Equihax Een van de meest calamitische inbreuken aller tijden
Op een rustige namiddag begin september 2017 onthulde Equifax een buitengewone veiligheidsinbreuk die naar schatting bijna 200 miljoen mensen wereldwijd trof. Aangezien het bedrijf de inbreuk in juli voor het eerst had ontdekt, had dat ruim de tijd moeten nemen om zich voor te bereiden op een antwoord en een oplossing voor alle getroffen personen. In plaats daarvan gaf Equifax de wereld een perfect voorbeeld van hoe niet om een grote inbreuk op de beveiliging aan te pakken.
Van de enorme omvang van het datalek, verwarrende legale en afschuwelijke onveilige responssites, Equifax had het allemaal. Voeg daar nog aantijgingen van handel met voorkennis aan toe, slechte communicatie, een daling van de voorraadwaarde met 30 procent, naast verdere datalekken, en het bedrijf leek zich te hebben opgemaakt voor een dramatische val uit gratie. Nou, zoveel genade als een kredietrapportagentschap dat u nooit expliciet heeft afgesproken om uw gevoelige gegevens aan te bieden.
EquiBreach
Uit de eerste verklaring van Equifax over de inbreuk blijkt dat tot 144 miljoen Amerikanen hun kredietinformatie mogelijk hebben aangetast. Dit omvatte namen, adressen, sofinummers (SSN's), geboortedata en financiële gegevens. Het bedrijf meldde ook dat creditcardnummers voor 209.000 Amerikaanse consumenten in de inbreuk waren opgenomen. Bovendien zijn geschilregisters met persoonlijk identificerende informatie voor 189.000 personen gelekt.
Eerste berichten in de genoemde media hadden een impact op individuen als de klanten van Equifax. U bent echter niet echt een klant van Equifax, Experian, TransUnion of een ander kredietbeoordelingsbureau. Deze agentschappen verzamelen gegevens van een aantal verschillende diensten en financiële productaanbieders. Gegevens worden vervolgens gebruikt om uw credit score te genereren, waardoor een kredietverlener het risico dat u zich voordoet kan inschatten. Een lening, creditcard of hypotheek aanvragen? Dit is hoe de beslissing wordt genomen.
Effectbeoordeling en TrustedID Premier
Om u te compenseren voor het verliezen van de gegevens van bijna de helft van de volwassen Amerikaanse bevolking, heeft Equifax een website opgezet, equifaxsecurity2017.com. Hier kunt u uw naam en gedeeltelijke SSN invoeren en nagaan of uw gegevens bij de gelekte gegevens horen. Bovendien kunt u zich aanmelden voor hun service, TrustedID Premier. Dit is een kredietrapport van drie kantoren en een SSN-monitoringtool dat een jaar lang complementair is aan Amerikaanse consumenten.
Maar in hun eerste onthulling, en een week later, was Equifax opmerkelijk stil over de details. Het aanvalstype, de boosdoener en waarom het zo lang kon doorgaan, zonder detectie, bleef een geheim.
Dit leidde ertoe dat velen vermoedden dat er sprake was van verwijtbaarheid aan de kant van Equifax. Zes dagen later, en na immense publieke verontwaardiging en interventies van een tweepartijengroep van senatoren, gaf Equifax eindelijk toe dat de aanval een bekende Apache Strut-exploit gebruikte (CVE-2017-5638) - een patch waarvoor werd vrijgegeven in maart 2017, twee maanden vóór de schending van Equifax. Dit bewees dat, net als met WannaCry eerder in het jaar The Global Ransomware Attack en How to Protect your Data The Global Ransomware Attack and How to Protect your Data Een enorme cyberaanval heeft computers over de hele wereld getroffen. Ben je getroffen door de zeer virulente zelf-replicerende ransomware? Zo nee, hoe kunt u uw gegevens beschermen zonder het losgeld te betalen? Meer lezen, niet het bijwerken van uw software kan verwoestende gevolgen hebben.
