Equachus Inc. (EFX) đã công bố vào ngày 7 tháng 9 năm 2017 rằng 143 triệu khách hàng của họ đã bị ảnh hưởng bởi một vụ hack xảy ra vào giữa tháng Năm và tháng Bảy. Con số đó đã bị giảm xuống còn 145, 5 triệu trong những tuần tiếp theo, sau đó lên tới 147, 9 triệu vào ngày 1 tháng 3 năm 2018, khi công ty cho biết họ đã xác định được 2, 4 triệu nạn nhân.
Sau khi thị trường đóng cửa cùng ngày, công ty đã báo cáo kết quả tài chính quý IV và cả năm. Doanh thu quý IV của công ty tăng 5% so với năm trước, đạt 838, 5 triệu đô la. Thu nhập ròng trong quý tăng 40% so với năm trước, đạt $ 172, 3 triệu. Doanh thu và lợi nhuận cả năm cũng tăng so với năm 2016: doanh thu tăng 7% lên 3, 4 tỷ USD, trong khi thu nhập ròng tăng 20% lên 587, 3 triệu USD. Công ty cho biết vụ hack đã tiêu tốn 26, 5 triệu đô la trong quý IV và 114, 0 triệu đô la trong cả năm, thanh toán ròng bảo hiểm. Các cổ phiếu, đóng cửa giảm 1, 3% phù hợp với S & P 500, tăng 0, 6% trong giao dịch sau giờ làm việc tại thời điểm viết.
Có tới 209.000 số thẻ tín dụng của khách hàng đã bị lộ, theo Equachus, và các tài liệu tranh chấp liên quan đến 182.000 người tiêu dùng Mỹ - bao gồm thông tin cá nhân - đã bị xâm phạm. Người tiêu dùng Anh cũng bị ảnh hưởng do vi phạm; có thể một số người Canada đã bị xâm phạm. Theo Tạp chí Phố Wall, trích dẫn một nguồn tin giấu tên, 10, 9 triệu dữ liệu giấy phép lái xe của người Mỹ đã bị đánh cắp do vi phạm.
Công ty đã biết về vụ tấn công kể từ ngày 29 tháng 7, nhưng đã chờ hơn một tháng để cảnh báo công chúng. Vào ngày 20 tháng 9, đã có báo cáo rằng Mandiant, công ty con của FireEye Inc. (FEYE) được ký hợp đồng bởi Equreb, ước tính vi phạm cho đến ngày ít nhất là ngày 10 tháng 3.
Có rất ít thông tin liên quan đến nguồn gốc của vụ tấn công đang được FBI điều tra, nhưng theo Bloomberg, những điểm tương đồng với các cuộc tấn công trước đó vào Văn phòng Quản lý Nhân sự và Anthem Inc. cho thấy kẻ tấn công có thể là nhà nước, có lẽ là người Trung Quốc. Thông tin của khách hàng Equachus không xuất hiện trên thị trường chợ đen cũng cho thấy tin tặc không chỉ đơn giản là tội phạm. Bloomberg cũng báo cáo rằng những kẻ tấn công nhắm vào các cá nhân cụ thể, có lẽ vì sự giàu có hoặc giá trị thông minh của họ.
Cho rằng dân số trưởng thành của Hoa Kỳ là khoảng 250 triệu, rất có thể bạn đã bị ảnh hưởng bởi vi phạm. Cũng có thể bạn đã là nạn nhân của lừa đảo, vì cuộc tấn công đã bắt đầu gần sáu tháng trước.
