Equihax Eine der katastrophalsten Brüche aller Zeiten
An einem ruhigen Nachmittag Anfang September 2017 meldete Equifax einen außergewöhnlichen Sicherheitsverstoß, von dem schätzungsweise fast 200 Millionen Menschen weltweit betroffen waren. Da das Unternehmen den Verstoß erst im Juli entdeckt hatte, hätte dies ausreichend Zeit für die Vorbereitung einer Lösung und Lösung für alle betroffenen Personen zur Verfügung gestellt. Stattdessen lieferte Equifax der Welt ein perfektes Beispiel dafür, wie nicht mit einer großen Sicherheitsverletzung umgehen.
Aufgrund des enormen Umfangs des Datenverlusts, der verwirrenden Rechtsprechung und der schrecklich unsicheren Websites für die Reaktion hatte Equifax alles. Hinzu kommen die Behauptungen des Insiderhandels, schlechte Kommunikation, ein Rückgang des Aktienwerts um 30 Prozent sowie weitere Datenlecks. Das Unternehmen schien sich für einen dramatischen Rückgang der Gnade eingestellt zu haben. Nun, so viel Gnade wie eine Kreditauskunftsagentur, der Sie niemals ausdrücklich zugestimmt haben, Ihre vertraulichen Daten weiterzugeben.
EquiBreach
Die erste Erklärung von Equifax zu dem Verstoß gab an, dass die Kreditinformationen von bis zu 144 Millionen Amerikanern möglicherweise beeinträchtigt wurden. Dazu gehörten Namen, Adressen, Sozialversicherungsnummern (SSNs), Geburtsdaten und Finanzunterlagen. Das Unternehmen berichtete außerdem, dass Kreditkartennummern von 209.000 US-amerikanischen Verbrauchern in den Verstoß einbezogen wurden. Darüber hinaus wurden Streitdatensätze mit personenbezogenen Daten für 189.000 Personen durchgesickert.
In ersten Medienberichten wurden Betroffene als Equifax-Kunden bezeichnet. Sie sind jedoch kein echter Kunde von Equifax, Experian, TransUnion oder einer anderen Kreditauskunftsagentur. Diese Agenturen erheben Daten von verschiedenen Dienstleistern und Anbietern von Finanzprodukten. Die Daten werden dann zur Erstellung Ihrer Kreditbewertung verwendet, sodass ein Kreditgeber das von Ihnen ausgehende Risiko einschätzen kann. Beantragung eines Darlehens, einer Kreditkarte oder einer Hypothek? So wird die Entscheidung getroffen.
Folgenabschätzung und TrustedID Premier
Um den Verlust der Daten von fast der Hälfte der erwachsenen Bevölkerung in den USA zu kompensieren, hat Equifax eine Website namens equifaxsecurity2017.com eingerichtet. Hier können Sie Ihren Namen und ein Teil-SSN eingeben und herausfinden, ob Ihre Angaben zu den durchgesickerten Daten gehören. Zusätzlich können Sie sich bei ihrem Dienst TrustedID Premier anmelden. Hierbei handelt es sich um ein Kreditberichts- und SSN-Überwachungstool mit drei Büros, das die amerikanischen Verbraucher ein Jahr lang ergänzt.
In ihrer ersten Offenbarung und für eine Woche danach schwieg Equifax zu den Details bemerkenswert. Die Art des Angriffs, der Täter und der Grund, warum er ohne Erkennung so lange fortfahren konnte, blieb ein Geheimnis.