Niet alleen Amerikaanse consumenten
Hoewel niet vanaf het begin onthuld, werd Equifax gedwongen toe te geven dat de informatie voor een “beperkt aantal” van de Britse en Canadese ingezetenen was ook opgenomen in de schending. Tot 44 miljoen Britse consumenten waren misschien niet eens op de hoogte van het feit dat het Amerikaanse kredietbureau over hun gegevens beschikte. Het werd echter aan hen geleverd door bedrijven zoals BT, British Gas en Capital One. De U.K.-arm van het kredietagentschap maakte vrijdagavond 15 september bekend dat 400.000 Britse ingezetenen getroffen waren. Deze vermoedelijke poging om het nieuws te begraven onthulde een “proces mislukt” die een half decennium duurden. Er is echter geen begeleiding voor U.K. of Canadese ingezetenen aangeboden.
De problemen van de website van Equifax
Om redenen die nog moeten worden toegelicht, heeft Equifax een afzonderlijke website gelanceerd voor hun reactie op de inbreuk. Gezien het feit dat de site is opgezet als reactie op een grote inbreuk op de beveiliging, zou je je voorstellen dat elke voorzorgsmaatregel zou zijn genomen om ervoor te zorgen dat de site een lichtend baken van stabiliteit was. In plaats daarvan overweldigde het grote aantal Amerikaanse consumenten dat hun informatie wilde controleren. Hierdoor konden velen de site niet openen of de resultaten van hun effectbeoordeling laden.
@briankrebs Heeft u gezien dat de OpenDNS de aanmeldingspagina van Equifax blokkeert? Noem het spam? pic.twitter.com/xqvr8wJyM0
- Nick Frichette (@Frichette_n) 8 september 2017
Zelfs dan waren de nummers die de site bezochten mogelijk groter geweest, ware het niet dat de website slecht was ingesteld. In het boek van veel mensen lijkt een website buiten het domein met dubieuze zoekwoorden om phishing te gaan. OpenDNS leek het hiermee eens te zijn en blokkeerde de toegang tot de website voor veel gebruikers. Om het gevoel van ironie te vergroten, moet je om je beoordeling af te ronden de laatste zes cijfers van je SSN invoeren. Dit zijn dezelfde gegevens die Equifax al heeft bewezen dat ze niet kunnen beschermen!
Niet-verifieerbare resultaten
Binnen enkele uren na het lanceren van de site, waren er berichten dat je de resultaten van hun effectbeoordeling niet eens kon vertrouwen. Als u meerdere keren dezelfde gegevens invult, krijgt u verschillende antwoorden op de vraag of u bent getroffen. Sommige mensen probeerden zelfs willens en wetens valse informatie in te voeren. Verontrustend vonden ze dat Equifax de niet-bestaande persoon zou vertellen dat hun gegevens waren gelekt.
Dus voor Equifax. Mijn baas heeft net een valse naam ingevoerd met het burgerservicenummer van zijn 9-jarige zoon en de site zei dat hij was getroffen.
- G. ?? (@oh_sovivacious) 8 september 2017
Als u bereid was te accepteren dat uw gegevens in feite in gevaar waren gebracht tijdens de inbreuk, begroette Equifax u met een vage uitspraak over de schending en moedigde u aan zich in te schrijven voor TrustedID Premier. Aangezien Equifax de bron van de inbreuk was, lijkt het er in slechte smaak op dat ze u zouden aanmoedigen om zich aan te melden voor een gratis proefversie van hun eigen fraudebestrijdingsdienst.
OMG, Bevriezing PIN-codes van Equifax zijn slechter dan ik dacht. Als je vandaag om 14:15 uur ET hebt geblokkeerd, ontvang je bijvoorbeeld PIN 0908171415.
- Tony Webster (@webster) 9 september, 2017
Degenen die zich bij TrustedID Premier hebben aangemeld, konden een bevriezing van tegoeden uitvoeren en kregen een bevestigingspincode. De PIN bleek echter een tijdstempel te zijn van wanneer de bevriezing werd uitgevoerd. Dit zou de pincode onbruikbaar maken - het kan gemakkelijk worden geraden, waardoor iedereen je tegoedbevriezing kan ontgrendelen. Ondanks aanvankelijke ontkenningen zei Equifax later dat ze overstapten naar een nieuwe methode die het genereren van pincodes willekeurig zou maken. Bovendien zouden ze het consumenten mogelijk maken om een nieuwe pincode aan te vragen die naar hun geregistreerde postadres moet worden gestuurd.
