أعلنت شركة Equifax Inc. (EFX) في 7 سبتمبر 2017 أن 143 مليون من عملائها قد تأثروا بالاختراق الذي حدث بين منتصف مايو ويوليو. تم رفع هذا الرقم إلى 145.5 مليون خلال الأسابيع التالية ، ثم إلى 147.9 مليون في 1 مارس 2018 ، عندما قالت الشركة إنها حددت 2.4 مليون ضحية إضافية.
بعد إغلاق السوق في نفس اليوم ، أعلنت الشركة عن نتائجها المالية للربع الرابع والعام بأكمله. ارتفعت إيرادات الشركة في الربع الرابع بنسبة 5 ٪ على أساس سنوي إلى 838.5 مليون دولار. ارتفع صافي الدخل في الربع بنسبة 40 ٪ على أساس سنوي إلى 172.3 مليون دولار. كما ارتفعت الإيرادات والأرباح للعام بأكمله مقارنة بعام 2016: فقد ارتفعت الإيرادات بنسبة 7٪ إلى 3.4 مليار دولار ، في حين زاد صافي الدخل بنسبة 20٪ إلى 587.3 مليون دولار. وقالت الشركة إن الاختراق كلفها 26.5 مليون دولار في الربع الرابع و 114.0 مليون دولار في السنة كاملة ، صافي مدفوعات التأمين. ارتفع السهم ، الذي أغلق منخفضًا بنسبة 1.3٪ وفقًا لمؤشر S&P 500 ، بنسبة 0.6٪ في التداول بعد ساعات العمل وقت كتابة هذا التقرير.
وفقًا لـ Equifax ، تم كشف ما يصل إلى 209،000 رقم بطاقة ائتمان للعملاء ، وتم اختراق مستندات النزاع المتعلقة بـ 182،000 مستهلك أمريكي - والتي تتضمن معلومات شخصية -. كما تأثر المستهلكون البريطانيون بالخرق ؛ من الممكن أن بعض الكنديين تعرضوا للخطر. وفقا لصحيفة وول ستريت جورنال ، نقلا عن مصدر لم يكشف عن اسمه ، سرقت 10.9 مليون الأميركيين بيانات رخصة القيادة في خرق.
كانت الشركة على علم بالهجوم منذ 29 يوليو ، لكنها انتظرت أكثر من شهر لتنبيه الجمهور. في 20 سبتمبر ، تم الإبلاغ عن أن Mandiant ، وهي شركة تابعة تابعة لـ FireEye Inc. (FEYE) تم التعاقد معها من قبل Equifax ، تقدر الخرق حتى تاريخ 10 مارس على الأقل.
هناك القليل من المعلومات فيما يتعلق بمصدر الهجوم ، الذي يجري التحقيق معه من قبل مكتب التحقيقات الفيدرالي ، لكن وفقًا لما ذكرته بلومبرج ، تشير أوجه التشابه مع الهجمات السابقة على مكتب إدارة شؤون الموظفين وشركة Anthem إلى أن المهاجم يمكن أن يكون برعاية الدولة ، وربما صينيًا. أن معلومات عملاء Equifax لم تظهر في السوق السوداء تشير أيضًا إلى أن المتسللين لم يكونوا مجرد مجرمين. تقارير بلومبرج أيضا أن المهاجمين استهدفوا أفراد معينين ، ربما بسبب ثروتهم أو قيمة ذكائهم.
بالنظر إلى أن عدد السكان البالغين في الولايات المتحدة يبلغ حوالي 250 مليون نسمة ، فمن المحتمل أن تكون قد تأثرت بالانتهاك. من الممكن أيضًا أن تكون قد وقعت بالفعل ضحية احتيال ، منذ أن بدأ الهجوم قبل حوالي ستة أشهر.
