Naruszenie danych Equifax w 2017 r
Wyciek danych Equifax miał miejsce między majem a lipcem 2017 r. w amerykańskim biurze kredytowym Equifax . Prywatne dane 147,9 miliona Amerykanów, 15,2 miliona obywateli Wielkiej Brytanii i około 19 000 obywateli Kanady zostały naruszone w wyniku naruszenia, co czyni to jedno z największych cyberprzestępstw związanych z kradzieżą tożsamości. W ramach ugody z Federalną Komisją Handlu Stanów Zjednoczonych Equifax zaoferował zainteresowanym użytkownikom fundusze rozliczeniowe i bezpłatne monitorowanie kredytu.
W lutym 2020 roku rząd Stanów Zjednoczonych oskarżył członków Chińskiej Armii Ludowo-Wyzwoleńczej o włamanie do Equifax i grabież poufnych danych w ramach masowego napadu, który obejmował również kradzież tajemnic handlowych, chociaż Komunistyczna Partia Chin zaprzeczyła tym twierdzeniom.
Naruszenie danych
Kluczowa poprawka bezpieczeństwa dla Apache Struts została wydana 7 marca 2017 r. Po wykryciu luki w zabezpieczeniach i wezwano wszystkich użytkowników platformy do natychmiastowej aktualizacji. Eksperci ds. bezpieczeństwa wykryli nieznaną grupę hakerów, która próbowała znaleźć strony internetowe, które nie zaktualizowały Struts już 10 marca 2017 r., aby znaleźć system do wykorzystania.
Jak ustalono na podstawie analizy pośmiertnej, naruszenie w Equifax rozpoczęło się 12 maja 2017 r., kiedy Equifax nie zaktualizowało jeszcze swojej witryny sporów kredytowych o nową wersję Struts. Hakerzy wykorzystali exploita, aby uzyskać dostęp do wewnętrznych serwerów w sieci korporacyjnej Equifax. Informacje zebrane najpierw przez hakerów obejmowały wewnętrzne dane uwierzytelniające pracowników Equifax, które następnie umożliwiły hakerom przeszukiwanie baz danych monitorowania kredytów pod przykrywką autoryzowanego użytkownika. Używając szyfrowania do dalszego maskowania swoich poszukiwań, hakerzy wykonali ponad 9000 skanów baz danych, wyodrębnili informacje do małych tymczasowych archiwów, które następnie zostały przeniesione z serwerów Equifax, aby uniknąć wykrycia, i usunęli tymczasowe archiwa po zakończeniu. Działania trwały przez 76 dni do 29 lipca 2017 r., kiedy Equifax wykrył naruszenie, a następnie do 30 lipca 2017 r. zamknął exploita. Co najmniej 34 serwery w dwudziestu różnych krajach były używane w różnych momentach włamania, co utrudniało śledzenie sprawców. Chociaż brak aktualizacji Struts był kluczową awarią, analiza naruszenia wykazała dalsze błędy w systemie Equifax, które ułatwiły wystąpienie naruszenia, w tym niezabezpieczony projekt sieci, któremu brakowało wystarczającej segmentacji, potencjalnie nieodpowiednie szyfrowanie danych osobowych ( PII) oraz nieskuteczne mechanizmy wykrywania naruszeń .
Informacje, do których uzyskano dostęp podczas naruszenia, obejmowały imiona i nazwiska, numery ubezpieczenia społecznego, daty urodzenia, adresy oraz, w niektórych przypadkach, numery praw jazdy około 143 milionów Amerykanów, na podstawie analizy przeprowadzonej przez Equifax. Naruszone zostały również informacje dotyczące szacowanego zakresu od poniżej 400 000 do 44 milionów mieszkańców Wielkiej Brytanii, a także 8 000 mieszkańców Kanady. Dotknęło to również dodatkowych 11 670 Kanadyjczyków, co zostało później ujawnione przez Equifax. Uzyskano również dostęp do numerów kart kredytowych około 209 000 konsumentów w USA oraz niektórych dokumentów dotyczących sporów zawierających dane osobowe około 182 000 konsumentów w USA.
Od czasu pierwszego ujawnienia we wrześniu 2017 r. Equifax zwiększył liczbę rekordów, do których uzyskano dostęp. Zarówno w październiku 2017 r., jak i marcu 2018 r. Equifax poinformował, że uzyskano dostęp odpowiednio do dodatkowych 2,5 i 2,4 miliona amerykańskich rekordów konsumentów, co daje łączną liczbę 147,9 miliona. Equifax zawęził swoje szacunki dotyczące brytyjskich konsumentów dotkniętych naruszeniem do 15,2 miliona w październiku 2017 r., z czego 693 665 ujawniło wrażliwe dane osobowe . Equifax oszacował również, że liczba praw jazdy, które zostały naruszone podczas ataku, wyniosła 10-11 milionów.
