Equifax Inc. (EFX) gab am 7. September 2017 bekannt, dass 143 Millionen seiner Kunden von einem Hack betroffen waren, der zwischen Mitte Mai und Juli stattfand. Diese Zahl wurde in den folgenden Wochen auf 145, 5 Millionen erhöht, dann auf 147, 9 Millionen am 1. März 2018, als das Unternehmen angab, 2, 4 Millionen zusätzliche Opfer identifiziert zu haben.
Nach dem Börsenschluss am selben Tag meldete das Unternehmen Finanzergebnisse für das vierte Quartal und das Gesamtjahr. Der Umsatz des Unternehmens stieg im vierten Quartal gegenüber dem Vorjahr um 5% auf 838, 5 Mio. USD. Der Reingewinn des Quartals stieg gegenüber dem Vorjahr um 40% auf 172, 3 Mio. USD. Die Umsatzerlöse und Gewinne für das Gesamtjahr stiegen im Vergleich zu 2016 ebenfalls: Die Umsatzerlöse stiegen um 7% auf 3, 4 Mrd. USD, während der Nettogewinn um 20% auf 587, 3 Mio. USD stieg. Das Unternehmen gab an, dass der Hack im vierten Quartal 26, 5 Millionen US-Dollar und im Gesamtjahr 114, 0 Millionen US-Dollar nach Versicherungsauszahlungen gekostet habe. Die Aktie, die im Einklang mit dem S & P 500 um 1, 3% schloss, stieg zum Zeitpunkt des Schreibens im außerbörslichen Handel um 0, 6%.
Laut Equifax wurden bis zu 209.000 Kreditkartennummern von Kunden offengelegt, und Streitdokumente im Zusammenhang mit 182.000 US-Verbrauchern - darunter auch personenbezogene Daten - wurden kompromittiert. Auch britische Verbraucher waren von dem Verstoß betroffen. Es ist möglich, dass einige Kanadier kompromittiert wurden. Laut dem Wall Street Journal wurden unter Berufung auf eine nicht genannte Quelle 10, 9 Millionen amerikanische Führerscheindaten gestohlen.
Das Unternehmen hatte seit dem 29. Juli von dem Anschlag gewusst, aber über einen Monat gewartet, um die Öffentlichkeit zu alarmieren. Am 20. September wurde berichtet, dass Mandiant, die von Equifax unter Vertrag genommene Tochtergesellschaft von FireEye Inc. (FEYE), den Verstoß auf mindestens den 10. März schätzt.
Es gibt nur wenige Informationen über die Quelle des Angriffs, die vom FBI untersucht wird. Bloomberg zufolge deuten jedoch Ähnlichkeiten mit früheren Angriffen auf das Amt für Personalmanagement und Anthem Inc. darauf hin, dass der Angreifer staatlich gefördert werden könnte, möglicherweise chinesisch. Dass die Informationen der Equifax-Kunden nicht auf dem Schwarzmarkt auftauchten, deutet auch darauf hin, dass die Hacker nicht einfach nur Kriminelle waren. Bloomberg berichtet auch, dass die Angreifer bestimmte Personen angriffen, möglicherweise aufgrund ihres Reichtums oder ihres Geheimdienstwerts.
Angesichts der Tatsache, dass in den USA rund 250 Millionen Erwachsene leben, stehen die Chancen gut, dass Sie von dem Verstoß betroffen sind. Es ist auch möglich, dass Sie bereits Opfer eines Betrugs wurden, da der Angriff vor fast sechs Monaten begann.
Equifax mit Sitz in Atlanta, eine der drei größten Agenturen für Verbraucherkredite - die beiden anderen sind Experian PLC (London: EXPN) und TransUnion (TRU) -, sammelt Daten wie Sozialversicherungsnummern, Kreditkartennummern, Führerscheinnummern, Miete und Versorgungsunternehmen Zahlungsinformationen und demografische Daten. Da es sich bei dem Modell von Equifax in erster Linie um ein Business-to-Business-Modell handelt, wissen viele Kunden nicht, dass ihre Daten von der Firma gespeichert werden. Abgesehen davon, dass das Finanz- und Kreditsystem insgesamt umgangen wird, gibt es keine einfache Möglichkeit, die Speicherung personenbezogener Daten durch Equifax zu beenden. (Siehe auch 5 größte Kreditkarten-Daten-Hacks in der Geschichte. )
So überprüfen Sie, ob Sie betroffen waren
Equifax hat eine Website eingerichtet, auf der Sie überprüfen können, ob Ihre Daten kompromittiert wurden, indem Sie Ihren Nachnamen und die letzten sechs Ziffern Ihrer Sozialversicherungsnummer eingeben. Diese Seite wurde heftig kritisiert und wir haben den Link aufgrund von Sicherheitsfragen entfernt. Die Einrichtung erfolgte mit WordPress, einer Standard-Blogging-Plattform. Es befindet sich in einer separaten Domain zum Hauptstandort von Equifax. Das Unternehmen hat es versäumt, ähnliche URLs zu registrieren, die für Phishing-Angriffe verwendet werden könnten. Ein White-Hat-Hacker hat genau eine solche Site eingerichtet, um dies zu beweisen, und ein offizieller Equifax-Account hat den Link zur gefälschten Site getwittert. Mehr als einmal.