The Legalese Debacle
Toen Equifax voor het eerst de equifaxsecurity2017-website lanceerde, leken de Servicevoorwaarden voor TrustedID Premier te impliceren dat u de service zou gebruiken, terwijl u afstand deed van uw recht om in de toekomst deel te nemen aan een rechtszaak tegen de onderneming. Het tumult bij deze vermeende onrechtvaardigheid zorgde ervoor dat Equifax de volgende dag een update gaf. Ze hebben nu verklaard dat de arbitrageclausule niet van toepassing was op de inbreuk op de beveiliging.
Equifax biedt bescherming tegen identiteitsdiefstal pkg maar in kleine lettertjes, een arbitrageclausule en ontheffing van de class action 1/3 pic.twitter.com/8F58B5qh4w
- Rhana Natour (@RNatourious) 8 september 2017
Dit heeft weinig gedaan om mensen te verzekeren die begrijpelijkerwijs niet overtuigd waren en die bijna een week later tot een verdere verklaring leidden waarin ze beweerden dat ze het deden “die taal heeft verwijderd uit de TrustedID Premier-gebruiksvoorwaarden en niet van toepassing is op de gratis producten die worden aangeboden als reactie op het cyberveiligheidsincident of op claims die verband houden met het cyberveiligheidsincident zelf. De arbitragetaal is niet van toepassing op consumenten die zich hebben aangemeld voordat de taal werd verwijderd.”
Overgenomen naar Taak
In een beweging die Equifax beweert totaal toeval te zijn, slechts twee dagen nadat ze voor het eerst de overtreding ontdekten, verkochten drie senior executives aandelen met in totaal $ 1,8 miljoen. Deze belangrijke verkoop was slechts enkele dagen na het ontdekken van de overtreding, maar meer dan een maand voordat ze het openbaar bekendmaakten. Als de personen kennis hadden van de inbreuk op de beveiliging, dan zouden ze in strijd zijn met wetten voor handel met voorkennis. Opzettelijk of anderszins was hun tijdige verkoop een geluk. Op het moment van schrijven is het aandeel van Equifax met 30 procent gedaald sinds de bekendmaking van de inbreuk.
Bipartisan-groep van 36 senatoren stuurt een brief naar SEC, DOJ en FTC waarin wordt aangedrongen op een onderzoek naar de aandelenkoersen van Equifax na inbreuk op de gegevens. pic.twitter.com/xEApcjFFkP
- Kyle Griffin (@ kylegriffin1) 13 september 2017
Gezien de zeer gevoelige aard van de overtreding, zijn veel getroffen personen begrijpelijkerwijs kritisch ten aanzien van de schijnbare lakse veiligheid van Equifax. USA Today meldde bijvoorbeeld dat in de paar dagen na de bekendmaking, 23 rechtszaken werden ingediend in 14 staten tegen het kredietrapportagentschap. Zoals gemeld door Bloomberg, is een class action-rechtszaak die wordt aangespannen in Oregon, op zoek naar een schadevergoeding van maximaal $ 7 miljard. Zelfs als de rechtbank zo'n groot bedrag zou toekennen, komt dit neer op iets minder dan $ 500 per persoon. Lijkt dit voldoende om het levenslange risico van identiteitsdiefstal te compenseren?
Joshua Browder, de maker van de DoNotPay-bot, breidde zijn functionaliteit uit om het proces van het indienen van aanvragen bij de rechtbank voor kleine vorderingen te vereenvoudigen met betrekking tot de schending van Equifax. Dit is bewonderenswaardig en maakt een lange weg vrij om de vaak complexe juridische documentatie gemakkelijker te verteren. Sommige rapporten hebben echter beweerd dat de DoNotPay-bot, oorspronkelijk ontwikkeld om u te helpen parkeerboetes te bestrijden, het hele proces zou kunnen automatiseren. Zoals TechCrunch opmerkt, is het enige wat de bot echt doet, hulp bij het eerste papierwerk - je moet de zaak nog steeds voor de rechter bestrijden.