تقوم شركة Equifax التي تتخذ من أتلانتا مقراً لها ، إحدى الوكالات الثلاث الكبرى التي تقدم تقارير عن ائتمان المستهلك - والوكالتان الأخريان هما Experian PLC (لندن: EXPN) و TransUnion (TRU) - بجمع البيانات بما في ذلك أرقام الضمان الاجتماعي وأرقام بطاقات الائتمان وأرقام ترخيص السائقين والإيجار والمرافق معلومات الدفع ، والبيانات السكانية. نظرًا لأن طراز Equifax هو من الأعمال التجارية في المقام الأول ، فإن العديد من عملائها لا يدركون أن بياناتهم مخزنة من قبل الشركة. بصرف النظر عن تجنب النظام المالي والائتماني تمامًا ، لا توجد طريقة واضحة لإلغاء الاشتراك في تخزين البيانات الشخصية بواسطة Equifax. (انظر أيضًا ، أكبر 5 اختراقات لبيانات بطاقات الائتمان في التاريخ. )
كيفية التحقق مما إذا كنت تتأثر
أنشأ Equifax موقعًا يمكنك من خلاله التحقق مما إذا كانت معلوماتك قد تعرضت للاختراق من خلال إعطاء اسمك الأخير والأرقام الستة الأخيرة من رقم الضمان الاجتماعي الخاص بك. تعرض هذا الموقع لنقد شديد ، وقمنا بإزالة الرابط بسبب الأسئلة المتعلقة بأمنه. تم إعداده باستخدام WordPress ، وهي عبارة عن منصة التدوين الجاهزة. يقع في مجال منفصل إلى موقع Equifax الرئيسي. أهملت الشركة تسجيل عناوين URL مماثلة ، والتي يمكن استخدامها لهجمات التصيد ؛ قام أحد المتسللين بالقبعات البيضاء بإعداد مثل هذا الموقع لإثبات وجود نقطة ، وقام حساب Equifax الرسمي بتغريد الرابط إلى الموقع المزيف. أكثر من مرة.
تقدم Equifax للعملاء - المتأثرين أم لا - الخدمات التالية ، والتي يطلق عليها TrustedID Premier: نسخ من تقرير ائتمان Equifax ومراقبة الائتمان والتنبيهات الآلية لجميع مكاتب الائتمان الرئيسية الثلاثة ، والقدرة على منع وصول طرف ثالث إلى تقرير ائتمان Equifax الخاص بك (مع استثناءات) ، ومراقبة رقم الضمان الاجتماعي ، ومليون دولار في تأمين سرقة الهوية. آخر موعد للتقديم هو 21 نوفمبر 2017.
وتقول الشركة إن هذه الخدمات كلها مجانية ، لكن وضع تجميد للأمان على ملف ائتمان لم يكن مجانيًا في البداية - على الأقل ليس للجميع. عندما حاولت تجميد ملف ائتمان Equifax في 8 سبتمبر ، قال موقع الشركة إن الخدمة ستكلف 3.00 دولارات وطلبت معلومات عن بطاقة الائتمان لمعالجة عملية الدفع.
كمقيم في نيويورك ، تمكنت من تجميد ملف إكسبيريان الخاص بي مجانًا. لم يتمكن موقع TransUnion من معالجة الطلب في البداية - من المحتمل أن يكون أحد أعراض زيادة عدد الزيارات - لكن في وقت لاحق سمح لي بوضع تجميد مجاني.
في بيان أرسل عبر البريد الإلكتروني ، قال متحدث باسم Equifax لـ Investopedia في 14 سبتمبر إن الشركة تتنازل عن جميع الرسوم لتجميد ملفات الائتمان وتقوم تلقائيًا برد العملاء الذين دفعوا مقابل ذلك بعد إعلان الاختراق. نشأ الآن قلق جديد - وانقطاع واضح للأمان - حول أرقام PIN التي أصدرتها الشركة للعملاء الذين جمدوا تقارير الائتمان الخاصة بهم. تتبع أرقام التعريف الشخصية هذه ، التي تسمح للعملاء بإلغاء تجميد تقارير الائتمان ، نمطًا يسهل تحديده. قال المتحدث الرسمي إن العملاء الذين لديهم أرقام التعريف الشخصية المعيبة هذه يجب عليهم الاتصال بالرقم 866-349-5191 للتحدث إلى وكيل مباشر.