Equachus có trụ sở tại Atlanta, một trong ba cơ quan báo cáo tín dụng tiêu dùng lớn - hai cơ quan còn lại là Experian PLC (London: EXPN) và TransUnion (TRU) - thu thập dữ liệu bao gồm số An sinh xã hội, số thẻ tín dụng, số giấy phép lái xe, tiền thuê và tiện ích thông tin thanh toán, và dữ liệu nhân khẩu học. Bởi vì mô hình của Equachus chủ yếu là doanh nghiệp với doanh nghiệp, nhiều khách hàng của công ty không biết rằng dữ liệu của họ được lưu trữ bởi công ty. Ngoài việc tránh hoàn toàn hệ thống tài chính và tín dụng, không có cách nào đơn giản để từ chối có dữ liệu cá nhân được lưu trữ bởi Equreb. (Xem thêm, 5 vụ hack dữ liệu thẻ tín dụng lớn nhất trong lịch sử. )
Làm thế nào để kiểm tra nếu bạn bị ảnh hưởng
Equachus đã thiết lập một trang web nơi bạn có thể kiểm tra xem thông tin của bạn có bị xâm phạm hay không bằng cách cho biết họ của bạn và sáu chữ số cuối của số An sinh xã hội của bạn. Trang web này đã trở thành chủ đề của sự chỉ trích dữ dội và chúng tôi đã xóa liên kết do các câu hỏi liên quan đến bảo mật của nó. Nó được thiết lập bằng WordPress, một nền tảng viết blog sẵn có. Nó được đặt tại một miền riêng biệt đến trang web chính của Equachus. Công ty đã bỏ qua việc đăng ký các URL tương tự, có thể được sử dụng cho các cuộc tấn công lừa đảo; một hacker mũ trắng đã thiết lập một trang web như vậy để chứng minh một quan điểm và một tài khoản Equachus chính thức đã tweet liên kết đến trang web giả mạo. Nhiều hơn một lần.
Equachus cung cấp cho khách hàng - bị ảnh hưởng hay không - các dịch vụ sau, được gọi là TrustedID Premier: bản sao của báo cáo tín dụng Equachus, giám sát tín dụng và cảnh báo tự động cho cả ba văn phòng tín dụng chính, khả năng chặn quyền truy cập của bên thứ ba vào báo cáo tín dụng Equachus của bạn (có ngoại lệ), giám sát số An sinh Xã hội và bảo hiểm trộm cắp danh tính 1 triệu đô la. Hạn chót nộp đơn là ngày 21/11/2017.
Công ty cho biết các dịch vụ này đều miễn phí, nhưng việc đóng băng bảo mật trên hồ sơ tín dụng ban đầu không miễn phí - ít nhất là không dành cho tất cả mọi người. Khi tôi cố gắng đóng băng hồ sơ tín dụng Equachus vào ngày 8 tháng 9, trang web của công ty cho biết dịch vụ sẽ có giá $ 3, 00 và yêu cầu thông tin thẻ tín dụng để xử lý khoản thanh toán.
Là một cư dân New York, tôi đã có thể đóng băng miễn phí trên tệp Experian của mình. Trang web của TransUnion không thể xử lý yêu cầu ban đầu - có thể là triệu chứng của lưu lượng truy cập tăng - nhưng sau đó cho phép tôi đặt miễn phí.
Trong một tuyên bố gửi qua email, một phát ngôn viên của Equachus nói với Investopedia vào ngày 14 tháng 9 rằng công ty đang miễn tất cả các khoản phí để đóng băng các tập tin tín dụng và sẽ tự động hoàn trả cho những khách hàng đã trả tiền sau khi vụ hack được công khai. Một mối quan tâm mới - và mất hiệu lực rõ ràng trong bảo mật - hiện đã phát sinh xung quanh mã PIN mà công ty cấp cho các khách hàng đã đóng băng báo cáo tín dụng của họ. Các mã PIN này, cho phép khách hàng giải phóng các báo cáo tín dụng, theo một mẫu dễ nhận biết. Người phát ngôn nói rằng khách hàng có các mã PIN bị lỗi này phải gọi đến số 866-349-5191 để nói chuyện với một đại lý trực tiếp.