Dies führte dazu, dass viele den Verdacht hegten, dass Equifax schuldhaft sei. Sechs Tage später, und nach einem immensen öffentlichen Aufschrei und Eingriffen einer überparteilichen Senatorengruppe, gab Equifax schließlich zu, dass der Angriff einen bekannten Apache-Strut-Exploit (CVE-2017-5638) - einen Patch, für den im März 2017 zwei Monate veröffentlicht wurde vor dem Equifax-Verstoß. Dies bewies, dass, genau wie bei WannaCry zu Beginn des Jahres, der globale Ransomware-Angriff und der Schutz Ihrer Daten der globale Ransomware-Angriff und der Schutz Ihrer Daten. Ein massiver Cyberangriff hat Computer auf der ganzen Welt getroffen. Wurden Sie von der hochvirulenten, sich selbst replizierenden Ransomware betroffen? Wenn nicht, wie können Sie Ihre Daten schützen, ohne das Lösegeld zu zahlen? Weitere Informationen, das Aktualisieren Ihrer Software kann verheerende Folgen haben.
Nicht nur US-Verbraucher
Obwohl Equifax von Anfang an nicht bekannt gegeben wurde, musste sie die Informationen für a “begrenzte Anzahl” von britischen und kanadischen Einwohnern wurde ebenfalls in den Verstoß einbezogen. Bis zu 44 Millionen UK-Konsumenten haben möglicherweise nicht einmal gewusst, dass die US-Kreditagentur ihre Daten hatte. Es wurde ihnen jedoch von Unternehmen wie BT, British Gas und Capital One zur Verfügung gestellt. Der britische Arm der Kreditagentur gab am Freitag, den 15. September bekannt, dass 400.000 Einwohner betroffen waren. Dieser mutmaßliche Versuch, die Nachrichten zu begraben, ergab a “Prozessfehler” das dauerte ein halbes Jahrzehnt. Bislang wurden jedoch keine Hinweise für Einwohner Großbritanniens oder Kanadas angeboten.
Die Website von Equifax leidet
Aus Gründen, die noch erläutert werden müssen, hat Equifax eine eigene Website für die Reaktion auf den Verstoß eingerichtet. In Anbetracht der Tatsache, dass die Website als Reaktion auf einen schwerwiegenden Sicherheitsverstoß eingerichtet wurde, könnte man annehmen, dass alle Vorkehrungen getroffen wurden, um sicherzustellen, dass die Website ein leuchtendes Signal für Stabilität ist. Stattdessen überwältigten sie die große Zahl amerikanischer Verbraucher, die ihre Informationen prüfen wollten. Viele konnten weder auf die Website zugreifen noch die Ergebnisse ihrer Folgenabschätzung laden.
@briankrebs Hast du gesehen, dass OpenDNS die Equifax-Anmeldeseite blockiert? Nennst du es Spam? pic.twitter.com/xqvr8wJyM0
- Nick Frichette (@Frichette_n) 8. September 2017
Selbst dann waren die Besucherzahlen der Website möglicherweise größer, wenn die Website nicht ordnungsgemäß konfiguriert wurde. In den meisten Menschen scheint eine Off-Domain-Website mit fragwürdigen Schlüsselwörtern ein Phishing-Betrug zu sein. OpenDNS schien dem zuzustimmen und blockierte für viele Benutzer den Zugriff auf die Website. Um das Gefühl der Ironie zu erhöhen, müssen Sie die letzten sechs Ziffern Ihrer SSN eingeben, um Ihre Beurteilung abzuschließen. Dies sind die gleichen Daten, die Equifax bereits bewiesen hat, dass sie nicht geschützt werden können!
Nicht überprüfbare Ergebnisse
Innerhalb weniger Stunden nach dem Start der Site gab es Berichte, dass Sie den Ergebnissen ihrer Folgenabschätzung nicht einmal trauen konnten. Wenn Sie dieselben Details mehrmals eingeben, erhalten Sie unterschiedliche Antworten, ob Sie betroffen waren. Einige Leute versuchten sogar, wissentlich falsche Informationen einzugeben. Besorgniserregend stellten sie fest, dass Equifax der nicht existierenden Person mitteilen würde, dass ihre Daten durchgesickert wurden.
