Equifax Inc. (EFX) ประกาศเมื่อวันที่ 7 กันยายน 2017 ว่าลูกค้า 143 ล้านคนได้รับผลกระทบจากการแฮ็คที่เกิดขึ้นระหว่างกลางเดือนพฤษภาคมถึงกรกฎาคม ตัวเลขดังกล่าวพุ่งชน 145.5 ล้านคนในสัปดาห์ต่อมาและ 147.9 ล้านคนในวันที่ 1 มี.ค. 2018 เมื่อ บริษัท บอกว่าได้ระบุเหยื่อผู้เคราะห์ร้ายอีก 2.4 ล้านคนแล้ว
หลังจากปิดตลาดในวันเดียวกัน บริษัท รายงานผลประกอบการไตรมาสสี่และทั้งปี รายรับในไตรมาสสี่ของ บริษัท เพิ่มขึ้น 5% เมื่อเทียบเป็นรายปีสู่ระดับ 838.5 ล้านดอลลาร์ รายรับสุทธิในไตรมาสดังกล่าวเพิ่มขึ้น 40% เมื่อเทียบเป็นรายปีมาอยู่ที่ 172.3 ล้านดอลลาร์ รายรับและผลกำไรตลอดทั้งปีเพิ่มขึ้นเมื่อเทียบกับปี 2559: รายรับเพิ่มขึ้น 7% เป็น 3.4 พันล้านดอลลาร์ขณะที่รายรับสุทธิเพิ่มขึ้น 20% เป็น 587.3 ล้านดอลลาร์ บริษัท กล่าวว่าการแฮกมีค่าใช้จ่าย 26.5 ล้านเหรียญสหรัฐในไตรมาสที่สี่และ 114.0 ล้านเหรียญสหรัฐตลอดทั้งปี หุ้นซึ่งปิดตัวลง 1.3% ซึ่งสอดคล้องกับ S&P 500 เพิ่มขึ้น 0.6% ในการซื้อขายนอกเวลาทำการ
มีการเปิดเผยหมายเลขบัตรเครดิตของลูกค้ามากถึง 209, 000 รายจากเอกสาร Equifax และข้อพิพาทที่เกี่ยวข้องกับผู้บริโภคสหรัฐ 182, 000 คนซึ่งรวมถึงข้อมูลส่วนบุคคลถูกบุกรุก ผู้บริโภคชาวอังกฤษยังได้รับผลกระทบจากการฝ่าฝืน เป็นไปได้ว่าชาวแคนาดาบางคนถูกโจมตี ตามที่ Wall Street Journal อ้างถึงแหล่งที่ไม่มีชื่อ, 10.9 ล้านคนอเมริกันข้อมูลใบอนุญาตขับรถถูกขโมยในการละเมิด
บริษัท ได้ทราบเกี่ยวกับการโจมตีตั้งแต่วันที่ 29 กรกฎาคม แต่รอมากกว่าหนึ่งเดือนเพื่อแจ้งเตือนประชาชน ในวันที่ 20 กันยายนมีรายงานว่า Mandiant ซึ่งเป็น บริษัท ย่อยของ FireEye Inc. (FEYE) ซึ่งทำสัญญาโดย Equifax ประมาณการว่าการฝ่าฝืนจนถึงวันที่ 10 มีนาคมเป็นอย่างน้อย