Equifax bot den betroffenen oder nicht betroffenen Kunden die folgenden Dienste an, die es TrustedID Premier nennt: Kopien einer Equifax-Kreditauskunft, Kreditüberwachung und automatische Warnmeldungen für alle drei großen Kreditauskünfte, die Möglichkeit, den Zugriff Dritter auf Ihre Equifax-Kreditauskunft zu blockieren (mit Ausnahmen), Überwachung der Sozialversicherungsnummer und 1 Mio. USD Identitätsdiebstahlversicherung. Bewerbungsschluss war der 21. November 2017.
Das Unternehmen gibt an, dass diese Dienste alle kostenlos sind, aber das Einfrieren der Sicherheit in eine Kreditakte war anfangs nicht kostenlos - zumindest nicht für alle. Als ich am 8. September versuchte, eine Equifax-Kreditakte einzufrieren, teilte die Website des Unternehmens mit, dass der Service 3, 00 USD kosten würde, und bat um Kreditkarteninformationen, um die Zahlung zu verarbeiten.
Als Einwohner von New York konnte ich meine Experian-Datei kostenlos einfrieren. Die Site von TransUnion konnte die Anfrage zunächst nicht verarbeiten - wahrscheinlich ein Symptom für erhöhten Datenverkehr -, aber später konnte ich ein kostenloses Freeze platzieren.
In einer per E-Mail gesendeten Erklärung teilte ein Equifax-Sprecher Investopedia am 14. September mit, dass das Unternehmen auf alle Gebühren für das Einfrieren von Kreditakten verzichtet und Kunden, die dafür nach der Veröffentlichung des Hacks bezahlt haben, automatisch erstattet. Eine neue Besorgnis - und ein deutlicher Sicherheitsverlust - ist nun in Bezug auf die PINs aufgetreten, die das Unternehmen an Kunden ausgegeben hat, die ihre Kreditauskünfte eingefroren hatten. Diese PINs, die es Kunden ermöglichen, Kreditberichte freizugeben, folgen einem leicht identifizierbaren Muster. Der Sprecher sagte, dass Kunden mit diesen fehlerhaften PINs die Nummer 866-349-5191 anrufen müssen, um mit einem Live-Agenten zu sprechen.
Die kostenlosen Equifax-Listen für TrustedID Premier-Dienste sind nur ein Jahr lang kostenlos. Ein Equifax-Sprecher teilte Investopedia mit, dass das Unternehmen keine Kreditkarteninformationen anfordert, wenn sich Kunden für den Service anmelden, und dass das Unternehmen ihn nicht automatisch erneuert oder eine Gebühr erhebt. Der Standardsatz von Equifax für die Kreditüberwachung beträgt 17 USD pro Monat.
Was tun, wenn Sie betroffen waren?
Liz Weston, eine persönliche Finanzautorin bei NerdWallet, hat den folgenden Rat für die von der Equifax-Verletzung Betroffenen, den sie Investopedia in einer E-Mail mitteilte: "Equifax wird die Opfer erreichen und ihnen eine Kreditüberwachung anbieten. Die Opfer sollten dies sicherstellen Das Einverständnis mit der Überwachung hindert sie nicht daran, sich später an Gerichtsverfahren oder anderen Handlungen zu beteiligen."
Ursprünglich forderten die Nutzungsbedingungen von TrustedID Premier (archivierte Version) von den Nutzern, auf ihr Recht zu verzichten, sich einer Sammelklage gegen Equifax anzuschließen: "Durch die Zustimmung, Ihre Ansprüche vor einem Schiedsgericht zu stellen, verfallen Sie Ihr Recht zu bringen oder daran teilzunehmen in einer Sammelklage (ob als benannter Kläger oder als Mitglied einer Sammelklage) oder zur Teilnahme an Sammelklageprämien, einschließlich Sammelklagen, bei denen eine Klasse noch nicht zertifiziert wurde, auch wenn die Tatsachen und Umstände, auf denen die Sammelklagen beruhen, bereits eingetreten sind oder existierte. " Nach einer Gegenreaktion wurde die FAQ-Seite des Unternehmens aktualisiert, um darauf hinzuweisen, dass die Klausel für den TrustedID Premier-Dienst galt und nicht für den Hack. Ab dem Morgen des 12. Septembers enthalten die Nutzungsbedingungen keine Schiedsklausel mehr.
