Ble jeg hacket? Finn ut om Equifax-bruddet påvirker deg

Equifax Inc. (EFX) kunngjorde 7. september 2017 at 143 millioner av kundene var påvirket av et hack som skjedde mellom midten av mai og juli. Dette tallet ble slått til 145, 5 millioner i løpet av de følgende ukene, deretter til 147, 9 millioner 1. mars 2018, da selskapet sa at det hadde identifisert 2, 4 millioner ekstra ofre.

Etter at markedet var lukket samme dag, rapporterte selskapet fjerde kvartal og økonomiske resultater for året. Selskapets inntekter i fjerde kvartal økte med 5% året før til 838, 5 millioner dollar. Nettoinntekten i kvartalet økte med 40% året før til 172, 3 millioner dollar. Helårsinntekter og fortjeneste økte også sammenlignet med 2016: inntektene økte med 7% til 3, 4 milliarder dollar, mens nettoinntektene økte 20% til 587, 3 millioner dollar. Selskapet sa at hackingen hadde kostet det $ 26, 5 millioner i fjerde kvartal og $ 114, 0 millioner i løpet av året, etter forsikringsutbetalinger. Aksjen, som la ned 1, 3% på linje med S&P 500, er opp 0, 6% i ettertidshandel i skrivende stund.

Så mye som 209 000 kunders kredittkortnummer ble eksponert, ifølge Equifax, og tvistedokumenter relatert til 182 000 amerikanske forbrukere - som inkluderer personlig informasjon - ble kompromittert. Britiske forbrukere ble også blitt rammet av bruddet; Det er mulig at noen kanadiere ble kompromittert. I følge Wall Street Journal, som siterer en navngitt kilde, ble 10, 9 millioner amerikanernes førerkortdata stjålet i bruddet.

Selskapet hadde visst om angrepet siden 29. juli, men ventet i over en måned med å varsle publikum. 20. september ble det rapportert at Mandiant, datterselskapet FireEye Inc. (FEYE) som ble inngått av Equifax, anslår bruddet tilbake til minst 10. mars.

Det er lite informasjon om kilden til angrepet, som etterforskes av FBI, men ifølge Bloomberg antyder likheter med tidligere angrep på Office of Personnel Management og Anthem Inc. angriperen kan være statsstøttet, kanskje kinesisk. At Equifax-kundenes informasjon ikke har vist seg på det svarte markedet antyder også at hackerne ikke bare var kriminelle. Bloomberg rapporterer også at angriperne målrettet spesifikke individer, kanskje på grunn av sin formue eller etterretningsverdi.

Gitt at den voksne befolkningen i USA er rundt 250 millioner, er sjansen stor for at du ble påvirket av bruddet. Det er også mulig at du allerede har vært et offer for svindel, siden angrepet begynte for snart seks måneder siden.

Atlanta-baserte Equifax, et av de tre store konsumentkredittrapportbyråene - de to andre er Experian PLC (London: EXPN) og TransUnion (TRU) - samler inn data inkludert personnummer, kredittkortnummer, førerkortnummer, husleie og verktøy betalingsinformasjon og demografiske data. Fordi Equifax modell først og fremst er virksomhet, er mange av kundene ikke klar over at dataene deres blir lagret av firmaet. Bortsett fra å unngå det økonomiske og kredittsystemet helt, er det ingen enkel måte å velge bort å ha lagret personopplysninger av Equifax. (Se også 5 største datakort i kredittkort i historien. )

Slik kontrollerer du om du ble berørt

Equifax har satt opp et nettsted der du kan sjekke om informasjonen din ble kompromittert ved å oppgi etternavnet og de seks siste sifrene i personnummeret ditt. Dette nettstedet har vært gjenstand for intens kritikk, og vi har fjernet lenken på grunn av spørsmål angående sikkerheten. Det ble satt opp ved hjelp av WordPress, en bloggplattform utenfor hylla. Det ligger i et eget domene til Equifax hovedside. Selskapet unnlot å registrere lignende nettadresser, som kan brukes til phishing-angrep; en white hat hacker satte opp et slikt nettsted for å bevise et poeng, og en offisiell Equifax-konto twitret ut lenken til det falske nettstedet. Mer enn en gang.

Equifax tilbød kunder - berørt eller ikke - følgende tjenester, som det kaller TrustedID Premier: kopier av en Equifax-kredittrapport, kredittovervåking og automatiserte varsler for alle de tre store kredittbyråene, muligheten til å blokkere tredjeparts tilgang til Equifax-kredittrapporten. (med unntak), overvåkning av personnummer og 1 million dollar i identitetstyveriforsikring. Fristen for å søke var 21. november 2017.

Selskapet sier at disse tjenestene alle er gratis, men å plassere en sikkerhetsfrysing på en kredittfil var i utgangspunktet ikke gratis - i alle fall ikke for alle. Da jeg prøvde å fryse en Equifax-kreditfil 8. september, sa selskapets side at tjenesten ville koste $ 3, 00 og ba om kredittkortinformasjon for å behandle betalingen.