Also zu Equifax. Mein Chef gab gerade einen falschen Namen mit der Sozialversicherungsnummer seines 9-jährigen Sohns ein und sagte, er sei betroffen.
- G.?? (@oh_sovivacious) 8. September 2017
Wenn Sie bereit waren zu akzeptieren, dass Ihre Daten durch den Verstoß tatsächlich gefährdet wurden, begrüßte Equifax Sie mit einer vagen Aussage über den Verstoß und forderte Sie auf, sich bei TrustedID Premier anzumelden. Angesichts der Tatsache, dass Equifax die Ursache des Verstoßes war, scheint es Ihnen schlecht zu gehen, dass sie Sie dazu ermutigen würden, einen kostenlosen Betrugsschutzdienst für ihre eigene kostenlose Probe zu unterzeichnen.
OMG, Equifax-Sicherheitsstopp-PINs sind schlechter als ich dachte. Wenn Sie Ihre Gutschrift heute beispielsweise um 14.15 Uhr (ET) eingefroren haben, erhalten Sie die PIN 0908171415.
- Tony Webster (@webster) 9. September 2017
Diejenigen, die sich bei TrustedID Premier angemeldet haben, konnten ein Einfrieren der Gutschrift vornehmen und erhalten eine Bestätigungs-PIN. Die PIN schien jedoch ein Zeitstempel für das Einfrieren zu sein. Dies würde die PIN unbrauchbar machen - sie könnte leicht erraten werden, sodass jeder Ihren Kredit einfrieren kann. Trotz anfänglicher Ablehnungen sagte Equifax später, sie würden zu einer neuen Methode übergehen, mit der die PIN-Erzeugung randomisiert werden würde. Darüber hinaus würden sie es Verbrauchern ermöglichen, eine neue PIN an ihre registrierte Postanschrift zu senden.
Das Legalese-Debakel
Als Equifax zum ersten Mal die Website equifaxsecurity2017 einführte, schienen die Nutzungsbedingungen für TrustedID Premier darauf hinzuweisen, dass der Dienst in Anspruch genommen wird. Sie haben auf Ihr Recht verzichtet, zukünftig an Sammelklagen gegen das Unternehmen teilzunehmen. Der Aufruhr über diese wahrgenommene Ungerechtigkeit machte Equifax am nächsten Tag zu einem Update. Sie haben nun erklärt, dass die Schiedsklausel nicht auf den Sicherheitsverstoß anwendbar war.
Equifax bietet Überwachung und Schutz vor Identitätsdiebstahl an, aber im Kleingedruckten eine Schiedsklausel und Aufhebung der Sammelklage 1/3 pic.twitter.com/8F58B5qh4w
- Rhana Natour (@RNatourious) 8. September 2017
Dies hat wenig dazu beigetragen, Menschen, die verständlicherweise nicht überzeugt waren, fast eine Woche später zu einer weiteren Erklärung zu führen, in der sie sagten, dass sie es waren “Sie haben diese Sprache aus den Nutzungsbedingungen von TrustedID Premier entfernt und gelten nicht für die kostenlosen Produkte, die als Reaktion auf den Cybersecurity-Vorfall oder für Ansprüche im Zusammenhang mit dem Cybersecurity-Vorfall selbst angeboten werden. Die Schiedssprache gilt nicht für Verbraucher, die sich vor dem Entfernen der Sprache angemeldet haben.”
Zur Aufgabe genommen
Equifax behauptet, es sei ein absoluter Zufall, nur drei Tage, nachdem sie den Verstoß entdeckt hatten, verkauften drei leitende Angestellte Aktien im Gesamtwert von 1,8 Millionen US-Dollar. Dieser bedeutende Verkauf fand nur wenige Tage nach der Entdeckung des Verstoßes statt, jedoch mehr als einen Monat, bevor er ihn öffentlich bekanntgab. Wenn die Personen Kenntnis von der Sicherheitsverletzung hätten, verstoßen sie gegen die Gesetze zum Insiderhandel. Ihr rechtzeitiger Verkauf war ein Glück. Zum Zeitpunkt des Schreibens ist die Equifax-Aktie seit der Offenlegung des Verstoßes um 30 Prozent gefallen.