Laut Weston sollten betroffene Kunden in Betracht ziehen, ihre Kreditauskünfte in allen drei großen Büros einzufrieren. Wie oben erwähnt, können Kreditauskunfteien Gebühren für die Einleitung dieses Einfrierens erheben. Möglicherweise wird Ihnen auch das Aufheben der Sperrgebühr in Rechnung gestellt, wenn Sie eine Bonitätsprüfung benötigen (z. B. zur Beantragung eines Mobiltelefondienstes). Diese Gebühren betragen in der Regel weniger als 10 US-Dollar, können sich aber summieren. Weston stellt fest, dass eine andere Möglichkeit darin besteht, eine Betrugsbenachrichtigung in Ihre Kreditauskünfte bei den drei Kreditauskunfteien einzutragen. (Weitere Informationen finden Sie unter Wiederherstellen nach Identitätsdiebstahl .)
Andere Kreditüberwachungsdienste, die nicht von Equifax gesponsert werden, sind ebenfalls verfügbar. Identitätsdiebstahl-Schutz-Dienstleistungen: Wert, zu haben? listet mehrere auf, die Sie untersuchen können.
Antwort von Equifax
Der damalige Vorsitzende und CEO von Equifax, Richard Smith, sagte nach dem Hack, es sei "eindeutig ein enttäuschender Vorfall für unser Unternehmen und ein Vorfall, der das Herz unserer Person und unserer Tätigkeit berührt". Er ist am 26. September zurückgetreten und erhält für 2017 keinen Bonus. Seine Abreise erfolgte nach der des Chief Security Officer Susan Mauldin und des Chief Information Officer David Webb am 14. September.
Einige Tage, nachdem das Unternehmen den Hack intern aufgedeckt hatte - und bevor der Verstoß der Öffentlichkeit bekannt wurde -, verkauften der Finanzvorstand von Equifax, John Gamble, sein Präsident für Workforce Solutions, Rodolfo Ploder, und sein Präsident für US-amerikanische Informationslösungen, Joseph Loughran, ihre Equifax-Aktien. Equifax teilte in einer Erklärung mit, dass die Führungskräfte nicht über den Verstoß informiert waren, als sie ihre Aktien verkauften. Gamble, Ploder und Loughran haben zusammen fast 1, 8 Millionen US-Dollar mit dem Verkauf verdient.
Zum 28. Februar fiel die Equifax-Aktie von ihrem Schlusskurs am 7. September (bevor der Hack angekündigt wurde) um 20, 1% auf 113, 00 USD. Nach mehreren Verzögerungen wird Equifax nach Abschluss am 1. März einen Gewinn für das vierte Quartal ausweisen.
Lassen Sie die Klagen beginnen
Reuters berichtete am 11. September, dass mehr als 30 Klagen gegen Equifax bei Gerichten in den USA eingereicht wurden, von denen viele Sammelklagen beantragten. Mehrere behaupten Verstöße gegen das Wertpapierrecht; andere werfen TrustedID vor, Kunden, die von dem Datenverstoß betroffen waren, kostenintensive Dienste anzubieten. Fünf Einwohner von Utah haben das Unternehmen vor dem US-Bezirksgericht verklagt, weil sie die sensiblen Daten der Kunden nicht geschützt haben. Die Klage fordert einen finanziellen Schadenersatz von 5 Milliarden US-Dollar und die Auferlegung strengerer Industriestandards.
Einige betroffene Kunden gehen einen weniger traditionellen Weg, um Equifax zu kontaktieren. Der DoNotPay-Chatbot bietet Unterstützung bei der Einreichung einer Beschwerde bei staatlichen Gerichten für geringfügige Forderungen, bei denen die Höchststrafen zwischen 2.500 und 25.000 US-Dollar liegen. Der Bot kann nur Unterlagen für eine Klage erstellen, nicht aber tatsächlich einreichen oder vor Gericht erscheinen, so der Verge.
Das FBI und der in Atlanta ansässige US-Anwalt John Horn gaben am 18. September eine strafrechtliche Untersuchung des Verstoßes bekannt. Das Consumer Financial Protection Bureau und 34 Generalstaatsanwälte führen Ermittlungen durch.