Een aanhoudende hoofdpijn over de hele wereld
Als er nog enige twijfel zou bestaan over de slechte beveiligingspraktijken van Equifax, zal een exemplaar van de Argentijnse arm van Equifax dit waarschijnlijk volledig verwijderen. Voor het eerst gemeld door KrebsOnSecurity, bleek een online portaal dat door werknemers wordt gebruikt om kredietgeschillen met de naam Veraz (waarheidsgetrouw in het Spaans) af te handelen, kwetsbaar. U mag van het beveiligingslek verwachten dat het technisch is, maar in plaats daarvan was het een van de meest elementaire beveiligingsproblemen: slechte wachtwoorden. De ongelooflijk simplistische, en in veel gevallen standaard, gebruikersnaam en wachtwoordcombinatie van admin / admin stond iedereen die over de site gebeurde toe zich aan te melden bij het werknemersportaal.
Schokkend stelde dit je in staat om gebruikersnamen en wachtwoorden voor meer dan 100 Argentijnse Equifax-werknemers te bekijken, te bewerken en te verwijderen. In elk geval bleken de platte-tekstwachtwoorden hetzelfde te zijn als de gebruikersnaam van de werknemer. Als dat niet streng genoeg was, was er een deel van de site met 715 pagina's met gedetailleerde rapporten over elke klacht of geschil geregistreerd met Equifax. Deze informatie omvatte de DNI (het Argentijnse equivalent van de SSN) voor meer dan 14.000 mensen - nogmaals, alles in leesbare tekst. Equifax nam de site snel offline na gecontacteerd te zijn door KrebsOnSecurity en onderzoekt momenteel hun nieuwste beveiligingsfaillissementen.
Wat kan je doen?
De eerste stap is om de website van Equifax te gebruiken om te controleren of uw gegevens zijn aangetast door de breuk. Hoe controleren of uw gegevens gestolen zijn in de inbreuk op Equifax Hoe te controleren of uw gegevens gestolen zijn in de Equifax Breach-nieuwsbladen net ontstaan door een data-inbreuk op Equifax dat is van invloed op maximaal 80 procent van alle Amerikaanse creditcardgebruikers. Ben je een van hen? Hier is hoe te controleren. Lees verder . Omdat de resultaten echter inconsistent kunnen zijn, kan het het beste zijn om aan te nemen dat u bent getroffen. Nu het bedrijf de taal eromheen heeft verduidelijkt, meldt u zich aan voor hun TrustedID Premier-service. Hiermee kunt u een kredietstop uitvoeren. Hoe identiteitsdiefstal voorkomen door uw krediet te bevriezen Identiteitsdiefstal voorkomen door uw krediet te bevriezen Uw persoonlijke gegevens zijn aangetast, maar uw identiteit is nog niet gestolen. Is er iets dat u kunt doen om uw risico's te beperken? Nou, je zou kunnen proberen je krediet te bevriezen. Dit is hoe. Lees meer en stop iemand die een tegoed op jouw naam opent. Gezien de gevoelige aard van de gegevens verloren in het lek, is er potentieel voor oplichters om hun waren te trappelen, dus blijf waakzaam tegen social engineering. How To Protect Yourself From These 8 Social Engineering Attacks How to Protect Yourself from these 8 Social Engineering Attacks What social technische technieken zou een hacker gebruiken en hoe zou je jezelf tegen hen beschermen? Laten we een paar van de meest voorkomende aanvalsmethoden eens bekijken. Meer lezen en phishingpraktijken Een phishing-e-mail herkennen Een phishing-e-mail plaatsen Een e-mail in phishing halen is moeilijk! Oplichters poseren als PayPal of Amazon, in een poging om uw wachtwoord en creditcardinformatie te stelen, is hun misleiding bijna perfect. We laten u zien hoe u de fraude kunt herkennen. Lees verder .
