In un tranquillo pomeriggio all'inizio di settembre 2017, Equifax ha rivelato una straordinaria violazione della sicurezza che, secondo le stime, avrebbe colpito circa 200 milioni di persone in tutto il mondo. Dato che la società aveva scoperto la violazione per la prima volta a luglio, avrebbe dovuto fornire tutto il tempo necessario per preparare una risposta e una soluzione per tutte le persone colpite. Invece, Equifax ha provveduto a fornire al mondo un perfetto esempio di come non gestire una grave violazione della sicurezza.
Dall'enorme portata della perdita di dati, dalla confusionaria legalese e dai siti web di risposta insicure e orribili, Equifax ha avuto tutto. Aggiungete accuse di insider trading, cattiva comunicazione, un calo del 30 per cento del valore delle azioni, insieme a ulteriori perdite di dati, e la società sembrava essersi preparata per un drammatico declino. Beh, per quanto sia un'agenzia di segnalazione di credito, non hai mai accettato esplicitamente di trasmettere i tuoi dati sensibili.
EquiBreach
La prima dichiarazione di Equifax sulla violazione ha dichiarato che fino a 144 milioni di americani potrebbero aver compromesso le informazioni di credito. Questo includeva nomi, indirizzi, numeri di previdenza sociale (SSN), date di nascita e registri finanziari. La società ha inoltre riferito che i numeri delle carte di credito per 209.000 consumatori statunitensi sono stati inclusi nella violazione. Inoltre, sono stati trapelati i verbali delle controversie con informazioni di identificazione personale per 189.000 persone.
I rapporti iniziali sui media si riferivano a persone interessate come clienti di Equifax. Tuttavia, non sei realmente un cliente di Equifax, Experian, TransUnion o di qualsiasi altra agenzia di segnalazione di credito. Queste agenzie raccolgono dati da diversi servizi e fornitori di prodotti finanziari. I dati vengono quindi utilizzati per generare il punteggio di credito, consentendo a un prestatore di valutare il rischio che si pongono. Richiedere un prestito, una carta di credito o un mutuo? Ecco come viene presa la decisione.
Valutazione dell'impatto e Premier di TrustedID
Per compensare la perdita di dati di quasi la metà della popolazione adulta negli Stati Uniti, Equifax ha creato un sito Web, equifaxsecurity2017.com. Qui, puoi inserire il tuo nome e SSN parziale e scoprire se i tuoi dati sono tra quelli trapelati. Inoltre, puoi iscriverti al loro servizio, TrustedID Premier. Questo è un rapporto di credito di tre agenzie e uno strumento di monitoraggio SSN, complementare ai consumatori statunitensi per un anno.
Eppure nella loro prima rivelazione, e per una settimana dopo, Equifax rimase notevolmente silenzioso sui dettagli. Il tipo di attacco, il colpevole e il motivo per cui è stato in grado di continuare così a lungo, senza essere scoperto, è rimasto un segreto.
Ciò indusse molti a sospettare che ci fosse colpevolezza da parte di Equifax. Sei giorni dopo, e dopo immense proteste pubbliche e interventi da parte di un gruppo bipartisan di senatori, Equifax ha finalmente ammesso che l'attacco utilizzava un noto exploit Apache Strut (CVE-2017-5638) - una patch per la quale è stato rilasciato a marzo 2017, due mesi prima della violazione di Equifax. Ciò ha dimostrato che, proprio come con WannaCry all'inizio dell'anno The Global Ransomware Attack e come proteggere i tuoi dati, l'attacco Global Ransomware e come proteggere i tuoi dati, un enorme attacco informatico ha colpito computer in tutto il mondo. Sei stato colpito dal ransomware altamente virulento e autoreplicante? In caso contrario, come puoi proteggere i tuoi dati senza pagare il riscatto? Per saperne di più, l'aggiornamento del software non può avere conseguenze devastanti.
Non solo i consumatori degli Stati Uniti
Sebbene non sia stata rivelata sin dall'inizio, Equifax è stata costretta ad ammettere che le informazioni per un "numero limitato" di residenti nel Regno Unito e in Canada erano incluse nella violazione. Fino a 44 milioni di consumatori del Regno Unito potrebbero non essere nemmeno a conoscenza del fatto che l'agenzia di credito statunitense avesse i propri dati. Tuttavia, è stato fornito loro da società tra cui BT, British Gas e Capital One. Il braccio britannico dell'agenzia di credito ha annunciato in prima serata venerdì 15 settembre che sono stati colpiti 400.000 residenti nel Regno Unito. Questo sospetto tentativo di seppellire la notizia ha rivelato un "fallimento del processo" che è durato mezzo decennio. Eppure nessuna guida per residenti nel Regno Unito o in Canada è stata offerta.
