Equihax: Salah Satu Pelanggaran Paling Bencana Sepanjang Masa

Iklan

Pada sore yang tenang pada awal September 2017, Equifax mengungkapkan pelanggaran keamanan luar biasa yang diperkirakan telah mempengaruhi hampir 200 juta orang di seluruh dunia. Mengingat bahwa perusahaan tersebut pertama kali menemukan pelanggaran pada bulan Juli, yang seharusnya memberikan cukup waktu untuk mempersiapkan tanggapan dan solusi bagi semua individu yang terkena dampak. Alih-alih, Equifax terus memberi dunia contoh yang sempurna tentang caranya tidak untuk menangani pelanggaran keamanan utama.

Dari ruang lingkup yang sangat besar dari kebocoran data, situs web legal yang membingungkan, dan situs tanggapan yang sangat tidak aman, Equifax memiliki semuanya. Tambahkan dalam dugaan perdagangan orang dalam, komunikasi yang buruk, penurunan nilai saham 30 persen, di samping kebocoran data lebih lanjut, dan perusahaan tampaknya telah menyiapkan diri untuk jatuh dramatis dari rahmat. Yah, sebanyak rahmat sebagai agen pelaporan kredit Anda tidak pernah secara eksplisit setuju untuk menyerahkan data sensitif Anda.

EquiBreach

Pernyataan Equifax pertama tentang pelanggaran itu mengatakan bahwa hingga 144 juta orang Amerika mungkin telah mengalami kompromi informasi kredit mereka. Ini termasuk nama, alamat, nomor Jaminan Sosial (SSN), tanggal lahir, dan catatan keuangan. Perusahaan juga melaporkan bahwa nomor kartu kredit untuk 209.000 konsumen A.S. dimasukkan dalam pelanggaran. Selain itu, catatan sengketa dengan informasi pengenal pribadi untuk 189.000 orang telah bocor.

Laporan awal di media menyebut individu yang terkena dampak sebagai pelanggan Equifax. Namun, Anda bukan pelanggan Equifax, Experian, TransUnion, atau agen pelaporan kredit lainnya. Agen-agen ini mengumpulkan data dari sejumlah layanan dan penyedia produk keuangan yang berbeda. Data kemudian digunakan untuk menghasilkan Skor Kredit Anda, memungkinkan pemberi pinjaman untuk menilai risiko yang Anda ajukan. Mengajukan permohonan pinjaman, kartu kredit atau hipotek? Beginilah keputusan dibuat.

Penilaian Dampak dan Premier TrustedID

Untuk mengkompensasi Anda karena kehilangan data hampir separuh populasi orang dewasa A.S., Equifax membuat situs web, equifaxsecurity2017.com. Di sini, Anda dapat memasukkan nama dan SSN parsial dan mencari tahu apakah detail Anda termasuk yang bocor. Selain itu, Anda dapat mendaftar di layanan mereka, TrustedID Premier. Ini adalah laporan tiga biro kredit dan alat pemantauan SSN, yang saling melengkapi bagi konsumen AS selama setahun.

Namun dalam pengungkapan awal mereka, dan selama seminggu setelahnya, Equifax sangat diam pada detailnya. Jenis serangan, pelakunya, dan mengapa itu bisa berlanjut begitu lama, tanpa deteksi, tetap menjadi rahasia.

Ini membuat banyak orang curiga bahwa ada kesalahan di pihak Equifax. Enam hari kemudian, dan setelah kemarahan publik yang luar biasa dan intervensi dari kelompok senator bipartisan, Equifax akhirnya mengakui bahwa serangan menggunakan eksploitasi Apache Strut yang dikenal (CVE-2017-5638) - tambalan yang dirilis pada Maret 2017, dua bulan sebelum Equifax pelanggaran. Ini membuktikan bahwa, sama seperti dengan Ingin awal tahun ini Serangan Global Ransomware dan Cara Melindungi Data AndaSerangan cyber besar-besaran telah melanda komputer di seluruh dunia. Pernahkah Anda terpengaruh oleh ransomware replikasi diri yang sangat virulen? Jika tidak, bagaimana Anda bisa melindungi data Anda tanpa membayar uang tebusan? Baca lebih banyak , tidak memperbarui perangkat lunak Anda dapat memiliki konsekuensi yang menghancurkan.

Bukan Hanya Konsumen A.S.