In het kielzog van veel datalekken, adviseren wij u vaak om uw wachtwoorden te wijzigen, een wachtwoordbeheerder te gaan gebruiken. Hoe wachtwoordbeheerders uw wachtwoorden veilig houden Hoe wachtwoordbeheerders uw wachtwoorden veilig houden Wachtwoorden die moeilijk te kraken zijn, zijn ook moeilijk te onthouden. Wil je veilig zijn? U hebt een wachtwoordbeheerder nodig. Dit is hoe ze werken en hoe ze je beschermen. Meer lezen, aanmelden bij HaveIBeenPwned Nu controleren of uw wachtwoorden ooit zijn gelekt Controleer nu of uw wachtwoorden ooit zijn gelekt Met dit handige hulpprogramma kunt u elk wachtwoord controleren om te zien of het ooit bij een gegevenslek is geweest. Meer lezen, authenticatie met twee factoren inschakelen Wat is twee-factorenauthenticatie, en waarom u het zou moeten gebruiken Wat is twee-factorenauthenticatie, en waarom u het zou moeten gebruiken Twee-factor-authenticatie (2FA) is een beveiligingsmethode die twee verschillende manieren vereist van het bewijzen van je identiteit. Het wordt vaak gebruikt in het dagelijks leven. Bijvoorbeeld betalen met een creditcard vereist niet alleen de kaart, ... Lees waar mogelijk en verbeter uw cyberhygiëne Verbeter uw cyberhygiëne in 5 eenvoudige stappen Verbeter uw cyberhygiëne in 5 eenvoudige stappen In de digitale wereld is "cyberhygiëne" net zo belangrijk als persoonlijke hygiëne in de echte wereld. Regelmatige systeemcontroles zijn nodig, samen met nieuwe, veiligere online gewoonten. Maar hoe kunt u deze veranderingen aanbrengen? Lees verder . Hoewel geen van deze u rechtstreeks zal beschermen tegen het Equifax-lek, zal het aanscherpen van uw veiligheid geen kwaad. Misschien is het gezien de omstandigheden zelfs de moeite waard om extra inspanningen te leveren en een volledige beveiligingscontrole uit te voeren. Bescherm jezelf met een jaarlijkse beveiliging en privacycheck Bescherm uzelf met een jaarlijkse beveiliging en privacycheck We zitten bijna twee maanden in het nieuwe jaar, maar er is nog tijd om een positieve oplossing te maken. Vergeet minder cafeïne te drinken - we hebben het over stappen ondernemen om online veiligheid en privacy te waarborgen. Lees verder .
Equihaxxed
De schending van Equifax is hoogstwaarschijnlijk de meest opvallende beveiligingsgebeurtenis in een jaar met veel data-inbreuken en ransomware-aanvallen. Zoals met andere high-profile beveiligingsgebeurtenissen zoals WannaCry en de nooit eindigende stroom van datalekken, is er een zilveren voering te vinden in de verbazingwekkende aard van de schending van Equifax. Door de aandacht van het publiek te vestigen op gegevensbeveiliging, kredietrapportage en zakelijke wanpraktijken is er gelegenheid om deze zaken te bespreken en te beperken. De krachtige reactie van veel Amerikaanse senatoren zal er hopelijk voor zorgen dat deze schending niet op de achtergrond verdwijnt. Equifax heeft op zijn minst toegegeven dat sommige personeelswijzigingen vereist zijn - de Chief Information Officer en de Chief Security Officer “gepensioneerd” als gevolg.
Ondanks het hoge profiel en de enorme reikwijdte, is er nog steeds geen informatie over wie de aanvallers waren. Op hun beurt bleef Equifax volledig stil over de kwestie - in overeenstemming met de rest van hun slecht beheerde reactie. Slechts enkele dagen nadat de bres openbaar werd gemaakt, kwam er een groep naar voren die beweerde de gegevens te hebben en een losgeld van 600 Bitcoin eiste. Nadat onderzoekers de hostingservice van de .onion-site hadden ontdekt, werd deze onmiddellijk afgesloten.
Los daarvan beweerde een groep die zichzelf Equihax noemde ook in het bezit te zijn van de gegevens, maar bood geen verifieerbaar bewijs. Gezien hoe potentieel lucratief de gegevens zijn, kunt u er zeker van zijn dat het niet lang zal duren voordat de hackers proberen in te checken.
Was u getroffen door de beveiligingsschending van Equifax? Denk je dat Equifax de schuldige is en hadden ze meer kunnen doen om je te beschermen? Laat het ons weten in de comments!
Afbeelding tegoed: stevanovicigor / Depositphotos
Meer informatie over: Creditcard, online beveiliging, beveiligingsschending.