قوائم TrustedID Premier services Equifax كمجانية مجانية فقط لمدة عام. صرح متحدث باسم Equifax لـ Investopedia بأن الشركة لا تطلب معلومات بطاقة الائتمان عندما يقوم العملاء بالتسجيل في الخدمة وأن الشركة لن تقوم بتجديدها تلقائيًا أو فرض رسوم. معدل Equifax القياسي لمراقبة الائتمان هو 17 دولار في الشهر.
ماذا تفعل إذا كنت تتأثر
لدى Liz Weston ، كاتبة التمويل الشخصي في NerdWallet ، النصيحة التالية للمتضررين من خرق Equifax ، والتي تشاركها مع Investopedia في رسالة بريد إلكتروني: "سوف تتواصل Equifax مع الضحايا وتقدم لهم مراقبة الائتمان. يجب على الضحايا التأكد من أن الموافقة على المراقبة لا تمنعهم من الانضمام إلى الدعاوى أو غيرها من الإجراءات على الطريق ".
في البداية ، طلبت صفحة خدمة TrustedID Premier (النسخة المؤرشفة) في الواقع من المستخدمين التنازل عن حقهم في الانضمام إلى دعوى جماعية ضد Equifax: "بموافقتك على تقديم مطالباتك للتحكيم ، ستخسر حقك في جلب أو المشاركة في أي دعوى جماعية (سواء أكان مدعيًا مسمىًا أو عضوًا في الفصل) أو للمشاركة في أي من جوائز الدعوى الجماعية ، بما في ذلك المطالبات الجماعية التي لم يتم التصديق فيها حتى الآن ، حتى لو كانت الوقائع والظروف التي تستند إليها المطالبات قد حدثت بالفعل أو موجودة ". بعد رد الفعل العكسي ، تم تحديث صفحة الأسئلة الشائعة للشركة ليقول إن الفقرة تنطبق على خدمة TrustedID Premier ، وليس الاختراق. اعتبارًا من صباح 12 سبتمبر ، لم تعد شروط الخدمة تتضمن بندًا للتحكيم.
يقول ويستون إنه يتعين على العملاء المتأثرين التفكير في تجميد تقارير الائتمان الخاصة بهم في جميع المكاتب الرئيسية الثلاثة. كما ذكر أعلاه ، قد تفرض مكاتب الائتمان رسومًا لبدء هذا التجميد. قد يتم محاسبتك أيضًا على الحسابات غير المجمدة عندما تحتاج إلى التحقق من الائتمان (للتقدم بطلب للحصول على خدمة الهاتف المحمول ، على سبيل المثال). هذه الرسوم عادة ما تكون أقل من 10 دولارات ، لكنها يمكن أن تضيف ما يصل. يلاحظ ويستون أن هناك خيارًا آخر يتمثل في وضع تنبيه الاحتيال على تقارير الائتمان الخاصة بك في مكاتب الائتمان الثلاثة. (لمزيد من المعلومات ، راجع كيفية الاسترداد من سرقة الهوية .)
خدمات مراقبة الائتمان الأخرى ، التي لا ترعاها Equifax ، متاحة أيضًا. خدمات حماية سرقة الهوية: هل تستحق؟ يسرد العديد منهم لك للتحقيق.
استجابة Equifax
وقال ريتشارد سميث ، الرئيس والمدير التنفيذي لشركة Equifax في ذلك الوقت ، بعد الاختراق ، إنه "من الواضح أنه حادث مخيب للآمال بالنسبة لشركتنا ، وهو حادث يصيب قلب من نحن وماذا نفعل". استقال من منصبه في 26 سبتمبر ولن يحصل على مكافأة لعام 2017. وجاءت رحيله بعد رحيل ضابط الأمن سوزان مولدين ورئيس قسم المعلومات ديفيد ويب في 14 سبتمبر.