มีข้อมูลเพียงเล็กน้อยเกี่ยวกับแหล่งที่มาของการโจมตีซึ่งกำลังถูกสอบสวนโดย FBI แต่จาก Bloomberg ความคล้ายคลึงกับการโจมตีก่อนหน้านี้ในสำนักงานการบริหารงานบุคคลและ Anthem Inc. ชี้ให้เห็นว่าผู้โจมตีอาจได้รับการสนับสนุนจากรัฐ ข้อมูลลูกค้า Equifax นั้นไม่ได้ปรากฏในตลาดมืดนอกจากนี้ยังชี้ให้เห็นว่าแฮ็คเกอร์ไม่ใช่แค่อาชญากร บลูมเบิร์กยังรายงานด้วยว่าผู้โจมตีตั้งเป้าหมายเฉพาะบุคคลซึ่งอาจเป็นเพราะความมั่งคั่งหรือคุณค่าทางสติปัญญา
เนื่องจากประชากรผู้ใหญ่ของสหรัฐอเมริกามีประมาณ 250 ล้านคนโอกาสที่คุณได้รับผลกระทบจากการฝ่าฝืน เป็นไปได้ว่าคุณเคยตกเป็นเหยื่อของการฉ้อโกงมาตั้งแต่การโจมตีเริ่มขึ้นเมื่อหกเดือนก่อน
Equifax ในเมืองแอตแลนตาซึ่งเป็นหนึ่งในสามหน่วยงานรายงานเครดิตของผู้บริโภค - อีกสองแห่งคือ Experian PLC (ลอนดอน: EXPN) และ TransUnion (TRU) - รวบรวมข้อมูลรวมถึงหมายเลขประกันสังคมหมายเลขบัตรเครดิตหมายเลขใบขับขี่เช่าและสาธารณูปโภค ข้อมูลการชำระเงินและข้อมูลประชากร เนื่องจากรูปแบบของ Equifax นั้นเกี่ยวเนื่องกับธุรกิจเป็นหลักลูกค้าจำนวนมากไม่ทราบว่าข้อมูลของพวกเขาถูกจัดเก็บโดย บริษัท นอกเหนือจากการหลีกเลี่ยงระบบการเงินและสินเชื่อโดยสิ้นเชิงไม่มีวิธีที่ตรงไปตรงมาในการยกเลิกการเก็บข้อมูลส่วนบุคคลของ Equifax (โปรดดู ข้อมูลแฮ็กข้อมูลบัตรเครดิตที่ใหญ่ที่สุด 5 รายการในประวัติศาสตร์ )
วิธีการตรวจสอบว่าคุณได้รับผลกระทบหรือไม่
Equifax ได้ตั้งค่าเว็บไซต์ที่คุณสามารถตรวจสอบว่าข้อมูลของคุณถูกบุกรุกโดยให้นามสกุลและตัวเลขหกหลักสุดท้ายของหมายเลขประกันสังคมของคุณ ไซต์นี้ได้รับการวิพากษ์วิจารณ์อย่างรุนแรงและเราได้ลบลิงก์เนื่องจากคำถามเกี่ยวกับความปลอดภัย มันถูกตั้งค่าโดยใช้ WordPress ซึ่งเป็นแพลตฟอร์มบล็อกนอกชั้นวาง มันตั้งอยู่ที่โดเมนแยกไปยังเว็บไซต์หลักของ Equifax บริษัท ละเลยการลงทะเบียน URL ที่คล้ายกันซึ่งสามารถใช้สำหรับการโจมตีแบบฟิชชิ่ง แฮกเกอร์หมวกสีขาวคนหนึ่งตั้งค่าไซต์ดังกล่าวเพื่อพิสูจน์จุดหนึ่งและบัญชี Equifax อย่างเป็นทางการทวีตลิงค์ไปยังเว็บไซต์ปลอม มากกว่าหนึ่งครั้ง.