Die 36-köpfige Senatorengruppe sendet einen Brief an die SEC, das DOJ und die FTC, in dem sie eine Untersuchung der Equifax-Aktienverkäufe wegen Verstößen gegen die Daten anhält. pic.twitter.com/xEApcjFFkP
- Kyle Griffin (@ kylegriffin1) 13. September 2017
Angesichts der hochsensiblen Natur des Verstoßes stehen viele Betroffene verständlicherweise der offensichtlichen Nachlässigkeit von Equifax kritisch gegenüber. Beispielsweise berichtete USA Today, dass in den wenigen Tagen nach der Unterrichtung 23 Klagen in 14 Staaten gegen die Kreditauskunftsagentur eingereicht wurden. Wie Bloomberg berichtete, strebt eine in Oregon eingereichte Sammelklage einen Schadensersatzanspruch von bis zu 7 Milliarden US-Dollar an. Selbst wenn das Gericht eine so hohe Summe vergeben würde, entspricht dies knapp 500 US-Dollar pro Person. Scheint dies ausreichend, um das lebenslange Risiko eines Identitätsdiebstahls auszugleichen??
Joshua Browder, der Schöpfer des DoNotPay-Bots, erweiterte seine Funktionalität, um die Beantragung von Schadensersatz wegen des Equifax-Verstoßes bei dem Small Claims Court zu vereinfachen. Dies ist bewundernswert und trägt wesentlich dazu bei, die oft komplexen rechtlichen Unterlagen leichter zu verstehen. In einigen Berichten wurde jedoch behauptet, dass der DoNotPay-Bot, der ursprünglich für die Bekämpfung von Parkgebühren entwickelt wurde, den gesamten Prozess automatisieren könnte. Wie TechCrunch feststellt, hilft der Bot wirklich bei den ersten Schreibarbeiten - Sie müssen den Fall noch vor Gericht ankämpfen.
Ein ständiger Kopfschmerz auf der ganzen Welt
Wenn Zweifel an den unzureichenden Sicherheitspraktiken von Equifax bestehen, wird ein Beispiel aus dem argentinischen Arm von Equifax diese wahrscheinlich vollständig entfernen. Zuerst wurde von KrebsOnSecurity berichtet, dass ein Online-Portal, das von Mitarbeitern zur Beilegung von Kreditstreitigkeiten mit dem Namen Veraz (wahrheitsgemäß auf Spanisch) verwendet wird, als anfällig befunden wurde. Sie können davon ausgehen, dass die Sicherheitsanfälligkeit technisch ist, aber stattdessen eine der grundlegendsten Sicherheitsanfälligkeiten ausfiel: falsche Kennwörter. Die unglaublich einfache und in vielen Fällen standardmäßige Kombination aus Benutzername und Kennwort admin / admin Erlaubte jedem, der auf der Site passiert ist, sich beim Mitarbeiterportal anzumelden.
Auf schockierende Weise konnten Sie Benutzernamen und Passwörter für über 100 argentinische Equifax-Mitarbeiter anzeigen, bearbeiten und löschen. In jedem Fall entsprachen die Klartextpasswörter dem Benutzernamen des Mitarbeiters. Wenn dies nicht schwerwiegend genug war, gab es einen Bereich der Website mit 715 Seiten detaillierter Berichte zu jeder mit Equifax protokollierten Reklamation oder Streitigkeit. Diese Informationen beinhalteten das DNI (das argentinische Äquivalent der SSN) für mehr als 14.000 Menschen - wiederum alles im Klartext. Equifax hat die Website nach der Kontaktaufnahme durch KrebsOnSecurity schnell offline geschaltet und untersucht derzeit die neuesten Sicherheits-Sicherheitslücken.