Eksperci ds. bezpieczeństwa spodziewali się, że lukratywne prywatne dane pochodzące z naruszenia zostaną odwrócone i sprzedane na czarnych rynkach i w ciemnej sieci , chociaż od maja 2021 r. nie było żadnych oznak sprzedaży tych danych. Ponieważ dane nie pojawiły się natychmiast w ciągu pierwszych 17 miesięcy po naruszeniu, eksperci ds. blisko naruszenia lub że za naruszeniem stało państwo narodowe i planuje wykorzystać dane w sposób niefinansowy, na przykład do szpiegostwa.
Ujawnienie i odpowiedzi krótkoterminowe
7 września 2017 r. firma Equifax ujawniła naruszenie i jego zakres: dotykające ponad 140 milionów Amerykanów. VentureBeat nazwał ujawnienie danych ponad 140 milionów klientów „jednym z największych naruszeń danych w historii”. Akcje Equifax spadły o 13% na początku handlu dzień po upublicznieniu naruszenia. Liczne media doradzały konsumentom, aby złożyli wniosek o zamrożenie kredytu w celu zmniejszenia skutków naruszenia.
10 września 2017 r., trzy dni po ujawnieniu naruszenia przez Equifax, kongresman Barry Loudermilk (R-GA), który otrzymał od Equifax dofinansowanie kampanii w wysokości dwóch tysięcy dolarów, przedstawił Izbie Reprezentantów USA projekt ustawy , który ograniczyłby ochronę konsumentów w odniesieniu do krajowych biur kredytowych, w tym ograniczenie potencjalnych szkód w pozwie zbiorowym do 500 000 USD, niezależnie od wielkości grupy lub kwoty straty. Ustawa wyeliminowałaby również wszelkie odszkodowania karne . Po krytyce ze strony rzeczników konsumentów, Loudermilk zgodził się opóźnić rozpatrzenie ustawy „w oczekiwaniu na pełne i kompletne dochodzenie w sprawie naruszenia Equifax”.
15 września firma Equifax wydała oświadczenie, w którym ogłosiła natychmiastowe odejście i zastąpienie jej dyrektora ds. informacji i dyrektora ds. bezpieczeństwa. Oświadczenie zawierało szczegółowe informacje na temat włamania, jego potencjalnych konsekwencji dla konsumentów oraz reakcję firmy. Firma poinformowała, że 2 sierpnia zatrudniła firmę zajmującą się cyberbezpieczeństwem Mandiant w celu wewnętrznego zbadania włamania. W oświadczeniu nie określono, kiedy władze rządowe USA zostały powiadomione o naruszeniu, chociaż stwierdzono, że „firma nadal ściśle współpracuje z FBI w dochodzeniu”.
28 września nowy dyrektor generalny Equifax, Paulino do Rego Barros Jr., odpowiedział na krytykę Equifax, obiecując, że firma od początku 2018 r. Zezwoli „wszystkim konsumentom na możliwość kontrolowania dostępu do ich osobistych danych kredytowych” oraz że ta usługa będzie być „oferowane za darmo, na całe życie”.
26 października Equifax powołał dyrektora ds. technologii, Scotta A. McGregora, do swojej rady dyrektorów. Ogłaszając zmianę, przewodniczący zarządu zwrócił uwagę na „rozległe doświadczenie w zakresie bezpieczeństwa danych, cyberbezpieczeństwa, technologii informatycznych i zarządzania ryzykiem” McGregora. The Wall Street Journal poinformował, że dołączył do komitetu technologicznego zarządu, którego obowiązki obejmują nadzór nad cyberbezpieczeństwem.
Spór
Kilka dni po ujawnieniu naruszenia przeciwko Equifax wytoczono liczne pozwy. W jednym pozwie firma prawnicza Geragos & Geragos wskazała, że będzie domagać się odszkodowania w wysokości do 70 miliardów dolarów, co uczyniłoby go największym pozwem zbiorowym w historii Stanów Zjednoczonych. Od października 2017 r. setki konsumentów pozwało Equifax za naruszenie bezpieczeństwa danych. Niektórzy wygrali sprawy o drobne roszczenia przekraczające 9 000 USD, w tym rzeczywiste szkody, przyszłe szkody, niepokój, opłaty za monitorowanie i odszkodowania karne.