Equifax ให้บริการแก่ลูกค้า - ได้รับผลกระทบหรือไม่ - บริการต่อไปนี้ซึ่งเรียกว่า TrustedID Premier: สำเนารายงานเครดิต Equifax, การตรวจสอบเครดิตและการแจ้งเตือนอัตโนมัติสำหรับสำนักงานสินเชื่อรายใหญ่ทั้งสามแห่งความสามารถในการปิดกั้นการเข้าถึงรายงานเครดิต Equifax ของบุคคลที่สาม (มีข้อยกเว้น) การตรวจสอบหมายเลขประกันสังคมและ $ 1 ล้านในการประกันการโจรกรรม กำหนดเวลาในการสมัครคือ 21 พฤศจิกายน 2017
บริษัท กล่าวว่าบริการเหล่านี้ให้บริการฟรี แต่การหยุดการรักษาความปลอดภัยในไฟล์เครดิตนั้นไม่ได้ฟรีในตอนแรก - อย่างน้อยก็ไม่ใช่สำหรับทุกคน เมื่อฉันพยายามที่จะตรึงไฟล์เครดิต Equifax เมื่อวันที่ 8 กันยายนเว็บไซต์ของ บริษัท กล่าวว่าบริการจะมีค่าใช้จ่าย $ 3.00 และขอข้อมูลบัตรเครดิตเพื่อดำเนินการชำระเงิน
ในฐานะผู้อาศัยในนิวยอร์กฉันสามารถวางไฟล์ Experian ของฉันได้ฟรี ไซต์ของ TransUnion ไม่สามารถดำเนินการตามคำขอได้ในตอนแรกซึ่งอาจเป็นอาการของการรับส่งข้อมูลที่เพิ่มขึ้น แต่ภายหลังอนุญาตให้ฉันหยุดการแช่แข็งได้ฟรี
ในคำแถลงทางอีเมลโฆษกของ Equifax ได้แจ้งกับ Investopedia เมื่อวันที่ 14 กันยายนว่า บริษัท กำลังยกเว้นค่าใช้จ่ายทั้งหมดในการตรึงไฟล์เครดิตและจะคืนเงินให้ลูกค้าที่ชำระโดยอัตโนมัติหลังจากแฮ็คถูกเผยแพร่สู่สาธารณะ ข้อกังวลใหม่ - และการรักษาความปลอดภัยที่ผ่านพ้นไปอย่างชัดเจนได้เกิดขึ้นรอบ ๆ PIN ที่ บริษัท ออกให้กับลูกค้าที่เคยรายงานเครดิต PIN เหล่านี้ซึ่งทำให้ลูกค้าสามารถยกเลิกการตรึงเครดิตรายงานได้ตามรูปแบบที่ระบุได้ง่าย โฆษกกล่าวว่าลูกค้าที่มี PIN ผิดพลาดเหล่านี้จะต้องโทร 866-349-5191 เพื่อพูดคุยกับตัวแทนสด
บริการ TrustedID Premier Equifax เป็นอภินันทนาการฟรีเพียงปีเดียวเท่านั้น โฆษกของ Equifax บอกกับ Investopedia ว่า บริษัท ไม่ได้ขอข้อมูลบัตรเครดิตเมื่อลูกค้าสมัครใช้บริการและ บริษัท จะไม่ต่ออายุโดยอัตโนมัติหรือเรียกเก็บค่าธรรมเนียม อัตรามาตรฐานของ Equifax สำหรับการตรวจสอบเครดิตคือ $ 17 ต่อเดือน
จะทำอย่างไรถ้าคุณได้รับผลกระทบ
Liz Weston นักเขียนการเงินส่วนบุคคลที่ NerdWallet มีคำแนะนำต่อไปนี้สำหรับผู้ที่ได้รับผลกระทบจากการฝ่าฝืน Equifax ซึ่งเธอแบ่งปันกับ Investopedia ทางอีเมล: "Equifax จะยื่นมือออกไปช่วยเหลือผู้ประสบภัยและให้การตรวจสอบเครดิต การเห็นด้วยกับการตรวจสอบไม่ได้ป้องกันพวกเขาจากการเข้าร่วมในคดีความหรือการกระทำอื่น ๆ