Il sito web di Equifax si blocca
Per ragioni che devono ancora essere spiegate, Equifax ha lanciato un sito Web separato per la risposta alla violazione. Dato che il sito è stato istituito in risposta a una grave violazione della sicurezza, si immaginerebbe che ogni precauzione sarebbe stata presa per garantire che il sito fosse un fulgido faro di stabilità. Invece, il grande volume di consumatori americani che desiderano verificare le loro informazioni li ha travolti. Ciò ha lasciato molti in grado di accedere al sito, o di caricare i risultati della loro valutazione di impatto.
@briankrebs Hai visto che OpenDNS sta bloccando la pagina di registrazione di Equifax? Chiamandolo spam? pic.twitter.com/xqvr8wJyM0
- Nick Frichette (@Frichette_n) 8 settembre 2017
Anche allora, i numeri che visitano il sito potrebbero essere stati più grandi se non fosse stato per una configurazione del sito web scadente. Nel libro di molte persone, un sito web fuori dominio con parole chiave discutibili sembrerebbe essere una truffa di phishing. OpenDNS sembrava essere d'accordo e ha bloccato l'accesso al sito web per molti utenti. Per aumentare il senso dell'ironia, per completare la valutazione devi inserire le ultime sei cifre del tuo SSN. Questo è lo stesso dato che Equifax ha già dimostrato di non poter proteggere!
Risultati non verificabili
Entro poche ore dal lancio del sito, ci sono state segnalazioni che non si poteva nemmeno fidarsi dei risultati della loro valutazione d'impatto. Inserire gli stessi dettagli più volte darebbe risposte diverse sul fatto che tu fossi interessato. Alcune persone hanno persino provato a inserire informazioni consapevolmente false. In modo preoccupante, hanno scoperto che Equifax avrebbe comunicato alla persona inesistente che i suoi dati erano stati trapelati.
Quindi a Equifax. Il mio capo è appena entrato in un nome falso con il numero di previdenza sociale di suo figlio di 9 anni e il sito ha detto che è stato colpito.
- G. ?? (@oh_sovivacious) 8 settembre 2017
Se eri disposto ad accettare che i tuoi dati fossero stati effettivamente compromessi nella violazione, Equifax ti ha accolto con una dichiarazione vaga sulla violazione e ti ha incoraggiato ad iscriverti a TrustedID Premier. Dato che Equifax è stata la fonte della violazione, sembra di cattivo gusto che ti incoraggerebbero ad aderire a una prova gratuita del proprio servizio di protezione dalle frodi.
OMG, i PIN di blocco della sicurezza di Equifax sono peggiori di quanto pensassi. Se hai congelato il tuo credito oggi alle 14:15 ET, ad esempio, riceverai il PIN 0908171415.
- Tony Webster (@webster) 9 settembre 2017
Quelli che si sono iscritti a TrustedID Premier sono stati in grado di eseguire un blocco del credito e sono dotati di un PIN di conferma. Tuttavia, il PIN sembrava essere un timestamp di quando veniva eseguito il blocco. Ciò renderebbe il PIN inutile - potrebbe facilmente essere indovinato, consentendo a chiunque di sbloccare il blocco del credito. Nonostante le iniziali smentite, Equifax in seguito ha detto che stavano passando a un nuovo metodo che avrebbe randomizzato la generazione del PIN. Inoltre, consentirebbero ai consumatori di richiedere un nuovo PIN da inviare al loro indirizzo postale registrato.
La debacle legalese
Quando Equifax ha lanciato per la prima volta il sito Web equifaxsecurity2017, i Termini di servizio di TrustedID Premier sembravano implicare che si stava utilizzando il servizio, si rinunciava al diritto di partecipare a qualsiasi azione legale collettiva contro la società in futuro. Il clamore di questa ingiustizia percepita ha reso Equifax un aggiornamento il giorno successivo. Ora hanno affermato che la clausola compromissoria non era applicabile alla violazione della sicurezza.
Equifax offre pkg per il monitoraggio e la protezione contro il furto di identità, ma in caratteri fini, una clausola arbitrale e una rinuncia alla class action 1/3 pic.twitter.com/8F58B5qh4w
- Rhana Natour (@RNatourious) 8 settembre 2017
Questo ha fatto poco per assicurare a chi fosse comprensibilmente poco convinto portare a un'ulteriore affermazione quasi una settimana dopo affermando che "hanno rimosso quella lingua dalle Condizioni d'uso Premier di TrustedID e non si applicherà ai prodotti gratuiti offerti in risposta all'incidente di sicurezza informatica o per reclami relativi all'incidente di cybersecurity stesso. La lingua dell'arbitrato non si applica a tutti i consumatori che si sono registrati prima della rimozione della lingua. "
Preso in incarico
In una mossa che Equifax sostiene essere una coincidenza totale, solo due giorni dopo aver scoperto la violazione, tre dirigenti hanno venduto azioni per un totale di $ 1, 8 milioni. Questa importante vendita è avvenuta pochi giorni dopo aver scoperto la violazione, ma più di un mese prima che fosse resa pubblica. Se le persone fossero a conoscenza della violazione della sicurezza, sarebbero in contrasto con le leggi sull'insider trading. Consapevolmente o no, la loro vendita puntuale fu fortunata. Al momento della scrittura, le azioni di Equifax sono diminuite del 30 percento dalla divulgazione della violazione.