Meskipun tidak diungkapkan sejak awal, Equifax terpaksa mengakui bahwa informasi untuk "jumlah terbatas" warga Inggris dan Kanada juga termasuk dalam pelanggaran tersebut. Hingga 44 juta konsumen di AS mungkin bahkan tidak menyadari bahwa agen kredit A.S. memiliki data mereka. Namun, itu diberikan kepada mereka oleh perusahaan termasuk BT, British Gas, dan Capital One. Lengan agen kredit UK diumumkan sore hari pada tanggal 15 September bahwa 400.000 penduduk AS terkena dampak. Upaya yang dicurigai untuk mengubur berita ini mengungkapkan "kegagalan proses" yang berlangsung setengah dekade. Namun tidak ada panduan untuk UK atau penduduk Kanada yang ditawarkan.

Kesulitan Situs Web Equifax

Untuk alasan yang belum dijelaskan, Equifax meluncurkan situs web terpisah untuk tanggapan mereka terhadap pelanggaran tersebut. Mengingat bahwa situs tersebut didirikan sebagai tanggapan terhadap pelanggaran keamanan besar, Anda akan membayangkan setiap tindakan pencegahan akan diambil untuk memastikan situs tersebut menjadi mercusuar stabilitas yang bersinar. Sebaliknya, sejumlah besar konsumen Amerika yang ingin memeriksa informasi mereka membuat mereka kewalahan. Ini membuat banyak orang tidak dapat mengakses situs, atau memuat hasil penilaian dampak mereka.

@ briankrebs Pernahkah Anda melihat OpenDNS memblokir halaman pendaftaran Equifax? Menyebutnya spam? pic.twitter.com/xqvr8wJyM0

- Nick Frichette (@Frichette_n) 8 September 2017

Meskipun demikian, jumlah yang mengunjungi situs mungkin lebih besar jika bukan karena konfigurasi situs web yang buruk. Di sebagian besar buku orang, situs web di luar domain dengan kata kunci yang dipertanyakan akan tampak sebagai penipuan phishing. OpenDNS tampaknya setuju, dan memblokir akses ke situs web untuk banyak pengguna. Untuk meningkatkan rasa ironi, untuk menyelesaikan penilaian Anda, Anda harus memasukkan enam digit terakhir SSN Anda. Ini adalah data yang sama dengan yang Equifax telah membuktikan bahwa mereka tidak dapat melindungi!

Hasil yang Tidak Dapat Diverifikasi

Dalam beberapa jam setelah peluncuran situs, ada laporan bahwa Anda bahkan tidak bisa mempercayai hasil penilaian dampaknya. Memasukkan detail yang sama beberapa kali akan memberikan jawaban yang berbeda mengenai apakah Anda terpengaruh. Beberapa orang bahkan mencoba memasukkan informasi yang secara sadar salah. Yang mengkhawatirkan, mereka menemukan bahwa Equifax akan memberi tahu orang yang tidak ada bahwa data mereka telah bocor.

Jadi untuk Equifax. Bos saya baru saja memasukkan nama palsu dengan nomor jaminan sosial putranya yang berusia 9 tahun dan situs itu mengatakan dia terpengaruh.

- G??? (@oh_sovivacious) 8 September 2017

Jika Anda bersedia menerima bahwa data Anda sebenarnya telah dikompromikan dalam pelanggaran, Equifax menyambut Anda dengan pernyataan yang tidak jelas tentang pelanggaran tersebut dan mendorong Anda untuk mendaftar di TrustedID Premier. Mengingat Equifax adalah sumber pelanggaran, tampaknya dengan selera buruk mereka akan mendorong Anda untuk mendaftar ke percobaan gratis dari layanan perlindungan penipuan mereka sendiri.

OMG, PIN beku keamanan Equifax lebih buruk dari yang saya kira. Misalnya, jika Anda membekukan kredit hari ini pukul 14:15 ET, Anda akan mendapatkan PIN 0908171415.

- Tony Webster (@webster) 9 September 2017

Mereka yang mendaftar ke TrustedID Premier dapat melakukan pembekuan kredit, dan diberikan PIN konfirmasi. Namun, PIN tampaknya merupakan stempel waktu ketika pembekuan dilakukan. Ini akan membuat PIN tidak berguna - bisa dengan mudah ditebak, memungkinkan siapa saja untuk membuka kunci pembekuan kredit Anda. Meskipun penolakan awal, Equifax kemudian berkata mereka beralih ke metode baru yang akan mengacak pembuatan PIN. Selain itu, mereka akan memungkinkan konsumen untuk meminta PIN baru untuk dikirim ke alamat surat terdaftar mereka.

