Var jag hackad? Ta reda på om Equifax-brottet påverkar dig

Equifax Inc. (EFX) meddelade den 7 september 2017 att 143 miljoner av dess kunder påverkades av en hack som inträffade mellan mitten av maj och juli. Denna siffra sänktes till 145, 5 miljoner under de följande veckorna, sedan till 147, 9 miljoner den 1 mars 2018, då företaget sa att det hade identifierat 2, 4 miljoner ytterligare offer.

Efter marknadsstängning samma dag rapporterade företaget det finansiella resultatet för fjärde kvartalet och helåret. Företagets intäkter från fjärde kvartalet ökade med 5% jämfört med året till 838, 5 miljoner dollar. Nettoresultatet under kvartalet ökade med 40% från året innan till 172, 3 miljoner dollar. Hela års intäkter och vinster ökade också jämfört med 2016: intäkterna ökade med 7% till 3, 4 miljarder dollar, medan nettoresultatet ökade med 20% till 587, 3 miljoner dollar. Företaget sa att hacket hade kostat det $ 26, 5 miljoner under det fjärde kvartalet och $ 114, 0 miljoner under hela året, netto efter försäkringsutbetalningar. Aktien, som stängde 1, 3% i linje med S&P 500, är ​​upp 0, 6% i efterhandshandeln vid skrivandet.

Så mycket som 209 000 kunders kreditkortsnummer exponerades enligt Equifax och tvistdokument relaterade till 182 000 amerikanska konsumenter - inklusive personlig information - komprometterades. Brittiska konsumenter drabbades också av överträdelsen; Det är möjligt att vissa kanadensare komprometterades. Enligt Wall Street Journal, med hänvisning till en icke namngivna källa, ställdes 10, 9 miljoner amerikaners körkortuppgifter i brottet.

Företaget hade känt till attacken sedan 29 juli, men väntade i över en månad för att varna allmänheten. Den 20 september rapporterades att Mandiant, FireEye Inc. (FEYE) dotterbolag kontrakterat av Equifax, uppskattar överträdelsen hittills tillbaka till minst 10 mars.

Det finns lite information om källan till attacken, som utreds av FBI, men enligt Bloomberg, likheter med tidigare attacker på Office of Personnel Management och Anthem Inc. tyder på att angriparen kan vara statligt sponsrad, kanske kinesisk. Att Equifax-kundernas information inte har dykt upp på den svarta marknaden tyder också på att hackarna inte bara var brottslingar. Bloomberg rapporterar också att angriparna riktade sig mot specifika individer, kanske på grund av deras rikedom eller underrättelsevärde.

Med tanke på att den vuxna befolkningen i USA är cirka 250 miljoner är chansen stor att du drabbades av överträdelsen. Det är också möjligt att du redan har varit ett offer för bedrägerier, sedan attacken började för nästan sex månader sedan.

Atlanta-baserade Equifax, en av de tre stora konsumentkreditrapporteringsbyråerna - de andra två är Experian PLC (London: EXPN) och TransUnion (TRU) - samlar in uppgifter inklusive personnummer, kreditkortsnummer, körkortnummer, hyra och verktyg betalningsinformation och demografiska data. Eftersom Equifax modell främst är affärsverksamhet, är många av dess kunder inte medvetna om att deras data lagras av företaget. Förutom att helt och hållet undvika det finansiella systemet och kreditsystemet, finns det inget enkelt sätt att välja bort att lagra personuppgifter av Equifax. (Se även 5 största kreditkortsdatahackar i historien. )

Hur man kontrollerar om du påverkades

Equifax har skapat en webbplats där du kan kontrollera om din information komprometterades genom att du anger ditt efternamn och de sex sista siffrorna i ditt personnummer. Denna webbplats har varit föremål för intensiv kritik, och vi har tagit bort länken på grund av frågor om dess säkerhet. Det skapades med WordPress, en bloggplattform utanför hyllan. Det ligger i en separat domän till Equifax huvudsida. Företaget försummade att registrera liknande URL: er som kan användas för phishing-attacker; en vit hatthacker skapade just en sådan webbplats för att bevisa en poäng, och ett officiellt Equifax-konto tweetade ut länken till den falska webbplatsen. Mer än en gång.

Equifax erbjöd kunder - berörda eller inte - följande tjänster, som den kallar TrustedID Premier: kopior av en Equifax-kreditrapport, kreditövervakning och automatiserade varningar för alla tre stora kreditbyråerna, möjligheten att blockera tredje parts åtkomst till din Equifax-kreditrapport (med undantag), övervakning av personnummer och 1 miljon dollar i identitetsstöldförsäkring. Tidsfristen för att ansöka var 21 november 2017.

Företaget säger att alla tjänster är gratis, men att placera en säkerhetsfrysning på en kreditfil var ursprungligen inte gratis - åtminstone inte för alla. När jag försökte frysa en Equifax-kreditfil den 8 september sa företagets webbplats att tjänsten skulle kosta $ 3, 00 och bad om kreditkortsinformation för att behandla betalningen.