Il gruppo bipartisan di 36 senatori invia una lettera a SEC, DOJ e FTC sollecitando un'indagine sulle vendite di titoli Equifax a seguito della violazione dei dati. pic.twitter.com/xEApcjFFkP
- Kyle Griffin (@ kylegriffin1) 13 settembre 2017
Data la natura altamente sensibile della violazione, molte persone affette sono comprensibilmente critiche rispetto all'apparente sicurezza lassista di Equifax. Ad esempio, USA Today ha riferito che nei pochi giorni successivi alla divulgazione, 23 cause legali sono state presentate in 14 stati contro l'agenzia di segnalazione dei crediti. Come riportato da Bloomberg, una causa per azioni collettive intentata in Oregon sta cercando danni fino a 7 miliardi di dollari. Anche se la corte dovesse assegnare una somma così elevata, equivale a poco meno di $ 500 a persona. Questo sembra abbastanza per compensare il rischio di un furto d'identità?
Joshua Browder, il creatore del bot DoNotPay, ha ampliato le sue funzionalità per semplificare il processo di richiesta al tribunale per le controversie di modesta entità per i danni relativi alla violazione di Equifax. Questo è ammirevole e fa molto per rendere più facile da digerire la documentazione legale spesso complessa. Tuttavia, alcuni rapporti hanno affermato che il bot DoNotPay, originariamente sviluppato per aiutarti a combattere le multe, potrebbe automatizzare l'intero processo. Come notano le note di TechCrunch, tutto ciò che il bot fa veramente è aiutare con le carte iniziali: devi ancora combattere il caso in tribunale.
Un mal di testa in corso in tutto il mondo
Se rimanessero dei dubbi sulle scarse pratiche di sicurezza di Equifax, un esempio del braccio argentino di Equifax probabilmente rimuoverà tutto. In primo luogo segnalato da KrebsOnSecurity, un portale online utilizzato dai dipendenti per risolvere controversie creditizie denominate Veraz (che significa veritiero in spagnolo) è risultato vulnerabile. Ci si può aspettare che la vulnerabilità sia tecnica, ma invece è stata una delle più elementari delle avarie di sicurezza: cattive password. La combinazione incredibilmente semplicistica e in molti casi predefinita di nome utente e password di admin / admin ha permesso a chiunque si fosse imbattuto nel sito di accedere al portale dei dipendenti.
Incredibilmente questo ha permesso di visualizzare, modificare ed eliminare nomi utente e password per oltre 100 dipendenti Equifax argentini. In entrambi i casi, le password in chiaro erano identiche a quelle del nome utente del dipendente. Se ciò non fosse abbastanza grave, c'era un'area del sito con 715 pagine di rapporti dettagliati su ogni reclamo o controversia registrati con Equifax. Queste informazioni includevano il DNI (l'equivalente argentino del SSN) per più di 14.000 persone - di nuovo, tutto in chiaro. Equifax ha rapidamente portato il sito offline dopo essere stato contattato da KrebsOnSecurity e sta attualmente esaminando il suo ultimo errore di sicurezza.
Cosa sai fare?
Il primo passo consiste nell'utilizzare il sito Web di Equifax per verificare se i tuoi dati sono stati interessati dalla violazione Come verificare se i tuoi dati sono stati rubati nella violazione di Equifax Come verificare se i tuoi dati sono stati rubati in Equifax Breach News appena emerso da una violazione dei dati Equifax che colpisce fino all'80% di tutti gli utenti di carte di credito statunitensi. Sei uno di loro? Ecco come controllare. Leggi di più . Tuttavia, poiché i risultati possono essere incoerenti, potrebbe essere meglio presumere che tu fossi interessato. Poiché la società ha ora chiarito la lingua che lo circonda, registrati per il loro servizio TrustedID Premier. Questo ti permetterà di eseguire un blocco del credito Come prevenire il furto di identità bloccando il tuo credito Come prevenire il furto di identità bloccando il tuo credito I tuoi dati personali sono stati compromessi, ma la tua identità non è stata ancora rubata. C'è qualcosa che puoi fare per mitigare i tuoi rischi? Beh, potresti provare a congelare il tuo credito - ecco come. Leggi di più, e chiedi a chiunque di aprire un credito a tuo nome. Data la natura sensibile dei dati persi nella perdita, c'è il potenziale per i truffatori di vendere le loro merci, quindi stai attento all'ingegneria sociale. Come proteggersi da questi attacchi di ingegneria sociale Come proteggersi da questi attacchi di ingegneria sociale Che sociale le tecniche ingegneristiche useranno un hacker e come ti proteggeresti da loro? Diamo un'occhiata ad alcuni dei metodi di attacco più comuni. Ulteriori informazioni e truffe di phishing Come individuare un e-mail di phishing Come individuare un e-mail di phishing Catturare un e-mail di phishing è difficile! I truffatori si pongono come PayPal o Amazon, cercando di rubare la password e le informazioni della carta di credito, il loro inganno è quasi perfetto. Ti mostriamo come individuare la frode. Leggi di più .