Các dịch vụ TrustedID Premier liệt kê danh sách Equachus là miễn phí chỉ miễn phí trong một năm. Người phát ngôn của Equachus nói với Investopedia rằng công ty không yêu cầu thông tin thẻ tín dụng khi khách hàng đăng ký dịch vụ và công ty sẽ không tự động gia hạn hoặc tính phí. Tỷ lệ tiêu chuẩn của Equachus để theo dõi tín dụng là 17 đô la mỗi tháng.
Phải làm gì nếu bạn bị ảnh hưởng
Liz Weston, một nhà văn tài chính cá nhân tại NerdWallet, có lời khuyên sau đây cho những người bị ảnh hưởng bởi vi phạm Equachus, mà cô đã chia sẻ với Investopedia trong một email: "Equachus sẽ liên lạc với các nạn nhân và cung cấp cho họ theo dõi tín dụng. đồng ý với giám sát không ngăn cản họ tham gia vào các vụ kiện hoặc các hành động khác.
Ban đầu, trang điều khoản dịch vụ của TrustedID Premier (phiên bản lưu trữ) trên thực tế đã yêu cầu người dùng từ bỏ quyền tham gia vụ kiện tập thể chống lại Equachus: "Bằng cách đồng ý gửi Khiếu nại của bạn cho trọng tài, Bạn sẽ bị mất quyền mang hoặc tham gia trong bất kỳ vụ kiện tập thể nào (cho dù là nguyên đơn có tên hoặc thành viên tập thể) hoặc chia sẻ trong bất kỳ giải thưởng hành động tập thể nào, bao gồm cả khiếu nại tập thể khi lớp chưa được chứng nhận, ngay cả khi các sự kiện và tình huống mà Yêu cầu bồi thường đã xảy ra hoặc tồn tại. " Sau phản ứng dữ dội, trang Câu hỏi thường gặp của công ty đã được cập nhật để nói rằng điều khoản được áp dụng cho dịch vụ TrustedID Premier chứ không phải hack. Kể từ sáng ngày 12 tháng 9, các điều khoản dịch vụ không còn bao gồm một điều khoản trọng tài.
Weston nói rằng khách hàng bị ảnh hưởng nên xem xét đóng băng báo cáo tín dụng của họ tại cả ba văn phòng chính. Như đã đề cập ở trên, các văn phòng tín dụng có thể tính phí cho việc bắt đầu đóng băng đó. Bạn cũng có thể bị tính phí cho việc giải phóng tài khoản khi bạn cần kiểm tra tín dụng (ví dụ để đăng ký dịch vụ điện thoại di động). Các khoản phí này thường dưới 10 đô la, nhưng chúng có thể cộng lại. Weston lưu ý rằng một lựa chọn khác là đặt cảnh báo gian lận trên các báo cáo tín dụng của bạn tại ba văn phòng tín dụng. (Để biết thêm, hãy xem Cách phục hồi từ Trộm cắp danh tính .)
Các dịch vụ giám sát tín dụng khác, không được tài trợ bởi Equachus, cũng có sẵn. Dịch vụ bảo vệ chống trộm danh tính: Có giá trị? liệt kê một vài trong số chúng để bạn điều tra.
Phản hồi của Equachus
Chủ tịch và Giám đốc điều hành của Equachus, Richard Smith, nói sau vụ hack rằng "rõ ràng đây là một sự cố đáng thất vọng đối với công ty của chúng tôi và là một trong những điều gây ấn tượng với chúng tôi là ai và chúng tôi làm gì." Ông đã từ chức vào ngày 26 tháng 9 và sẽ không nhận được tiền thưởng cho năm 2017. Sự ra đi của ông theo sau của giám đốc an ninh Susan Mauldin và giám đốc thông tin David Webb vào ngày 14 tháng 9.