ในขั้นต้นหน้าข้อกำหนดในการให้บริการของ TrustedID Premier (เวอร์ชันที่เก็บถาวร) ได้ทำในความเป็นจริงต้องการให้ผู้ใช้สละสิทธิ์ในการเข้าร่วมชุดปฏิบัติการคลาสกับ Equifax: "โดยการยินยอมส่งข้อเรียกร้องของคุณต่ออนุญาโตตุลาการคุณจะถูกริบ ในการดำเนินการในชั้นเรียนใด ๆ (ไม่ว่าจะเป็นโจทก์ชื่อหรือสมาชิกในชั้นเรียน) หรือมีส่วนร่วมในรางวัลการดำเนินการในชั้นเรียนใด ๆ รวมถึงการเรียกร้องในชั้นเรียนที่ยังไม่ได้รับการรับรองชั้นแม้ว่าข้อเท็จจริงและสถานการณ์ตามที่ หรือมีอยู่ " ตามแบ็กสแลชหน้าคำถามที่พบบ่อยของ บริษัท ได้รับการอัปเดตเพื่อบอกว่าประโยคนี้ใช้กับบริการ TrustedID Premier ไม่ใช่แฮ็ค ตั้งแต่เช้าของวันที่ 12 กันยายนข้อกำหนดในการให้บริการจะไม่รวมถึงอนุญาโตตุลาการอีกต่อไป
Weston กล่าวว่าลูกค้าที่ได้รับผลกระทบควรพิจารณารายงานเครดิตของพวกเขาที่สำนักงานใหญ่ทั้งสามแห่ง ดังที่กล่าวไว้ข้างต้นเครดิตบูโรอาจเรียกเก็บค่าธรรมเนียมสำหรับการเริ่มต้นการแช่แข็งนั้น คุณอาจถูกเรียกเก็บเงินสำหรับบัญชีที่ยังไม่ได้เปิดใช้เมื่อคุณต้องการตรวจสอบเครดิต (เพื่อสมัครใช้บริการโทรศัพท์มือถือเป็นต้น) ค่าธรรมเนียมเหล่านี้โดยทั่วไปจะน้อยกว่า $ 10 แต่สามารถเพิ่มได้ Weston ตั้งข้อสังเกตว่าอีกทางเลือกหนึ่งคือการแจ้งเตือนการฉ้อโกงในรายงานเครดิตของคุณที่สำนักงานเครดิตสามแห่ง (สำหรับข้อมูลเพิ่มเติมดู วิธีการกู้คืนจากขโมยข้อมูลประจำตัว )
นอกจากนี้ยังมีบริการตรวจสอบเครดิตอื่น ๆ ที่ไม่ได้รับการสนับสนุนจาก Equifax บริการป้องกันการโจรกรรมข้อมูลระบุตัวตน แสดงหลายรายการเพื่อให้คุณตรวจสอบ
การตอบสนองของ Equifax
ริชาร์ดสมิ ธ ประธานและซีอีโอของ Equifax กล่าวหลังจากแฮ็กว่า "เป็นเหตุการณ์ที่น่าผิดหวังสำหรับ บริษัท ของเราและเป็นสิ่งที่ทำให้หัวใจของเราคือใครและเราทำอะไร" เขาก้าวลงมาในวันที่ 26 กันยายนและจะไม่ได้รับโบนัสสำหรับปี 2560 การจากไปของเขาจะตามด้วยเจ้าหน้าที่รักษาความปลอดภัยระดับสูงของ Susan Mauldin และ David Webb ประธานเจ้าหน้าที่ฝ่ายข้อมูลเมื่อวันที่ 14 กันยายน
ไม่กี่วันหลังจาก บริษัท เปิดเผยการแฮ็กภายใน - และก่อนที่จะมีการเปิดเผยข้อมูลต่อสาธารณชน - นายจอห์นแกมเบิลหัวหน้าเจ้าหน้าที่ฝ่ายการเงินของ Equifax ประธาน บริษัท ด้านโซลูชั่นแรงงาน Rodolfo Ploder และประธานฝ่ายโซลูชันข้อมูลสหรัฐของสหรัฐอเมริกา Joseph Loughran ขายหุ้น Equifax Equifax กล่าวในแถลงการณ์ว่าผู้บริหารไม่ทราบเกี่ยวกับการละเมิดเมื่อพวกเขาขายหุ้นของพวกเขา Gamble, Ploder และ Loughran มีรายรับรวมกันเกือบ 1.8 ล้านเหรียญจากการขาย