En skärmgrepp från www.freeze.equifax.com (8 september 2017 kl. 11:46 EDT).

Som bosatt i New York kunde jag frysa in min Experian-fil gratis. TransUnions webbplats kunde inte behandla begäran inledningsvis - troligtvis ett symptom på ökad trafik - men tillät mig senare att placera en frysning utan kostnad.

I ett uttalat e-postmeddelande berättade en Equifax-talare Investopedia den 14 september att företaget avstår från alla avgifter för att frysa kreditfiler och återbetalar automatiskt kunder som betalade för att göra det efter att hacket offentliggjordes. En ny oro - och tydlig förfaller i säkerhet - har nu uppstått kring de PIN-koder som företaget utfärdade till kunder som hade frusit in sina kreditrapporter. Dessa PIN-koder, som tillåter kunder att frysa upp kreditrapporter, följer ett lätt identifierbart mönster. Talesman sa att kunder med dessa felaktiga pinkoder måste ringa 866-349-5191 för att prata med en liveagent.

Om du fick en PIN-kod efter att ha rapporterat hacket, kan din vara en av de felaktiga. Att fixa det är inte lätt. Tolv samtal till linjen på morgonen 15 september gav åtta upptagna signaler och fyra instanser av total tystnad.

TrustedID Premier-tjänsterna Equifax-listor som gratis är bara gratis under ett år. En talsperson för Equifax berättade för Investopedia att företaget inte ber om kreditkortsinformation när kunder registrerar sig för tjänsten och att företaget inte automatiskt kommer att förnya det eller ta ut en avgift. Equifaxs standardpris för kreditövervakning är $ 17 per månad.

Vad du ska göra om du påverkades

Liz Weston, en personlig finansförfattare på NerdWallet, har följande råd för dem som drabbats av Equifax-överträdelsen, som hon delade med Investopedia i ett e-postmeddelande: "Equifax kommer att nå ut till offren och erbjuda dem kreditövervakning. Offren bör se till att att gå med på övervakningen förhindrar inte dem från att gå med i stämningar eller andra åtgärder på vägen. "

Inledningsvis krävde TrustedID Premiers tjänstvillkorssida (arkiverad version) faktiskt att användare avstår från sin rätt att ansluta sig till en grupptalan mot Equifax: "Genom att samtycka till att lämna in dina krav på skiljedom förlorar du din rätt att väcka eller delta i någon gruppansökan (vare sig som en namngiven kärande eller klassmedlem) eller för att dela i någon gruppansökan, inklusive klassanspråk där en klass ännu inte har certifierats, även om de fakta och omständigheter som kraven baseras på redan inträffade eller fanns. " Efter ett bakslag uppdaterades företagets FAQ-sida för att säga att klausulen gällde för TrustedID Premier-tjänsten, inte hacket. Från och med morgonen den 12 september inkluderar tjänstevillkoren inte längre en skiljedomsklausul.

Weston säger att berörda kunder bör överväga att frysa sina kreditrapporter på alla tre stora byråerna. Som nämnts ovan kan kreditbyråer ta ut avgifter för att initiera denna frysning. Du kan också debiteras för att frysa konton när du behöver en kreditkontroll (för att till exempel ansöka om mobiltelefontjänst). Dessa avgifter är i allmänhet mindre än $ 10, men de kan lägga till. Weston konstaterar att ett annat alternativ är att placera en bedrägerivarning på dina kreditrapporter på de tre kreditbyråerna. (Mer information finns i Hur man återhämtar sig från identitetsstöld .)

Andra kreditövervakningstjänster, som inte sponsras av Equifax, finns också tillgängliga. Tjänster för identitetsstöldskydd: värt att ha ">

Equifax svar

Equifaxs dåvarande ordförande och verkställande direktör, Richard Smith, sa efter hacket att det var "helt klart en nedslående incident för vårt företag och en som slår i hjärtat av vem vi är och vad vi gör." Han avbröts den 26 september och kommer inte att få en bonus för 2017. Hans avgång följde den av säkerhetschef Susan Mauldin och informationschef David Webb den 14 september.

Några dagar efter att företaget avslöjade hacket internt - och innan överträdelsen avslöjades för allmänheten - sålde Equifaxs ekonomichef John Gamble, dess ordförande för arbetskraftslösningar Rodolfo Ploder, och dess president för USA: s informationslösningar Joseph Loughran sina Equifaxaktier. Equifax sade i ett uttalande att cheferna inte visste om överträdelsen när de sålde sina aktier. Gamble, Ploder och Loughran tjänade kollektivt nästan 1, 8 miljoner dollar från försäljningen.

Från den 28 februari har Equifaxs aktie sjunkit 20, 1% från slutet den 7 september (innan hacket tillkännagavs) till $ 113, 00. Efter flera förseningar säger Equifax att det kommer att rapportera resultatet för fjärde kvartalet efter att ha stängts den 1 mars.

