能保护消费者数据表示歉意,并面临与违规和Equifax的响应相关的一系列问题的疑问。 证词后,该公司的股票上涨,但仍远低于其被披露前的交易价。
对于最初包含在TrustedID Premier服务条款中的有争议的仲裁条款的问题,史密斯表示,“样板”条款从未打算适用于该违规行为,并将其包括在内是“错误”。 他不会说与管辖其他Equifax服务的类似条款相同,他称之为“标准”。
可疑的定时执行股票销售也受到了审查:伊利诺伊州民主党众议员Jan Schakowsky表示,出售“没有通过气味测试”,但史密斯得出结论,“据我所知,他们不知道”当时的漏洞。
史密斯(Smith)描述了该漏洞是人为错误和技术故障的结果:负责确保修补Apache Struts软件(该漏洞具有被攻击者利用的众所周知的漏洞)的负责人没有这样做,而本应具有扫描程序的通知公司该错误也失败了。
该公司对危机的虚弱反应也引起了批评:建立一个带有可疑URL的WordPress网站,未能保护相似域(甚至无法将客户定向到这些域之一),未能充分配备呼叫中心人员以及通常创建这家公司的存在是为了收集,保护和出售敏感数据,而这种印象完全没有为数据库遭受网络攻击做好准备。 俄克拉荷马州共和党众议员Markwayne Mullin告诉史密斯,他的反应应该像拉动火警一样:“它立即就位。” 史密斯回应说,他的团队“遵循了协议”。 几位代表提到,史密斯在得知违规行为后于8月发表讲话,将欺诈行为描述为“巨大机遇”和“庞大,成长中的业务”。
史密斯拒绝回答有关袭击源头的问题,包括是否可能是国家行为者。 他只是说联邦调查局正在进行调查。 他在任职期间为Equifax在网络安全方面的投资进行了辩护,他说,十二年前他到任时,实际上没有对数据保护的投资。 史密斯说,该公司花费了25亿美元,并雇用了225人的团队来保护公司的数据,并将公司IT预算的行业标准的10-14%用于网络安全。
一些代表表示,该违约行为对信用监控行业的作用和消费者权益提出了根本性的质疑。 “如果我想选择Equifax,该怎么办?” 沙科夫斯基问。 史密斯回答说:“这需要围绕信用报告机构的作用进行更广泛的讨论。” 纽约民主党众议员Tonko对此表示赞同,并指出他并不是真正的“客户”,他从未选择与Equifax做生意。 “为什么允许这家公司继续存在?” 他问。 在不同的时候,史密斯都质疑社会安全号码作为证明身份的一种方法的价值,并模糊地提及“将权力返还给消费者”。
当天最大的问题来自加利福尼亚民主党人多里斯·松井(Doris Matsui):“我拥有我的数据吗?” 史密斯无法回答。 (另请参见, 区块链可以使您(而不是Equifax ) 成为您的数据所有者。 )