بعد أيام قليلة من كشف الشركة عن الاختراق داخليًا - وقبل الكشف عن الانهيار للجمهور - قام المدير المالي لشركة Equifax John Gamble ورئيسها لحلول القوى العاملة Rodolfo Ploder ورئيسها لحلول المعلومات الأمريكية Joseph Loughran ببيع أسهم Equifax الخاصة بهم. وقال Equifax في بيان أن المديرين التنفيذيين لم يعرفوا عن الاختراق عندما باعوا الأسهم الخاصة بهم. وحصل Gamble و Ploder و Loughran بشكل جماعي على 1.8 مليون دولار تقريبًا من المبيعات.
اعتبارًا من 28 فبراير ، انخفض سهم Equifax بنسبة 20.1٪ من إغلاقه في 7 سبتمبر (قبل الإعلان عن الاختراق) إلى 113.00 دولار. بعد عدة تأخير ، تقول Equifax إنها ستعلن عن أرباح الربع الرابع بعد الإغلاق في 1 مارس.
دع الدعاوى تبدأ
ذكرت رويترز في 11 سبتمبر أن أكثر من 30 دعوى قضائية - كثير منها تسعى إلى رفع دعوى جماعية - تم رفعها ضد Equifax في المحاكم الأمريكية. يزعم العديد من الانتهاكات لقانون الأوراق المالية. يتهم آخرون TrustedID بتقديم خدمات باهظة التكلفة للعملاء الذين تأثروا بخرق البيانات. أقام خمسة من سكان ولاية يوتا دعوى قضائية ضد الشركة في محكمة المقاطعة الأمريكية لفشلهم في حماية البيانات الحساسة للعملاء. تسعى الدعوى للحصول على تعويضات مالية بقيمة 5 مليارات دولار وفرض معايير أكثر صرامة للصناعة.
يتخذ عدد قليل من العملاء المتضررين طريقًا أقل تقليدية في البحث عن Equifax. يوفر chatbot DoNotPay المساعدة في تقديم شكوى في محاكم المطالبات الصغيرة في الولاية ، حيث تتراوح العقوبات القصوى بين 2500 دولار و 25000 دولار. لا يمكن للبوت أن يولد سوى الأوراق اللازمة لدعوى قضائية ، وليس في الواقع رفعها أو المثول أمام المحكمة ، وفقًا لـ "Verge".
أعلن مكتب التحقيقات الفيدرالي (FBI) والمحامي الأمريكي المتمركز في أتلانتا (جون هورن) عن تحقيق جنائي في هذا الاختراق في 18 سبتمبر.
السيد سميث يذهب إلى واشنطن
في 3 أكتوبر ، أدلى ريتشارد سميث الرئيس التنفيذي السابق بشهادته أمام اللجنة الفرعية لحماية التجارة الرقمية وحماية المستهلك. اعتذر عدة مرات عن فشل Equifax في حماية بيانات المستهلك وواجه أسئلة حول مجموعة من المشكلات المتعلقة بالانتهاك ورد Equifax. ارتفع سهم الشركة بعد الشهادة ، لكنه ظل أقل بكثير من المستويات التي كان يتداول بها قبل الكشف عن الاختراق.
رداً على الأسئلة المتعلقة بشرط التحكيم المثير للجدل والذي تم تضمينه مبدئيًا في شروط خدمة TrustedID Premier ، قال سميث إن شرط "النمذجة" لم يقصد به أبدًا أن يطبق على الانتهاك ووصف تضمينه بأنه "خطأ". لم يقل الشيء نفسه عن الجمل المماثلة التي تحكم خدمات Equifax الأخرى ، والتي وصفها بأنها "قياسية".