ณ วันที่ 28 ก.พ. สต็อกของ Equifax ได้ลดลง 20.1% จากการปิดเมื่อวันที่ 7 ก.ย. (ก่อนที่จะมีการประกาศการแฮ็ก) เป็น $ 113.00 หลังจากเกิดความล่าช้าหลายครั้ง Equifax กล่าวว่าจะรายงานผลประกอบการไตรมาสสี่หลังจากปิดในวันที่ 1 มีนาคม
ให้คดีเริ่มต้นขึ้น
สำนักข่าวรอยเตอร์รายงานเมื่อวันที่ 11 ก.ย. ว่ามีคดีฟ้องร้องมากกว่า 30 คดีซึ่งหลายคนกำลังพยายามฟ้องร้องคดีในศาล หลายคนกล่าวหาการละเมิดกฎหมายหลักทรัพย์ คนอื่นกล่าวหา TrustedID ในการให้บริการที่มีราคาสูงแก่ลูกค้าที่ได้รับผลกระทบจากการละเมิดข้อมูล ผู้อาศัยในยูทาห์ห้าคนฟ้อง บริษัท ในศาลแขวงสหรัฐเนื่องจากไม่สามารถปกป้องข้อมูลที่สำคัญของลูกค้าได้ ชุดค้นหาความเสียหายทางการเงินของ $ 5 พันล้านและการกำหนดมาตรฐานอุตสาหกรรมที่เข้มงวด
ลูกค้าที่ได้รับผลกระทบไม่กี่รายกำลังใช้เส้นทางแบบดั้งเดิมน้อยลงในการแสวงหาความช่วยเหลือจาก Equifax แชท DoNotPay ให้ความช่วยเหลือในการยื่นเรื่องร้องเรียนในศาลเรียกร้องเล็ก ๆ ของรัฐซึ่งมีบทลงโทษสูงสุดตั้งแต่ $ 2, 500 ถึง $ 25, 000 บอทสามารถสร้างเอกสารเฉพาะสำหรับคดีความจริงไม่ยื่นหรือปรากฏในศาลตามที่ Verge
จอห์นฮอร์น (US Attorney) จาก FBI และแอตแลนตาได้ประกาศการสอบสวนคดีอาชญากรรมเมื่อวันที่ 18 กันยายนที่ผ่านมาสำนักคุ้มครองทางการเงินผู้บริโภคและทนายความของรัฐ 34 รายกำลังทำการสอบสวน
นายสมิ ธ ไปวอชิงตัน
เมื่อวันที่ 3 ต.ค. อดีต CEO Richard Richard ให้การต่อหน้าคณะอนุกรรมการ Digital House Commerce และ Consumer Consumer เขาขอโทษหลายครั้งสำหรับความล้มเหลวของ Equifax ในการปกป้องข้อมูลผู้บริโภคและเผชิญหน้ากับคำถามเกี่ยวกับปัญหาที่เกี่ยวข้องกับการละเมิดและการตอบสนองของ Equifax หุ้นของ บริษัท เพิ่มขึ้นตามคำให้การ แต่ยังคงต่ำกว่าระดับที่ซื้อขายก่อนที่แฮ็คจะถูกเปิดเผย
ในการตอบคำถามเกี่ยวกับข้อโต้แย้งการอนุญาโตตุลาการซึ่งรวมอยู่ในข้อกำหนดการให้บริการของ TrustedID Premier สมิ ธ กล่าวว่าประโยค "สำเร็จรูป" ไม่เคยตั้งใจจะนำไปใช้กับการฝ่าฝืนและเรียกว่า "ผิดพลาด" เขาจะไม่พูดเช่นเดียวกันกับข้อที่คล้ายกันที่ควบคุมบริการ Equifax อื่น ๆ ซึ่งเขาเรียกว่า "มาตรฐาน"
หมดเวลาที่น่าสงสัยการขายหุ้นของผู้บริหารก็อยู่ภายใต้การตรวจสอบข้อเท็จจริง: ตัวแทน Jan Schakowsky, อิลลินอยส์ประชาธิปัตย์กล่าวว่าการขาย "ไม่ผ่านการทดสอบกลิ่น" แต่สมิ ธ เฉลี่ย "ที่ดีที่สุดของความรู้ของฉันพวกเขาไม่รู้" การละเมิดในเวลา