Vài ngày sau khi công ty phát hiện ra vụ hack nội bộ - và trước khi vi phạm được tiết lộ cho công chúng - giám đốc tài chính của Equachus, John Gamble, chủ tịch của giải pháp lực lượng lao động Rodolfo Ploder, và chủ tịch của giải pháp thông tin Hoa Kỳ Joseph Loughran đã bán cổ phần Equult của họ. Equachus nói trong một tuyên bố rằng các giám đốc điều hành không biết về vi phạm khi họ bán cổ phiếu của họ. Gamble, Ploder và Loughran cùng nhau kiếm được gần 1, 8 triệu đô la từ việc bán hàng.
Kể từ ngày 28 tháng 2, cổ phiếu của Equachus đã giảm 20, 1% so với mức đóng cửa vào ngày 7 tháng 9 (trước khi vụ hack được công bố) xuống còn $ 113, 00. Sau nhiều lần trì hoãn, Equachus nói rằng họ sẽ báo cáo thu nhập quý IV sau khi đóng vào ngày 1 tháng 3.
Hãy để các vụ kiện bắt đầu
Reuters đã báo cáo vào ngày 11 tháng 9 rằng hơn 30 vụ kiện - nhiều người trong số họ đang tìm kiếm vụ kiện tập thể - đã được đệ trình chống lại Equachus tại tòa án Hoa Kỳ. Một số hành vi vi phạm pháp luật chứng khoán; những người khác cáo buộc TrustedID cung cấp dịch vụ tốn kém cho khách hàng bị ảnh hưởng bởi vi phạm dữ liệu. Năm cư dân Utah đã kiện công ty tại Tòa án quận Hoa Kỳ vì không bảo vệ dữ liệu nhạy cảm của khách hàng. Vụ kiện tìm kiếm thiệt hại tiền tệ trị giá 5 tỷ USD và áp dụng các tiêu chuẩn công nghiệp chặt chẽ hơn.
Một vài khách hàng bị ảnh hưởng đang thực hiện một lộ trình ít truyền thống hơn trong việc tìm kiếm sự truy đòi từ Equachus. Chatbot DoNotPay cung cấp hỗ trợ trong việc nộp đơn khiếu nại tại các tòa án khiếu nại nhỏ của tiểu bang, trong đó mức phạt tối đa từ $ 2, 500 đến $ 25, 000. Các bot chỉ có thể tạo ra giấy tờ cho một vụ kiện, không thực sự nộp nó hoặc xuất hiện tại tòa án, theo Verge.
Luật sư Hoa Kỳ John Horn có trụ sở tại FBI và Atlanta đã công bố một cuộc điều tra hình sự về vi phạm vào ngày 18 tháng 9. Cục Bảo vệ Tài chính Người tiêu dùng và 34 luật sư của tiểu bang đang tiến hành điều tra.
Ông Smith đến Washington
Vào ngày 3 tháng 10, cựu CEO Richard Smith đã làm chứng trước tiểu ban Bảo vệ người tiêu dùng và thương mại kỹ thuật số của House. Ông đã xin lỗi nhiều lần vì sự thất bại của Equachus trong việc bảo vệ dữ liệu của người tiêu dùng và phải đối mặt với các câu hỏi về một loạt các vấn đề liên quan đến vi phạm và phản ứng của Equ. Cổ phiếu của công ty đã tăng sau lời khai, nhưng vẫn ở dưới mức mà nó giao dịch trước khi vụ hack được tiết lộ.
Trả lời các câu hỏi liên quan đến điều khoản trọng tài gây tranh cãi ban đầu được bao gồm trong các điều khoản dịch vụ của TrustedID Premier, Smith nói rằng điều khoản "nồi hơi" không bao giờ có ý định áp dụng đối với vi phạm và gọi việc đưa vào đó là "sai lầm". Anh ta sẽ không nói giống như các điều khoản tương tự điều chỉnh các dịch vụ Equachus khác, mà anh ta gọi là "tiêu chuẩn".
