Equifax Inc. (EFX) הודיעה ביום 7 בספטמבר 2017 כי 143 מיליון מלקוחותיה הושפעו מפריצה שהתרחשה באמצע מאי ליולי. נתון זה הוטל על 145.5 מיליון במהלך השבועות שלאחר מכן, אז ל 147.9 מיליון ב -1 במרץ, 2018, כאשר החברה אמרה כי היא זיהתה 2.4 מיליון קורבנות נוספים.
לאחר סגירת השוק באותו יום, דיווחה החברה על תוצאות כספיות ברבעון הרביעי והשנה. הכנסות החברה ברבעון הרביעי עלו ב -5% בהשוואה לשנה ל 838.5 מיליון דולר. הרווח הנקי ברבעון עלה ב -40% משנה לשנה ל -172.3 מיליון דולר. ההכנסות והרווחים לשנה שלמה עלו גם בהשוואה לשנת 2016: ההכנסות עלו ב -7% ל -3.4 מיליארד דולר, בעוד שההכנסה נטו עלתה ב -20% ל -587.3 מיליון דולר. מהחברה נמסר כי ההאפק עלה לו 26.5 מיליון דולר ברבעון הרביעי ו -114.0 מיליון דולר בשנה המלאה, בניכוי דמי ביטוח. המניה, שסגרה 1.3% בתום ה- S&P 500, עלתה ב -0.6% במסחר לאחר שעות הפעילות בזמן הכתיבה.
על פי אקיפקס, נחשפו עד 209, 000 מספרי כרטיסי האשראי של לקוחות, ומסמכי מחלוקת הקשורים ל 182, 000 צרכנים אמריקאים - הכוללים מידע אישי - נפגעו. הצרכן הבריטי הושפע גם מההפרה; יתכן שחלק מהקנדים נפגעו. על פי הדיווח ב"וול סטריט ג'ורנל ", כשהוא מציין מקור שלא צוין, 10.9 מיליון נתוני רישיון הנהיגה האמריקאים נגנבו בהפרה.
החברה ידעה על הפיגוע מאז 29 ביולי, אך חיכתה למעלה מחודש כדי להתריע בפני הציבור. ב- 20 בספטמבר דווח כי מנדיאנט, חברת הבת FireEye Inc. (FEYE), שחוזה על ידי חברת אקוויפקס, מעריכה את ההפרה עד היום לפחות ב -10 במרץ.
אין מעט מידע לגבי מקור הפיגוע, שנחקר על ידי ה- FBI, אך לדברי בלומברג, קווי דמיון למתקפות קודמות במשרד ניהול כוח אדם ואנת'ם בע"מ מציעים כי התוקף יכול להיות בחסות מדינה, אולי סיני. כי המידע של לקוחות Equifax לא הופיע בשוק השחור מעיד גם על כך שההאקרים לא היו פשוט עבריינים. בלומברג מדווח גם כי התוקפים כיוונו לאנשים ספציפיים, אולי בגלל עושרם או ערך המודיעין שלהם.
בהתחשב בעובדה שהאוכלוסייה הבוגרת בארה"ב מונה כ -250 מיליון, רוב הסיכויים שהושפעת מההפרה. יתכן גם שכבר היית קורבן להונאה, מאז התקיפה החלה לפני כמעט חצי שנה.
אקוויפקס, אטלנטה, אחת משלוש סוכנויות הדיווח הגדולות בנושא אשראי צרכני - השניים האחרים הם Experian PLC (לונדון: EXPN) ו- TransUnion (TRU)) אוספת נתונים הכוללים מספרי ביטוח לאומי, מספרי כרטיסי אשראי, מספרי רישיון נהיגה, שכר דירה וכלי שירות פרטי תשלום ונתונים דמוגרפיים. מכיוון שהמודל של אקוויפקס הוא בעיקר עסקי לעסק, רבים מלקוחותיו אינם מודעים לכך שהנתונים שלהם מאוחסנים על ידי המשרד. מלבד הימנעות לחלוטין ממערכת הפיננסים והאשראי, אין דרך ישירה לבחור לאחסן נתונים אישיים על ידי Equifax. (ראו גם 5 פריצות נתוני כרטיסי אשראי הגדולות בהיסטוריה. )
כיצד לבדוק אם הושפעת
Equifax הקימה אתר בו תוכלו לבדוק אם המידע שלכם נפגע על ידי מתן שם המשפחה שלכם ושש הספרות האחרונות של מספר הביטוח הלאומי. אתר זה עבר ביקורת נוקבת והסרנו את הקישור בגלל שאלות הנוגעות לאבטחתו. זה הוקם באמצעות וורדפרס, פלטפורמת בלוגים מדף. הוא שוכן בדומיין נפרד לאתר הראשי של Equifax. החברה לא זכתה לרשום כתובות URL דומות, שיכולות לשמש להתקפות דיוג; האקר לבן כובעים אחד הקים אתר כזה כדי להוכיח נקודה, וחשבון Equifax רשמי צייץ את הקישור לאתר המזויף. יותר מפעם אחת.