Mr. Smith geht nach Washington
Am 3. Oktober sagte der frühere CEO Richard Smith vor dem Unterausschuss für digitalen Handel und Verbraucherschutz des Hauses aus. Er entschuldigte sich mehrmals für das Versäumnis von Equifax, Verbraucherdaten zu schützen, und stellte Fragen zu einer Reihe von Problemen im Zusammenhang mit dem Verstoß und der Reaktion von Equifax. Die Aktien des Unternehmens stiegen nach der Aussage, blieben aber weit unter dem Stand, auf dem es vor der Veröffentlichung des Hack gehandelt wurde.
Als Antwort auf Fragen zu der umstrittenen Schiedsklausel, die ursprünglich in den Nutzungsbedingungen von TrustedID Premier enthalten war, sagte Smith, dass die Klausel "boilerplate" niemals für den Verstoß gelten sollte, und nannte ihre Aufnahme einen "Fehler". Er würde nicht dasselbe von ähnlichen Klauseln sagen, die andere Equifax-Dienste regeln, die er "Standard" nannte.
Der Verkauf von Aktien zu verdächtigen Zeitpunkten wurde ebenfalls kritisch geprüft: Abgeordneter Jan Schakowsky, ein Demokrat aus Illinois, sagte, der Verkauf bestehe "die Geruchsprüfung nicht", aber Smith sagte, "nach meinem besten Wissen wussten sie nichts darüber" die Verletzung zu der Zeit.
Smith beschrieb die Sicherheitslücke als Folge menschlichen Versagens und eines technologischen Versagens: Die Person, die dafür verantwortlich war, die Apache Struts-Software zu patchen, die eine öffentlich bekannte Sicherheitslücke aufwies, die von den Angreifern ausgenutzt wurde, versäumte dies und ein Scanner, der dies getan hätte alarmiert das Unternehmen über diesen Fehler auch fehlgeschlagen.
Die kritische Reaktion des Unternehmens wurde auch kritisiert: Das Einrichten einer WordPress-Site mit einer verdächtigen URL, das Versagen, ähnliche Domänen zu sichern (und sogar das Weiterleiten von Kunden zu einer dieser Domänen), das Versagen, Call-Center angemessen zu besetzen, und das allgemeine Erstellen von Websites der Eindruck, dass das Unternehmen, das zum Sammeln, Sichern und Verkaufen sensibler Daten existiert, auf einen Cyberangriff auf seine Datenbanken völlig unvorbereitet war. Abgeordneter Markwayne Mullin, ein Republikaner aus Oklahoma, sagte Smith, seine Antwort hätte lauten sollen, als hätte er einen Feueralarm ausgelöst: "Es setzt sofort ein." Smith antwortete, dass sein Team "Protokoll folgte". Mehrere Vertreter erwähnten, dass Smith im August eine Rede hielt, in der er Betrug als "große Chance" und "massives, wachsendes Geschäft" beschrieb - nachdem er von dem Verstoß erfahren hatte.
Smith lehnte es ab, Fragen zur Quelle des Angriffs zu beantworten, einschließlich der Frage, ob es sich um einen staatlichen Akteur handeln könnte. Er sagte einfach, dass das FBI eine Untersuchung durchführt. Er verteidigte die Investitionen von Equifax in die Cybersicherheit während seiner Amtszeit und erklärte, als er vor zwölf Jahren ankam, gab es praktisch keine Investitionen in den Datenschutz. Das Unternehmen gab eine Viertelmilliarde Dollar aus und stellte ein 225-köpfiges Team ein, um die Daten des Unternehmens zu sichern, sagte Smith und investierte 10-14% des IT-Budgets des Unternehmens in Cybersicherheit.
Einige Vertreter gaben an, der Verstoß habe grundlegende Fragen zur Rolle der Kreditüberwachungsbranche und zu den Rechten der Verbraucher aufgeworfen. "Was ist, wenn ich Equifax wählen möchte?" Fragte Schakowski. Smith antwortete: "Das erfordert eine viel breitere Diskussion über die Rolle der Kreditauskunfteien." Abgeordneter Tonko, ein Demokrat aus New York, wiederholte die Meinung und wies darauf hin, dass er kein "Kunde" sei, da er sich nie für eine Geschäftsbeziehung mit Equifax entschieden habe. "Warum darf diese Firma weiter bestehen?" er hat gefragt. An verschiedenen Stellen stellte Smith den Wert von Sozialversicherungsnummern in Frage, um die Identität zu beweisen, und verwies vage darauf, dem Verbraucher "Macht zurück zu geben".
Die größte Frage des Tages kam von der kalifornischen Demokraten Doris Matsui: "Besitze ich meine Daten?" Smith konnte nicht antworten. (Siehe auch Blockchain könnte Sie - nicht Equifax - zum Eigentümer Ihrer Daten machen. )