Doanh số bán cổ phiếu điều hành đáng ngờ cũng bị xem xét kỹ lưỡng: Dân biểu Jan Schakowsky, Dân chủ bang Illinois, cho biết việc bán "không vượt qua bài kiểm tra mùi", nhưng Smith trung bình, "theo hiểu biết tốt nhất của tôi, họ không biết" về sự vi phạm tại thời điểm đó.
Smith đã mô tả sự vi phạm là do lỗi của con người và lỗi công nghệ: người chịu trách nhiệm đảm bảo vá phần mềm Apache Struts - có một lỗ hổng được biết đến công khai mà những kẻ tấn công đã khai thác - đã không làm như vậy và một máy quét sẽ có cảnh báo công ty về lỗi đó cũng thất bại.
Phản ứng dữ dội của công ty đối với khủng hoảng cũng bị chỉ trích: thiết lập trang web WordPress với URL đáng ngờ, không bảo mật các tên miền tương tự (và thậm chí hướng khách hàng đến một trong những tên miền đó), không thành công trong các trung tâm cuộc gọi nhân viên và nói chung là tạo ra ấn tượng rằng công ty - tồn tại để thu thập, bảo mật và bán dữ liệu nhạy cảm - hoàn toàn không được chuẩn bị cho một cuộc tấn công mạng trên cơ sở dữ liệu của nó. Dân biểu Markwayne Mullin, một người Cộng hòa Oklahoma, nói với Smith rằng câu trả lời của anh ta giống như kéo chuông báo cháy: "nó ngay lập tức đi vào vị trí". Smith trả lời rằng nhóm của ông "theo giao thức." Một số đại diện đề cập rằng Smith đã có một bài phát biểu mô tả gian lận là một "cơ hội lớn" và một "doanh nghiệp lớn, đang phát triển" vào tháng 8 - sau khi anh ta biết về vi phạm.
Smith từ chối trả lời các câu hỏi về nguồn gốc của cuộc tấn công, bao gồm cả liệu đó có phải là một diễn viên nhà nước hay không. Ông nói đơn giản rằng FBI đang tiến hành một cuộc điều tra. Ông bảo vệ các khoản đầu tư của Equachus trong an ninh mạng trong nhiệm kỳ của mình, nói rằng khi ông đến mười hai năm trước, thực tế không có khoản đầu tư nào cho việc bảo vệ dữ liệu. Công ty đã chi một phần tư tỷ đô la và thuê một nhóm gồm 225 người để bảo mật dữ liệu của công ty, Smith nói, đầu tư 10 - 14% ngân sách CNTT của công ty vào an ninh mạng.
Một số Đại diện chỉ ra vi phạm đã mở ra những câu hỏi cơ bản về vai trò của ngành giám sát tín dụng và quyền của người tiêu dùng. "Điều gì sẽ xảy ra nếu tôi muốn chọn Equult của chúng tôi?" Schakowski hỏi. Smith trả lời, "điều đó đòi hỏi một cuộc thảo luận rộng hơn nhiều về vai trò của các cơ quan báo cáo tín dụng." Dân biểu Tonko, một đảng viên Dân chủ ở New York, đã lặp lại tình cảm này, chỉ ra rằng ông không thực sự là một "khách hàng", chưa bao giờ chọn làm kinh doanh với Equreb. "Tại sao công ty này được phép tiếp tục tồn tại?" anh ấy hỏi. Tại nhiều điểm khác nhau, Smith đã đặt câu hỏi về giá trị của các số An sinh Xã hội như một cách để chứng minh danh tính và đưa ra các tham chiếu mơ hồ để trao "quyền lực trở lại cho người tiêu dùng".
Câu hỏi lớn nhất trong ngày đến từ đảng Dân chủ California Doris Matsui: "Tôi có sở hữu dữ liệu của mình không?" Smith không thể trả lời. (Xem thêm, Blockchain có thể khiến bạn - Không phải Equachus - Chủ sở hữu dữ liệu của bạn. )