Låt rättegångarna börja

Reuters rapporterade den 11 september att mer än 30 rättegångar - många av dem som begär grupphandlingar - har väckts mot Equifax i amerikanska domstolar. Flera hävdar brott mot värdepapperslagstiftningen; andra anklagar TrustedID för att kasta dyra tjänster till kunder som drabbades av dataöverträdelsen. Fem Utah-invånare har stämts mot företaget i USA: s tingsrätt för underlåtenhet att skydda kundens känsliga uppgifter. I kostymen söker man ekonomiska skador på 5 miljarder dollar och införande av strängare industristandarder.

Några berörda kunder tar en mindre traditionell väg för att söka tillgång till Equifax. DoNotPay-chatboten tillhandahåller hjälp med att lämna in ett klagomål i statliga domstolar för små fordringar, där maximala påföljder varierar mellan 2500 och 25 000 dollar. Bot kan bara generera pappersarbete för en stämning, inte faktiskt arkivera den eller visas i domstol, enligt Verge.

FBI och den amerikanska advokaten John Horn, baserade i Atlanta, tillkännagav en kriminell utredning av brottet den 18 september. Consumer Financial Protection Bureau och 34 statsadvokater generella gör undersökningar.

Mr. Smith åker till Washington

Den 3 oktober vittnade den tidigare VD Richard Smith inför underutskottet House Digital Commerce and Consumer Protection. Han bad om ursäkt flera gånger för Equifax 'misslyckande med att skydda konsumentdata och ställs inför frågor om en rad frågor relaterade till överträdelsen och Equifax svar. Företagets aktie steg efter vittnesbörden, men förblev långt under de nivåer som det handlades på innan hacket avslöjades.

Som svar på frågor angående den kontroversiella skiljedomsklausulen som ursprungligen ingick i TrustedID Premier: s tjänstevillkor, sade Smith att "pannplåt" -klausulen aldrig var avsedd att tillämpas på överträdelsen och kallade dess inkludering ett "misstag". Han skulle inte säga detsamma om liknande klausuler om andra Equifax-tjänster, som han kallade "standard".

Misstänkt tidsinställd verkställande av aktieförsäljningar granskades också: Rep. Jan Schakowsky, en Illinois-demokrat, sa att försäljningen "inte klarar luktprovet, " men Smith beräknade, "så vitt jag vet, de visste inte" om brottet vid den tiden.

Smith beskrev överträdelsen som ett resultat av mänskliga misstag och ett tekniskt misslyckande: den ansvariga för att se till att korrigera Apache Struts-programvaran - som hade en allmänt känd sårbarhet som angriparna utnyttjade - misslyckades med att göra det och en skanner som skulle ha varnade företaget för att felet misslyckades också.

Företagets flingande svar på krisen kom också in för kritik: att inrätta en WordPress-webbplats med en misstänkt URL, misslyckas med att säkra liknande domäner (och till och med rikta kunder till en av dessa domäner), inte tillräckligt med personalcentraler och generellt skapa intrycket av att företaget - som finns för att samla in, säkra och sälja känslig information - var helt oförberedt för ett cyberattack på sina databaser. Rep. Markwayne Mullin, en republikansk i Oklahoma, sa till Smith att hans svar borde ha varit som att dra ett brandlarm: "det går omedelbart på plats." Smith svarade att hans team "följde protokollet." Flera företrädare nämnde att Smith höll ett tal som beskrev bedrägerier som en "enorm möjlighet" och en "massiv, växande verksamhet" i augusti - efter att han visste om brottet.

Smith vägrade att svara på frågor om attackens källa, inklusive om det kan vara en statlig aktör. Han sa helt enkelt att FBI genomför en utredning. Han försvarade Equifax investeringar i cybersäkerhet under sin tid och sa att när han anlände för tolv år sedan fanns det praktiskt taget inga investeringar i dataskydd. Företaget spenderade en fjärdedel miljarder dollar och anställde ett team med 225 personer för att säkra företagets data, säger Smith, och investerade industristandarden 10-14% av företagets IT-budget i cybersäkerhet.

Vissa representanter indikerade att överträdelsen har öppnat grundläggande frågor om kreditövervakningsindustrins roll och konsumenternas rättigheter. "Tänk om jag vill välja Equifax?" Frågade Schakowski. Smith svarade, "det kräver en mycket bredare diskussion kring kreditinstitutens roll." Rep. Tonko, en New York-demokrat, återkallade känslan och påpekade att han egentligen inte är en "kund", och han har aldrig valt att göra affärer med Equifax. "Varför får det här företaget fortsätta att existera?" han frågade. På olika punkter ifrågasatte Smith värdet av socialförsäkringsnummer som ett sätt att bevisa identitet och gjorde vaga referenser till att ge "makt tillbaka till konsumenten."

Dagens största fråga kom från Kaliforniens demokrat demokrat Doris Matsui: "Äger jag mina uppgifter?" Smith kunde inte svara. (Se även Blockchain kan göra dig - inte Equifax - ägaren av dina data. )