We wrześniu 2017 r. Richard Cordray , ówczesny dyrektor Biura Ochrony Finansowej Konsumentów (CFPB), zezwolił na dochodzenie w sprawie naruszenia danych w imieniu konsumentów, których to dotyczy. Jednak w listopadzie 2017 r. Reuters poinformował, że Mick Mulvaney, szef budżetu prezydenta Donalda Trumpa, który został wyznaczony przez Trumpa w miejsce Cordraya, „wycofał się” z sondy, wraz z odłożeniem planów Cordraya dotyczących testów naziemnych o tym, jak Equifax chroni dane. CFPB odrzuciła również organy nadzoru bankowego w Banku Rezerwy Federalnej , Federalnej Korporacji Ubezpieczeń Depozytów i Biurze Kontrolera Waluty, które zaoferowały pomoc w przeprowadzaniu egzaminów na miejscu w biurach kredytowych. Senator Elizabeth Warren , która opublikowała raport na temat naruszenia Equifax w lutym 2018 r., skrytykowała działania Mulvaney, stwierdzając: „Ujawniamy ten raport, podczas gdy Mick Mulvaney zabija sondę agencji konsumenckiej w sprawie naruszenia Equifax. Mick Mulvaney strzela kolejnym środkowym palcem w konsumenci”.
W dniu 22 lipca 2019 r. Equifax zgodził się na zawarcie ugody z Federalną Komisją Handlu (FTC), CFPB, 48 stanami USA, Waszyngtonem i Portoryko w celu złagodzenia szkód poniesionych przez poszkodowane osoby i wprowadzenia zmian organizacyjnych w celu uniknięcia podobnych naruszeń w przyszłości . Całkowity koszt ugody obejmował 300 milionów dolarów na fundusz odszkodowań dla ofiar, 175 milionów dolarów na rzecz stanów i terytoriów objętych umową oraz 100 milionów dolarów na grzywny dla CFPB. W lipcu 2019 r. FTC opublikowała informacje o tym, w jaki sposób osoby, których to dotyczy, mogą złożyć wniosek do funduszu odszkodowań dla ofiar, korzystając ze strony internetowej EquifaxBreachSettlement.com .
Sprawcy
Departament Sprawiedliwości Stanów Zjednoczonych ogłosił 10 lutego 2020 r., Że oskarżył czterech członków chińskiej armii o dziewięć zarzutów związanych z włamaniem, chociaż nie ma dodatkowych dowodów na to, że Chiny wykorzystały od tego czasu dane z włamania. Chiński rząd zaprzeczył, jakoby czwórka oskarżonych miała jakikolwiek związek z włamaniem.
Krytyka
Po ogłoszeniu naruszenia w okresie od maja do lipca 2017 r. działania Equifax spotkały się z powszechną krytyką. Equifax nie ujawnił od razu, czy kody PIN i inne poufne informacje zostały naruszone, ani nie wyjaśnił opóźnienia między wykryciem naruszenia w lipcu a publicznym ogłoszeniem na początku września. Equifax stwierdził, że opóźnienie wynikało z czasu potrzebnego do ustalenia zakresu włamania i dużej ilości danych osobowych.
Ujawniono również, że trzech dyrektorów Equifax sprzedało prawie 1,8 miliona dolarów swoich osobistych akcji spółki kilka dni po wykryciu naruszenia przez Equifax, ale ponad miesiąc przed upublicznieniem naruszenia. Firma stwierdziła, że kierownictwo, w tym dyrektor finansowy John Gamble, „nie wiedziało, że w momencie sprzedaży swoich akcji miało miejsce włamanie”. 18 września Bloomberg poinformował, że Departament Sprawiedliwości USA wszczął dochodzenie w celu ustalenia, czy zostały naruszone przepisy dotyczące wykorzystywania informacji poufnych. „Jak zauważa Bloomberg, transakcje te nie były wcześniej zaplanowanymi transakcjami i miały miejsce 2 sierpnia, trzy dni po tym, jak firma dowiedziała się o włamaniu”.
Ujawniając publicznie włamanie do swoich systemów, Equifax udostępnił stronę internetową (https://www.equifaxsecurity2017.com), na której konsumenci mogą dowiedzieć się, czy padli ofiarą naruszenia. Eksperci ds. bezpieczeństwa szybko zauważyli, że witryna ta miała wiele cech wspólnych ze phishingową : nie była hostowana w domenie zarejestrowanej w Equifax, miała wadliwą implementację protokołu TLS i działała na WordPressie , który nie jest ogólnie uważany za odpowiedni do zastosowań o wysokim poziomie bezpieczeństwa. Aplikacje. Te problemy skłoniły Open DNS do sklasyfikowania go jako strony phishingowej i zablokowania dostępu. Ponadto osoby, które chciały skorzystać ze strony internetowej Equifax, aby dowiedzieć się, czy ich dane zostały naruszone, musiały podać nazwisko i sześć cyfr swojego numeru ubezpieczenia społecznego.