Et skjermgrep fra www.freeze.equifax.com (8. september 2017 kl. 11:46 EDT).

Som bosatt i New York kunne jeg plassere en fryse på Experian-filen min gratis. TransUnions nettsted kunne ikke behandle forespørselen opprinnelig - sannsynligvis et symptom på økt trafikk - men tillot meg senere å fryse gratis.

I en e-postuttalelse sa en talsmann for Equifax til Investopedia 14. september at firmaet frafaller alle anklager for å fryse inn kreditfiler og tilbakebetaler automatisk kunder som betalte for å gjøre det etter at hackingen ble offentliggjort. En ny bekymring - og klar forfall i sikkerhet - har nå oppstått rundt PIN-koder selskapet utstedte til kunder som hadde frosset kredittrapportene sine. Disse PIN-koder, som lar kundene frigi kredittrapporter, følger et lett identifiserbart mønster. Talsmannen sa at kunder med disse feil PIN-koder må ringe 866-349-5191 for å snakke med en live-agent.

Hvis du fikk en PIN-kode etter å ha rapportert hackingen, kan det hende at den er en av de mangelfulle. Å fikse det er ikke lett. Tolv samtaler til linjen morgen 15. september ga åtte travle signaler og fire tilfeller av total stillhet.

TrustedID Premier-tjenester Equifax-lister som gratis er bare gratis i et år. En talsperson for Equifax sa til Investopedia at selskapet ikke ber om kredittkortinformasjon når kunder melder seg på tjenesten, og at selskapet ikke automatisk vil fornye den eller kreve et gebyr. Equifax standard rate for kredittovervåking er $ 17 per måned.

Hva du skal gjøre hvis du ble berørt

Liz Weston, en personlig finansforfatter ved NerdWallet, har følgende råd til de som er berørt av Equifax-bruddet, som hun delte med Investopedia i en e-post: "Equifax vil nå ut til ofrene og tilby dem kredittovervåking. Ofrene bør sørge for at samtykker til overvåkingen hindrer dem ikke i å melde seg inn søksmål eller andre handlinger underveis. "

Opprinnelig krevde TrustedID Premiers vilkår for tjenesteside (arkivert versjon) brukerne fra å frafalle retten til å delta i en klassesøksmål mot Equifax: "Ved å samtykke til å sende inn kravene dine til voldgift, mister du retten til å bringe eller delta i en hvilken som helst klassesøksmål (enten som en navngitt saksøker eller et klassemedlem) eller for å dele i noen klassesøksutmerkelser, inkludert klassekrav der en klasse ennå ikke er sertifisert, selv om de faktiske forhold og omstendigheter kravene er basert på allerede skjedde eller eksisterte. " Etter et tilbakeslag ble selskapets FAQ-side oppdatert for å si at klausulen gjaldt TrustedID Premier-tjenesten, ikke hackingen. Fra morgenen 12. september inkluderer tjenestevilkårene ikke lenger en voldgiftsbestemmelse.

Weston sier at berørte kunder bør vurdere å fryse kredittrapportene sine på alle de tre store byråene. Som nevnt ovenfor kan kredittbyråer kreve gebyrer for å sette i gang den frysen. Du kan også bli belastet for å fryse kontoer når du trenger en kredittsjekk (for å søke om mobiltelefontjeneste, for eksempel). Disse avgiftene er generelt mindre enn $ 10, men de kan legge opp. Weston bemerker at et annet alternativ er å plassere svindelvarsler på kredittrapportene dine ved de tre kredittbyråene. (For mer, se Hvordan komme seg etter identitetstyveri .)

Andre kredittovervåkningstjenester, ikke sponset av Equifax, er også tilgjengelige. Tjenester for identitetstyveri: verdt å ha ">

Equifaxs svar

Equifax daværende styreleder og administrerende direktør, Richard Smith, sa etter hackingen at det var "helt klart en skuffende hendelse for selskapet vårt, og en som slår kjernen i hvem vi er og hva vi gjør." Han trakk seg 26. september og vil ikke motta en bonus for 2017. Hans avgang fulgte av sikkerhetssjef Susan Mauldin og informasjonssjef David Webb 14. september.

Noen dager etter at selskapet avdekket hacket internt - og før bruddet ble avslørt for offentligheten - solgte Equifax økonomisjef John Gamble, presidenten for arbeidsstyrkeløsninger Rodolfo Ploder, og presidenten for USAs informasjonsløsninger Joseph Loughran sine Equifax-aksjer. Equifax sa i en uttalelse at lederne ikke visste om bruddet da de solgte aksjen. Gamble, Ploder og Loughran tjente samlet nesten 1, 8 millioner dollar på salget.

Pr. 28. februar har Equifaxs aksjer falt 20, 1% fra det ble avsluttet 7. september (før hackingen ble kunngjort) til $ 113, 00. Etter flere forsinkelser sier Equifax at det vil rapportere inntekter i fjerde kvartal etter nær 1. mars.