Equifax הציעה ללקוחות - מושפעים או לא - את השירותים הבאים, אותם היא מכנה TrustedID Premier: עותקים של דוח אשראי של Equifax, ניטור אשראי והתראות אוטומטיות עבור כל שלוש לשכות האשראי הגדולות, היכולת לחסום גישה של צד שלישי לדוח האשראי שלך ב- Equifax. (למעט חריגים), פיקוח על מספר תעודת זהות וביטוח גניבת זהות של מיליון דולר. המועד האחרון להגיש מועמדות היה 21 בנובמבר 2017.
החברה טוענת כי השירותים הללו כוללים בחינם, אך הצבת הקפאת אבטחה בתיק אשראי לא הייתה בחינם - לפחות לא לכולם. כשניסיתי להקפיא קובץ אשראי של Equifax ב- 8 בספטמבר, האתר של החברה אמר שהשירות יעלה 3.00 דולר וביקש מידע על כרטיסי אשראי כדי לעבד את התשלום.
כתושב ניו יורק הצלחתי להציב בחינם את הקפאת קובץ ה- Experian שלי. האתר של TransUnion לא הצליח לעבד את הבקשה בתחילה - ככל הנראה סימפטום של תנועה מוגברת - אך בהמשך אפשר לי להציב הקפאה ללא עלות.
בהודעה שנשלחה בדוא"ל, דובר Equifax אמר ל- Investopedia ביום 14 בספטמבר כי המשרד מוותר על כל ההאשמות להקפאת קבצי אשראי ומחזיר אוטומטית לקוחות ששילמו כדי לעשות זאת לאחר פרסום הפריצה. חשש חדש - ותקופת אבטחה ברורה - נוצר כעת סביב מספרי ה- PIN שהנפיקה החברה ללקוחות שהקפיאו את דוחות האשראי שלהם. מספרי PIN אלה, המאפשרים ללקוחות לפרוק דוחות אשראי, עוקבים אחר דפוסים שניתן לזהות בקלות. הדובר אמר כי לקוחות עם מספר זיהוי אישי מסודר, חייבים להתקשר למספר 866-349-5191 כדי לדבר עם סוכן חי.
TrustedID Premier מספקת רשימות Equifax כמחמיאות חינם בחינם למשך שנה. דובר אקוויפקס אמר לחברת Investopedia כי החברה אינה מבקשת מידע על כרטיסי אשראי כאשר לקוחות נרשמים לשירות וכי החברה לא תחדש אותו אוטומטית או תגבה עמלה. השיעור הרגיל של Equifax למעקב אחר אשראי הוא 17 $ לחודש.
מה לעשות אם הושפעתם
ליז ווסטון, סופרת כספים אישיים ב- NerdWallet, יש את העצות הבאות למי שנפגע מההפרה של אקוויפקס, אותה שיתפה במייל: "אקוויפקס תושיט יד לקורבנות ותציע להם פיקוח על אשראי. הקורבנות צריכים לוודא כי הסכמה למעקב אינה מונעת מהם להצטרף לתביעות או פעולות אחרות בהמשך הדרך."
תחילה, תנאי השירות של TrustedID Premier (גרסה בארכיון) מחייבים למעשה את המשתמשים לוותר על זכותם להצטרף לתביעה ייצוגית נגד אקוויפקס: "על ידי הסכמתך להגיש את תביעותיך לבוררות, אתה תשליך את זכותך להביא או להשתתף בה בכל תובענה ייצוגית (בין כתובעת בשם ובין כחבר כיתה) ובין אם לשתף בכל פרסי תובענות ייצוגיות, לרבות תביעות ייצוגיות בהן טרם אושרה כיתה, גם אם העובדות והנסיבות עליהן מבוססות התביעות כבר התרחשו או שהיה קיים. " לאחר הפיגוע, עודכן עמוד השאלות הנפוצות של החברה ואמר כי הסעיף חל על שירות TrustedID Premier, ולא על הפריצה. החל בבוקר ה- 12 בספטמבר, תנאי השירות אינם כוללים עוד סעיף בוררות.