Sulla scia di molte violazioni dei dati, ti consigliamo spesso di cambiare le tue password, iniziare a utilizzare un gestore di password Come Password Managers Mantieni le tue password sicure Come Password Managers Mantieni le tue password Le password sicure che sono difficili da decifrare sono anche difficili da ricordare. Vuoi essere al sicuro? Hai bisogno di un gestore di password. Ecco come funzionano e come ti proteggono. Leggi altro, iscriviti a HaveIBeenPwned Verifica ora e guarda se le tue password sono mai state trapelate Verifica ora e vedi se le tue password sono mai state trapelate Questo strumento ingegnoso ti permette di controllare qualsiasi password per vedere se è mai stata parte di una perdita di dati. Per saperne di più, abilitare l'autenticazione a due fattori Qual è l'autenticazione a due fattori, e perché dovresti usarla Cos'è l'autenticazione a due fattori, e perché dovresti usarla Autenticazione a due fattori (2FA) è un metodo di sicurezza che richiede due modi diversi di provare la tua identità. È comunemente usato nella vita di tutti i giorni. Ad esempio pagare con una carta di credito non solo richiede la carta, ... Leggi di più, ove possibile, e migliora la tua cyber igiene Migliora la tua Cyber Hygiene in 5 semplici passi Migliora la tua Cyber Hygiene in 5 semplici passi Nel mondo digitale, "cyber hygiene "è importante quanto l'igiene personale del mondo reale. Sono necessari controlli regolari del sistema e nuove abitudini online più sicure. Ma come puoi fare questi cambiamenti? Leggi di più . Mentre nessuno di questi ti proteggerà direttamente contro la perdita di Equifax, rafforzare la tua sicurezza non ti farà del male. Forse date le circostanze sarebbe anche la pena fare il miglio supplementare e svolgere un controllo di sicurezza completo Proteggersi con un controllo annuale di sicurezza e privacy Proteggersi con un controllo annuale di sicurezza e privacy Siamo quasi due mesi nel nuovo anno, ma c'è ancora tempo per fare una risoluzione positiva. Dimentica di bere meno caffeina - stiamo parlando di adottare misure per salvaguardare la sicurezza e la privacy online. Leggi di più .
Equihaxxed
La violazione di Equifax sarà probabilmente l'evento di sicurezza eccezionale in un anno dilagante con violazioni dei dati e attacchi di ransomware. Come con altri eventi di sicurezza di alto profilo come WannaCry e il flusso ininterrotto di fughe di dati, c'è un rivestimento d'argento nella natura strabiliante della violazione di Equifax. Portando l'attenzione del pubblico sulla sicurezza dei dati, sulla segnalazione dei crediti e sui casi di negligenza aziendale, è possibile discutere e mitigare tali aspetti. Si spera che la forte risposta di molti senatori statunitensi garantisca che questa violazione non scompaia sullo sfondo. Equifax ha almeno ammesso che sono necessarie alcune modifiche al personale: il Chief Information Officer e il Chief Security Officer si sono "ritirati" di conseguenza.
Nonostante il suo alto profilo e l'enorme portata, non ci sono ancora informazioni su chi fossero gli aggressori. Da parte loro, Equifax è rimasta completamente in silenzio sulla questione, in linea con il resto della loro risposta mal gestita. Pochi giorni dopo che la violazione è stata resa pubblica, un gruppo è emerso sostenendo di avere i dati e richiesto un riscatto di 600 Bitcoin. Dopo che i ricercatori hanno scoperto il servizio di hosting del sito di Rio, è stato prontamente chiuso.
Separatamente, un gruppo che si fa chiamare Equihax ha anche affermato di essere in possesso dei dati, ma non ha offerto alcuna prova verificabile. Considerando quanto siano potenzialmente redditizi i dati, puoi essere certo che non passerà molto tempo prima che gli hacker tentino di incassare.
Sei stato colpito dalla violazione della sicurezza di Equifax? Pensi che Equifax sia la colpa e potrebbero aver fatto di più per proteggerti? Fateci sapere nei commenti!
Immagine di credito: stevanovicigor / Depositphotos