Smith อธิบายถึงการฝ่าฝืนอันเป็นผลมาจากความผิดพลาดของมนุษย์และความล้มเหลวทางเทคโนโลยี: บุคคลที่รับผิดชอบในการตรวจสอบให้แน่ใจว่าได้ติดตั้งซอฟต์แวร์ Apache Struts - ซึ่งมีช่องโหว่ที่รู้จักกันทั่วไป แจ้ง บริษัท ของข้อผิดพลาดนั้นล้มเหลวเช่นกัน
การตอบสนองของ บริษัท ที่ล้มเหลวต่อวิกฤตก็เกิดขึ้นเพื่อการวิจารณ์เช่นการตั้งค่าเว็บไซต์ WordPress ด้วย URL ที่น่าสงสัยความล้มเหลวในการรักษาความปลอดภัยของโดเมนที่คล้ายกัน (และแม้แต่การแนะนำลูกค้าไปยังโดเมนใดโดเมนหนึ่ง) ความประทับใจที่ บริษัท ซึ่งมีอยู่เพื่อรวบรวมรักษาความปลอดภัยและขายข้อมูลที่ละเอียดอ่อนนั้นไม่ได้ถูกเตรียมไว้สำหรับการโจมตีทางไซเบอร์บนฐานข้อมูลของ บริษัท Rep. Markwayne Mullin ผู้ว่าการรัฐโอคลาโฮมารีพับลิกันบอก Smith ว่าคำตอบของเขาน่าจะเป็นเหมือนการดึงสัญญาณเตือนไฟไหม้: "มันเข้าที่ทันที" สมิ ธ ตอบว่าทีมของเขา "ตามโพรโทคอล" ตัวแทนหลายคนกล่าวว่าสมิ ธ กล่าวสุนทรพจน์ที่อธิบายถึงการฉ้อโกงในฐานะ "โอกาสอันยิ่งใหญ่" และ "ธุรกิจขนาดใหญ่ที่กำลังเติบโต" ในเดือนสิงหาคมหลังจากที่เขารู้เรื่องการละเมิด
สมิ ธ ปฏิเสธที่จะตอบคำถามเกี่ยวกับแหล่งที่มาของการโจมตีรวมถึงว่ามันอาจจะเป็นนักแสดงของรัฐ เขากล่าวเพียงว่า FBI กำลังทำการสอบสวน เขาปกป้องการลงทุนของ Equifax ในโลกไซเบอร์ในช่วงที่เขาดำรงตำแหน่งกล่าวว่าเมื่อเขามาถึงเมื่อสิบสองปีก่อนก็ไม่มีการลงทุนด้านการปกป้องข้อมูล บริษัท ใช้เวลาหนึ่งในสี่พันล้านดอลลาร์และจ้างทีมงาน 225 คนเพื่อรักษาความปลอดภัยข้อมูลของ บริษัท Smith กล่าวลงทุนในมาตรฐานอุตสาหกรรม 10-14% ของงบประมาณด้านไอทีของ บริษัท ด้านความปลอดภัยทางไซเบอร์
ตัวแทนบางคนระบุว่าการฝ่าฝืนได้เปิดคำถามพื้นฐานเกี่ยวกับบทบาทของอุตสาหกรรมการตรวจสอบเครดิตและสิทธิของผู้บริโภค "ถ้าฉันต้องการเลือก Equifax ของเราล่ะ" Schakowski ถาม สมิ ธ ตอบว่า "ต้องมีการอภิปรายที่กว้างขึ้นเกี่ยวกับบทบาทของหน่วยงานรายงานเครดิต" ตัวแทน Tonko พรรคประชาธิปัตย์ในนิวยอร์กสะท้อนความเชื่อมั่นชี้ให้เห็นว่าเขาไม่ใช่ "ลูกค้า" จริง ๆ ที่ไม่เคยเลือกทำธุรกิจกับ Equifax "ทำไม บริษัท นี้ถึงได้รับอนุญาตให้ดำเนินต่อไป? เขาถาม. ในหลาย ๆ จุดสมิ ธ ถามถึงคุณค่าของหมายเลขประกันสังคมเป็นวิธีในการพิสูจน์ตัวตนและทำการอ้างอิงที่คลุมเครือเพื่อให้ "อำนาจกลับคืนสู่ผู้บริโภค"
คำถามที่ใหญ่ที่สุดในวันนี้มาจาก California Democrat Doris Matsui: "ฉันเป็นเจ้าของข้อมูลของฉันหรือไม่" สมิ ธ ไม่สามารถตอบได้ (ดูเพิ่มเติมที่ Blockchain สามารถทำให้คุณ - ไม่ใช่ Equifax - เจ้าของข้อมูลของคุณ )