La søksmål begynne

Reuters rapporterte 11. september at mer enn 30 søksmål - mange av dem søker klassesøksmål - er anlagt mot Equifax i amerikanske domstoler. Flere påstår brudd på verdipapirretten; andre beskylder TrustedID for å ha kostbare tjenester til kunder som ble berørt av datainnbruddet. Fem Utah-innbyggere har saksøkt selskapet i US District Court for manglende beskyttelse av kunders sensitive data. Drakten søker økonomiske skader på 5 milliarder dollar og ileggelse av strengere industristandarder.

Noen få berørte kunder tar en mindre tradisjonell rute når de søker regress fra Equifax. DoNotPay chatbot gir hjelp til å inngi en klage ved statlige småkrav domstoler, der maksimale straffer varierer fra $ 2500 til $ 25, 000. Bot kan bare generere papirer for et søksmål, ikke faktisk arkivere det eller vises i retten, ifølge Verge.

FBI og den amerikanske advokaten John Horn kunngjorde en kriminell etterforskning av bruddet 18. september. Consumer Financial Protection Bureau og 34 statsadvokater generelt foretar undersøkelser.

Mr. Smith drar til Washington

3. oktober vitnet tidligere administrerende direktør Richard Smith for underutvalget House Digital Commerce and Consumer Protection. Han unnskyldte seg flere ganger for Equifax 'unnlatelse av å beskytte forbrukerdata og sto overfor spørsmål om en rekke problemer knyttet til bruddet og Equifaxs svar. Selskapets aksje steg etter vitneforklaringen, men holdt seg godt under nivåene det handlet til før hacket ble avslørt.

Som svar på spørsmål angående den kontroversielle voldgiftsklausulen som opprinnelig ble inkludert i TrustedID Premiers vilkår for bruk, sa Smith at "kjeleplaten" -klausulen aldri var ment å gjelde bruddet og kalte inkludering av en "feil." Han vil ikke si det samme om lignende klausuler om andre Equifax-tjenester, som han kalte "standard."

Mistenkelig tidsbestemt salg av utøvende aksjer ble også undersøkt: Rep. Jan Schakowsky, en demokrat fra Illinois, sa at selgeren "ikke klarer luktest", men Smith beregnet, "etter beste kunnskap, visste de ikke" om bruddet den gangen.

Smith beskrev bruddet som et resultat av menneskelig feil og en teknologisk sviktende: personen som hadde ansvaret for å sørge for å lappe Apache Struts-programvaren - som hadde en offentlig kjent sårbarhet som angriperne utnyttet - klarte ikke å gjøre det, og en skanner som ville ha varslet selskapet om denne feilen mislyktes også.

Selskapets flailerende respons på krisen kom også inn for kritikk: å sette opp et WordPress-nettsted med en mistenkelig URL, ikke klarer å sikre lignende domener (og til og med lede kunder til et av disse domenene), unnlate å bemanne kundesentre på en tilstrekkelig måte, og generelt skape inntrykk av at selskapet - som eksisterer for å samle inn, sikre og selge sensitive data - var helt uforberedt på et nettangrep på databasene. Rep. Markwayne Mullin, en republikaner i Oklahoma, sa til Smith at svaret hans burde ha vært som å trekke en brannalarm: "Den går umiddelbart på plass." Smith svarte at teamet hans "fulgte protokollen." Flere representanter nevnte at Smith holdt en tale som beskrev svindel som en "enorm mulighet" og en "massiv, voksende virksomhet" i august - etter at han visste om bruddet.

Smith nektet å svare på spørsmål om kilden til angrepet, inkludert om det kan være en statsaktør. Han sa ganske enkelt at FBI gjennomfører en etterforskning. Han forsvarte Equifax sine investeringer i cybersecurity i løpet av sin periode, og sa at da han ankom for tolv år siden, var det praktisk talt ingen investeringer i databeskyttelse. Selskapet brukte en kvart milliard dollar og ansatt et team på 225 personer for å sikre selskapets data, sa Smith, og investerte bransjestandarden 10-14% av selskapets IT-budsjett i cybersikkerhet.

Noen representanter indikerte at bruddet har åpnet for grunnleggende spørsmål om kredittovervåkningsindustriens rolle og forbrukernes rettigheter. "Hva hvis jeg vil velge Equifax?" Spurte Schakowski. Smith svarte, "det krever en mye bredere diskusjon rundt rollen som kredittrapporteringsbyråer." Rep. Tonko, en New York-demokrat, gjentok stemningen og påpekte at han egentlig ikke er en "kunde", og har aldri valgt å gjøre forretninger med Equifax. "Hvorfor har dette selskapet lov til å fortsette å eksistere?" spurte han. På forskjellige punkter stilte spørsmålstegn ved verdien av personnummer som en måte å bevise identitet på, og gjorde vage referanser til å gi "makt tilbake til forbrukeren."

Dagens største spørsmål kom fra California-demokraten Doris Matsui: "Eier jeg dataene mine?" Smith kunne ikke svare. (Se også Blockchain kan gjøre deg - ikke Equifax - eier av dine data. )