ווסטון אומר שלקוחות שנפגעו צריכים לשקול להקפיא את דוחות האשראי שלהם בכל שלושת הלשכות הגדולות. כאמור, לשכות אשראי עשויות לגבות עמלות בגין התחלת הקפאה זו. יתכן שתחויב בגין הפרשת חשבונות כשאתה זקוק לבדיקת אשראי (כדי להגיש בקשה לשירות טלפון סלולרי, למשל). עמלות אלה הן בדרך כלל פחות מ- 10 $, אך הן יכולות להסתכם. ווסטון מציין כי אפשרות נוספת היא להציב התראת הונאה על דוחות האשראי שלך בשלוש לשכות האשראי. (לפרטים נוספים, ראה כיצד להתאושש מגניבת זהות .)
שירותי ניטור אשראי אחרים שאינם בחסות Equifax זמינים אף הם. שירותי הגנה מפני גניבת זהות: כדאי? מפרטת כמה מהם עבורך לחקור.
תגובת אקוויפקס
ראש הישיבה והמנכ"ל של אקוויפקס דאז, ריצ'רד סמית ', אמר לאחר הפריצה כי מדובר "בבירור באירוע מאכזב עבור החברה שלנו, וכזה שמכה בלב מי אנחנו ומה שאנחנו עושים." הוא התפטר ב -26 בספטמבר ולא יקבל בונוס לשנת 2017. עזיבתו עקבה אחרי אלה של קצין הביטחון הראשי סוזן מאולדין וקצין המידע הראשי דיוויד ווב ב- 14 בספטמבר.
ימים ספורים לאחר שחברה חשפה את הפריצה באופן פנימי - ולפני שנחשפה ההפרה בפני הציבור - מכר מנהל הכספים הראשי של אקוויפקס ג'ון גמבל, נשיא פתרונות כוח האדם שלה רודולפו פלודר, ונשיא פתרונות המידע האמריקניים ג'וזף לוורן את מניותיהם של אקוויפקס. אקוויפקס אמר בהצהרה כי הבכירים לא ידעו על ההפרה כשמכרו את מניותיהם. גמבל, פלודר ולוברן הרוויחו באופן קולקטיבי כמעט 1.8 מיליון דולר מהמכירות.
נכון ליום 28 בפברואר, המניה של Equifax צנחה ב -20.1% מאז הסגירה שלה ביום 7 בספטמבר (לפני שהוכרז על הפריצה) לרמה של 113.00 דולר. לאחר מספר עיכובים, אקוויפקס טוענת כי היא תדווח על הרווחים ברבעון הרביעי לאחר סגירה ב -1 במרץ.
תתחיל לתביעות
רויטרס דיווחה ב- 11 בספטמבר כי למעלה מ -30 תביעות - רבות מהן מבקשות תובענה ייצוגית - הוגשו נגד אקוויפקס בבתי המשפט בארה"ב. כמה טוענים בהפרות של חוק ניירות ערך; אחרים מאשימים את TrustedID בהצבת שירותים יקרים ללקוחות שהושפעו מהפרת הנתונים. חמישה תושבי יוטה תבעו את החברה בבית המשפט המחוזי בארה"ב בגין אי הגנה על הנתונים הרגישים של הלקוחות. התביעה מבקשת נזק כספי של 5 מיליארד דולר והטלת תקנים מחמירים בתעשייה.
כמה לקוחות שנפגעו עוברים מסלול פחות מסורתי בבקשת הפנייה מ- Equifax. צ'ט בוט של DoNotPay מספק סיוע בהגשת תלונה בבתי משפט לתביעות קטנות במדינה, כאשר העונשים המרביים נעים בין 2, 500 ל 25, 000 $. הבוט יכול לייצר ניירת רק לתביעה, לא ממש להגיש אותה או להופיע בבית המשפט, על פי ה- Verge.
עו"ד ארה"ב והעו"ד האמריקני ג'ון הורן, שבסיסו באטלנטה, הודיעו על חקירה פלילית בנושא ההפרה.