Witryna utworzona w celu sprawdzenia, czy dane osobowe danej osoby nie zostały naruszone (trustedidpremier.com), została uznana przez ekspertów ds. bezpieczeństwa i innych osób za wyświetlanie pozornie przypadkowych wyników zamiast dokładnych informacji. Podobnie jak w przypadku https://www.equifaxsecurity2017.com, ta witryna również została zarejestrowana i skonstruowana jako witryna phishingowa i została oznaczona jako taka przez kilka przeglądarek internetowych.
Witryna Trusted ID Premier zawierała warunki korzystania z dnia 6 września 2017 r. (dzień przed ogłoszeniem przez Equifax naruszenia bezpieczeństwa), które zawierały klauzulę arbitrażową z odstąpieniem od pozwu zbiorowego. Adwokaci stwierdzili, że klauzula arbitrażowa jest niejednoznaczna i może wymagać od konsumentów, którzy ją zaakceptowali, rozstrzygania roszczeń związanych z incydentem cyberbezpieczeństwa. Według Polly Mosendz i Shahiena Nasiripoura „niektórzy obawiają się [red.], że samo użycie strony internetowej Equifax w celu sprawdzenia, czy ich informacje zostały naruszone, wiąże ich z arbitrażem”. Witryna equifax.com ma oddzielne warunki użytkowania z klauzulą arbitrażową i zrzeczeniem się pozwu zbiorowego, ale według Briana Funga z The Washington Post „nie jest jasne, czy dotyczy to programu monitorowania kredytu”. Prokurator generalny Nowego Jorku Eric Schneiderman zażądał od Equifax usunięcia klauzuli arbitrażowej. Odpowiadając na zastrzeżenia związane z arbitrażem, 8 września Equifax wydał oświadczenie stwierdzające, że „w odpowiedzi na zapytania konsumentów wyjaśniliśmy, że klauzula arbitrażowa i zrzeczenie się prawa do pozwu zbiorowego zawarte w warunkach korzystania z Equifax i TrustedID Premier nie mają zastosowania do tego incydentu związanego z cyberbezpieczeństwem”. Joel Winston, prawnik zajmujący się ochroną danych, argumentował, że ogłoszenie o zrzeczeniu się klauzuli arbitrażowej „nic nie znaczy”, ponieważ warunki użytkowania stanowią „całą umowę” między stronami. Klauzula arbitrażowa została później usunięta z equifaxsecurity2017.com, a warunki korzystania z equifax.com zostały zmienione 12 września, aby stwierdzić, że nie mają one zastosowania do www.equifaxsecurity2017.com, www.trustedidpremier.com ani www.trustedid.com oraz do wyłączenia roszczeń wynikających z tych stron lub naruszenia bezpieczeństwa z arbitrażu.
Odpowiadając na ciągłe oburzenie opinii publicznej, Equifax ogłosił 12 września, że „zrzeka się wszelkich opłat za zamrożenie bezpieczeństwa przez następne 30 dni”.
Equifax był krytykowany przez ekspertów ds. bezpieczeństwa za rejestrację nowej nazwy domeny dla nazwy witryny zamiast korzystania z subdomeny equifax.com . 20 września poinformowano, że Equifax omyłkowo linkował do nieoficjalnej „fałszywej” strony internetowej zamiast do własnej strony powiadamiania o naruszeniu w co najmniej ośmiu oddzielnych tweetach , nieświadomie pomagając skierować zgłoszone 200 000 trafień na imitację witryny. Inżynier oprogramowania, Nick Sweeting, stworzył nieautoryzowaną witrynę internetową Equifax, aby zademonstrować, w jaki sposób można ją łatwo pomylić z witryną phishingową . Witryna Sweeting informowała odwiedzających, że nie jest oficjalna, jednak informowała odwiedzających, którzy wprowadzili poufne informacje, że „właśnie dali się nabrać ! com, zanim tysiące ludzi stracą [ sic ] swoje dane na stronach phishingowych!” Equifax przeprosił za „zamieszanie” i usunął tweety prowadzące do tej strony.
Zobacz też
- 2017 kontrowersje w Stanach Zjednoczonych
- Wycieki danych w Stanach Zjednoczonych
- Hakowanie w 2010 roku
- Przypadki kradzieży tożsamości
- Prywatność w Internecie
- Zbrodnie z lipca 2017 roku w Stanach Zjednoczonych
- Zbrodnie z czerwca 2017 roku w Stanach Zjednoczonych
- Zbrodnie z maja 2017 w Stanach Zjednoczonych
- Wydarzenia z września 2017 w Stanach Zjednoczonych