Was kannst du tun?
Der erste Schritt besteht darin, die Website von Equifax zu verwenden, um zu prüfen, ob Ihre Daten von dem Verstoß betroffen sind. So überprüfen Sie, ob Ihre Daten im Equifax-Verstoß gestohlen wurden Wie überprüfen Sie, ob Ihre Daten im Equifax-Verstoß gestohlen wurden? davon sind bis zu 80 Prozent aller US-Kreditkartenbenutzer betroffen. Bist du eine von ihnen? So überprüfen Sie es. Weiterlesen . Da die Ergebnisse jedoch inkonsistent sein können, ist es möglicherweise am besten anzunehmen, dass Sie betroffen waren. Melden Sie sich für den TrustedID Premier-Dienst an, da das Unternehmen die Sprache jetzt klarer gemacht hat. Auf diese Weise können Sie einen Kredit einfrieren. So verhindern Sie Identitätsdiebstahl durch Einfrieren Ihres Kredits. So verhindern Sie Identitätsdiebstahl durch Einfrieren Ihres Kredits. Ihre persönlichen Daten sind zwar gefährdet, Ihre Identität ist jedoch noch nicht gestohlen worden. Können Sie etwas tun, um Ihre Risiken zu mindern? Nun, Sie könnten versuchen, Ihre Gutschrift einzufrieren - so geht's. Lesen Sie mehr und stoppen Sie die Eröffnungsguthaben in Ihrem Namen. Angesichts der sensiblen Natur der Daten, die durch das Leck verloren wurden, besteht für die Betrüger die Möglichkeit, ihre Waren zu verkaufen. Bleiben Sie also wachsam gegenüber Social Engineering. So schützen Sie sich vor diesen 8 Social Engineering-Angriffen Wie schützen Sie sich vor diesen 8 Social Engineering-Angriffen? Ingenieurtechniken würde ein Hacker verwenden und wie würden Sie sich vor ihnen schützen? Schauen wir uns einige der häufigsten Angriffsmethoden an. Weitere Informationen und Phishing-Betrug Wie Sie eine Phishing-E-Mail erkennen können Wie Sie eine Phishing-E-Mail erkennen Das Abrufen einer Phishing-E-Mail ist schwierig! Betrüger posieren als PayPal oder Amazon und versuchen, Ihr Passwort und Ihre Kreditkartendaten zu stehlen. Ihre Täuschung ist nahezu perfekt. Wir zeigen Ihnen, wie Sie den Betrug erkennen können. Weiterlesen .
Nach vielen Verstößen gegen die Daten empfehlen wir Ihnen häufig, Ihre Passwörter zu ändern und einen Passwort-Manager zu verwenden. Wie Passwort-Manager Ihre Passwörter sicher halten Wie Passwort-Manager Ihre Passwörter sicher aufbewahren Auch schwer zu merkende Passwörter sind schwer zu merken. Willst du sicher sein? Sie benötigen einen Passwortmanager. So funktionieren sie und wie schützen sie dich? Lesen Sie mehr und melden Sie sich bei HaveIBeenPwned an. Jetzt prüfen und prüfen, ob Ihre Kennwörter jemals ausgelaufen sind. Jetzt prüfen und prüfen, ob Ihre Kennwörter jemals ausgelaufen sind. Weitere Informationen, Aktivieren der Zwei-Faktor-Authentifizierung Was ist Zwei-Faktor-Authentifizierung und warum sollten Sie sie verwenden? Was ist Zwei-Faktor-Authentifizierung? Warum sollten Sie sie verwenden? Die Zwei-Faktor-Authentifizierung (2FA) ist eine Sicherheitsmethode, die zwei verschiedene Methoden erfordert Ihre Identität zu beweisen. Es wird häufig im Alltag verwendet. Zum Beispiel erfordert das Bezahlen mit einer Kreditkarte nicht nur die Karte, wo