מר סמית 'הולך לוושינגטון
ב -3 באוקטובר העיד המנכ"ל לשעבר ריצ'רד סמית בפני ועדת המשנה של המסחר הדיגיטלי והגנת הצרכן. הוא התנצל מספר פעמים על כישלונו של Equifax בהגנה על נתוני צרכנים והתמודד עם שאלות על מגוון סוגיות הקשורות להפרה ותגובת Equifax. מניית החברה עלתה בעקבות העדות, אך נותרה הרבה מתחת לרמות בהן נסחרה לפני שנחשפה הפריצה.
בתשובה לשאלות הנוגעות לסעיף הבוררות השנוי במחלוקת שנכלל בתחילה בתנאי השירות של TrustedID Premier, אמר סמית 'כי סעיף "לוח הדוד" מעולם לא נועד לחול על ההפרה וכינה הכללתה "טעות". הוא לא היה אומר את אותו הדבר בסעיפים דומים המסדירים שירותי אקוויפקס אחרים, אותם כינה "סטנדרט".
מכירות המניות המנהלות המועדפות באופן חשד עברו גם הן בבחינה: הנציג ג'אן שקובסקי, דמוקרט מאילינוי, אמר כי המכר "לא עובר את מבחן הריח", אבל סמית 'קבע, "למיטב ידיעתי, הם לא ידעו" על הפרצה באותה תקופה.
סמית 'תיאר את ההפרה כתוצאה מטעות אנוש וכישלון טכנולוגי: האחראי על הקפדה לתקן את תוכנת אפאצ'י סטרטס - שהייתה בעלת פגיעות ידועה בציבור שהתוקפים ניצלו - לא הצליח לעשות זאת, וסורק שהיה יכול התראה לחברה על שגיאה זו נכשלה גם היא.
התגובה המתנפנפת של החברה למשבר הגיעה גם לביקורת: הקמת אתר וורדפרס עם כתובת URL חשודה, כישלון באבטחת דומיינים דומים (ואפילו הפניית לקוחות לאחד מאותם דומיינים), כישלון באיוש הולם של מוקדים טלפוניים ובאופן כללי יצירת הרושם שהחברה - שקיימת לאיסוף, אבטחה ומכירה של נתונים רגישים - לא הייתה מוכנה לחלוטין להתקפת סייבר במאגרי המידע שלה. הנשיא מרקווין מולין, רפובליקני מאוקלהומה, אמר לסמית 'תגובתו הייתה צריכה להיות כמו למשוך אזעקת אש: "זה מיד נכנס למקומו." סמית השיב כי הצוות שלו "עקב אחר הפרוטוקול". כמה נציגים הזכירו כי סמית נשא נאום המתאר הונאה כ"הזדמנות ענקית "ו"עסק מסיבי וצומח" באוגוסט - לאחר שידע על ההפרה.
סמית סירב לענות על שאלות על מקור הפיגוע, כולל האם מדובר בשחקן ממלכתי. הוא אמר בפשטות כי ה- FBI מבצע בדיקה. הוא הגן על השקעותיו של אקוויפקס בתחום אבטחת הרשת במהלך כהונתו, ואמר שכאשר הגיע לפני שתים-עשרה שנים, כמעט ולא הייתה כל השקעה בהגנה על מידע. החברה הוציאה רבע מיליארד דולר ושכרה צוות של 225 איש כדי לאבטח את נתוני החברה, אמר סמית ', והשקיעה את תקן התעשייה 10-14% מתקציב ה- IT של החברה באבטחת סייבר.
כמה נציגים ציינו כי ההפרה פתחה שאלות מהותיות בנוגע לתפקיד ענף פיקוח האשראי וזכויות הצרכנים. "מה אם אני רוצה לבחור ב- Equifax שלנו?" שאל שקובסקי. סמית ענה, "זה דורש דיון רחב בהרבה סביב תפקידם של סוכנויות לדיווחי אשראי." הנציג טונקו, דמוקרט מניו יורק, הדהד את הסנטימנט והצביע שהוא לא באמת "לקוח", מעולם לא בחר לעשות עסקים עם אקוויפקס. "מדוע מותר לחברה הזו להמשיך להתקיים?" הוא שאל. בנקודות שונות, סמית הטיל ספק בערך מספרי הביטוח הלאומי כדרך להוכיח זהות והפנה התייחסויות מעורפלות למתן "כוח לצרכן".
השאלה הגדולה ביותר של היום הגיעה מהדמוקרט בקליפורניה דוריס מטסוי: "האם אני הבעלים של הנתונים שלי?" סמית לא יכול היה לענות. (ראה גם, Blockchain עלול לגרום לך - לא Equifax - להיות בעל הנתונים שלך. )