تعرضت مبيعات الأسهم التنفيذية ذات التوقيت المشكوك فيه أيضًا للتدقيق: قال النائب يان شاكوفسكي ، وهو ديمقراطي من ولاية إلينوي ، إن عملية البيع "لا تجتاز اختبار الرائحة" ، ولكن سميث تم تقديرها ، "على حد علمي ، لم يعرفوا" الاختراق في ذلك الوقت.
وصف سميث الخرق بأنه نتيجة خطأ بشري وفشل تقني: الشخص المسؤول عن التأكد من تصحيح برنامج Apache Struts - الذي كان لديه ثغرة أمنية معروفة استغلها المهاجمون - وفشل ماسح ضوئي في القيام بذلك نبهت الشركة من هذا الخطأ أيضا فشل.
وجاء رد الشركة الخارق للأزمة أيضًا للنقد: إنشاء موقع WordPress بعنوان URL مشبوه ، وفشل في تأمين مجالات متشابهة (وحتى توجيه العملاء إلى أحد هذه المجالات) ، وفشلها في إنشاء مراكز اتصال كافية للموظفين ، وإنشاء عمومًا الانطباع بأن الشركة - الموجودة لجمع البيانات الحساسة وتأمينها وبيعها - لم تكن مستعدة تمامًا لهجمات إلكترونية على قواعد بياناتها. وقال النائب ماركوين مولين ، وهو جمهوري من أوكلاهوما ، لـ سميث إن رده كان ينبغي أن يكون مثل سحب إنذار الحريق: "هذا يحدث على الفور". أجاب سميث أن فريقه "يتبع البروتوكول". ذكر العديد من الممثلين أن سميث ألقى خطابًا وصف فيه الاحتيال بأنه "فرصة هائلة" و "عمل هائل ومتزايد" في أغسطس - بعد أن علم بالاختراق.
ورفض سميث الإجابة على أسئلة حول مصدر الهجوم ، بما في ذلك ما إذا كان من المحتمل أن يكون ممثلاً للدولة. وقال ببساطة أن مكتب التحقيقات الفيدرالي يجري تحقيقًا. دافع عن استثمارات Equifax في الأمن السيبراني خلال فترة ولايته ، قائلاً إنه عندما وصل قبل اثني عشر عامًا ، لم يكن هناك أي استثمار في حماية البيانات. وقال سميث إن الشركة أنفقت ربع مليار دولار ووظفت فريقًا من 225 شخصًا لتأمين بيانات الشركة ، مستثمراً معيار الصناعة بنسبة 10-14٪ من ميزانية تكنولوجيا المعلومات للشركة في مجال الأمن السيبراني.
وأشار بعض الممثلين إلى أن الانتهاك قد فتح أسئلة أساسية حول دور صناعة مراقبة الائتمان وحقوق المستهلكين. "ماذا لو أردت اختيار موقع Equifax الخاص بنا؟" سأل Schakowski. أجاب سميث ، "هذا يتطلب مناقشة أوسع بكثير حول دور وكالات تقارير الائتمان." وردد النائب تونكو ، وهو ديمقراطي من نيويورك ، هذا الشعور ، مشيرًا إلى أنه ليس "عميلًا" حقًا ، لأنه لم يسبق له اختيار التعامل مع Equifax. "لماذا يُسمح لهذه الشركة بالاستمرار في الوجود؟" سأل. في عدة نقاط ، شكك سميث في قيمة أرقام الضمان الاجتماعي كوسيلة لإثبات الهوية وجعل إشارات غامضة لإعطاء "القدرة على العودة إلى المستهلك".
جاء السؤال الأكبر في اليوم من ديموقراطية ولاية كاليفورنيا دوريس ماتسوي: "هل أملك بياناتي؟" لم يستطع سميث الإجابة. (انظر أيضًا ، قد تجعلك Blockchain - وليس Equifax - مالك بياناتك. )