immer dies möglich ist, und verbessern Sie Ihre Cyberhygiene. Verbessern Sie Ihre Cyberhygiene in 5 einfachen Schritten. Verbessern Sie Ihre Cyberhygiene in 5 einfachen Schritten so wichtig wie die persönliche Körperhygiene. Regelmäßige Systemüberprüfungen sowie neue, sicherere Online-Gewohnheiten sind erforderlich. Aber wie können Sie diese Änderungen vornehmen? Weiterlesen . Zwar schützt Sie keines dieser Geräte direkt vor dem Equifax-Leck, aber eine Erhöhung Ihrer Sicherheit schadet Ihnen nicht. Unter den gegebenen Umständen wäre es vielleicht sogar die Mühe wert, eine zusätzliche Sicherheitsüberprüfung durchzuführen. Schützen Sie sich mit einer jährlichen Sicherheits- und Datenschutzüberprüfung. Schützen Sie sich mit einer jährlichen Sicherheitsüberprüfung und Datenschutzüberprüfung. Wir sind fast zwei Monate im neuen Jahr, aber es gibt noch Zeit, eine positive Lösung zu treffen. Vergessen Sie nicht, weniger Koffein zu trinken - wir sprechen davon, Maßnahmen zu ergreifen, um Online-Sicherheit und Datenschutz zu gewährleisten. Weiterlesen .
Equihaxxed
Der Equifax-Verstoß wird höchstwahrscheinlich das herausragende Sicherheitsereignis in einem Jahr sein, in dem es zu Datenverletzungen und Ransomware-Angriffen kommt. Wie bei anderen hochkarätigen Sicherheitsereignissen wie WannaCry und dem ununterbrochenen Strom von Datenlecks ist der erstaunliche Charakter des Equifax-Verstoßes mit einem Silberstreifen versehen. Indem die Öffentlichkeit auf Datensicherheit, Kreditauskunft und Unternehmensfehler aufmerksam gemacht wird, besteht die Möglichkeit, dass diese Angelegenheiten diskutiert und gemindert werden. Die starke Resonanz vieler US-Senatoren wird hoffentlich dafür sorgen, dass diese Verletzung nicht in den Hintergrund tritt. Equifax hat zumindest zugegeben, dass einige personelle Änderungen erforderlich sind - der Chief Information Officer und der Chief Security Officer “im Ruhestand” als Ergebnis.
Trotz seiner Bekanntheit und seines großen Umfangs gibt es immer noch keine Informationen darüber, wer die Angreifer waren. Equifax hat ihrerseits zu dieser Angelegenheit absolut nichts gesagt - im Einklang mit dem Rest ihrer schlecht verwalteten Reaktion. Nur wenige Tage, nachdem der Verstoß bekannt gemacht worden war, tauchte eine Gruppe auf, behauptete, die Daten zu haben, und forderte ein Lösegeld von 600 Bitcoin. Nachdem die Forscher den Hosting-Service der .onion-Site entdeckt hatten, wurde dieser umgehend geschlossen.
Unabhängig davon behauptete eine Gruppe, die sich Equihax nannte, auch, die Daten im Besitz zu haben, bot jedoch keinen nachweisbaren Beweis. Angesichts der potenziell lukrativen Daten können Sie sicher sein, dass es nicht mehr lange dauert, bis die Hacker versuchen, Geld zu verdienen.
Wurden Sie von der Sicherheitsverletzung von Equifax betroffen? Glaubst du, Equifax ist schuld, und hätten sie mehr tun können, um dich zu schützen? Lass es uns in den Kommentaren wissen!
Bild-Gutschrift: stevanovicigor / Depositphotos
Erfahren Sie mehr über: Kreditkarte, Online-Sicherheit, Sicherheitsverletzung.