Kerusakan Hukum

Ketika Equifax pertama kali meluncurkan situs web equifaxsecurity2017, Ketentuan Layanan untuk TrustedID Premier tampaknya menyiratkan hal itu menggunakan layanan ini, Anda melepaskan hak Anda untuk berpartisipasi dalam gugatan class action terhadap perusahaan di masa depan. Kegemparan karena ketidakadilan yang dirasakan ini membuat Equifax mengeluarkan pembaruan hari berikutnya. Mereka sekarang telah menyatakan bahwa klausul arbitrase tidak berlaku untuk pelanggaran keamanan.

Equifax menawarkan pemantauan & pkg perlindungan pencurian identitas tetapi dalam cetakan yang bagus, klausul arbitrase & pengabaian tindakan kelas 1/3 pic.twitter.com/8F58B5qh4w

- Rhana Natour (@RNatourious) 8 September 2017

Ini tidak banyak meyakinkan orang yang dimengerti tidak percaya mengarah ke pernyataan lebih lanjut hampir seminggu kemudian menyatakan bahwa mereka “telah menghapus bahasa itu dari Ketentuan Penggunaan Premier Tepercaya dan itu tidak akan berlaku untuk produk gratis yang ditawarkan sebagai tanggapan atas insiden keamanan siber atau untuk klaim yang terkait dengan insiden keamanan siber diri. Bahasa arbitrase tidak akan berlaku untuk konsumen yang mendaftar sebelum bahasa itu dihapus. "

Dibawa ke Tugas

Dalam langkah yang Equifax klaim sebagai kebetulan total, hanya dua hari setelah mereka pertama kali menemukan pelanggaran, tiga eksekutif senior menjual saham dengan total $ 1,8 juta. Penjualan signifikan ini hanya beberapa hari setelah menemukan pelanggaran, tetapi lebih dari sebulan sebelum mereka secara terbuka mengungkapkannya. Jika individu memiliki pengetahuan tentang pelanggaran keamanan, maka mereka akan bertentangan dengan hukum perdagangan orang dalam. Disadari atau tidak, penjualan tepat waktu mereka beruntung. Pada saat penulisan, saham Equifax telah turun 30 persen sejak pengungkapan pelanggaran.

Kelompok 36 bipartisan yang terdiri dari 36 senator mengirim surat ke SEC, DOJ, dan FTC mendesak penyelidikan atas penjualan saham Equifax menyusul pelanggaran data. pic.twitter.com/xEApcjFFkP

- Kyle Griffin (@ kylegriffin1) 13 September 2017

Mengingat sifat pelanggaran yang sangat sensitif, banyak orang yang terkena dampak cukup kritis terhadap kelemahan keamanan Equifax. Sebagai contoh, USA Today melaporkan bahwa dalam beberapa hari setelah pengungkapan, 23 tuntutan hukum diajukan di 14 negara bagian terhadap agen pelaporan kredit. Sebagai dilaporkan oleh Bloomberg, gugatan class action yang diajukan di Oregon mencari ganti rugi hingga $ 7 miliar. Bahkan jika pengadilan akan memberikan jumlah yang besar, itu setara dengan hanya di bawah $ 500 per orang. Apakah ini tampaknya cukup untuk mengkompensasi risiko pencurian identitas seumur hidup?

Joshua Browder, pencipta Bot DoNotPay, memperluas fungsinya untuk menyederhanakan proses mengajukan permohonan ke pengadilan klaim kecil untuk kerusakan yang terkait dengan pelanggaran Equifax. Ini mengagumkan dan berjalan jauh untuk membuat dokumentasi hukum yang kompleks seringkali lebih mudah untuk dicerna. Namun, beberapa laporan mengklaim bahwa bot DoNotPay, yang awalnya dikembangkan untuk membantu Anda melawan denda parkir, dapat mengotomatiskan seluruh proses. Sebagai Catatan TechCrunch, semua bot benar-benar membantu dengan dokumen awal - Anda masih harus melawan kasus ini di pengadilan.

Sakit kepala yang sedang berlangsung di seluruh dunia

Jika ada keraguan mengenai praktik keamanan Equifax yang buruk, maka sebuah contoh dari pasukan Argentina Equifax kemungkinan akan menghapusnya sepenuhnya. Pertama dilaporkan oleh KrebsOnSecurity, portal online yang digunakan oleh karyawan untuk menyelesaikan perselisihan kredit bernama Veraz (yang berarti jujur ​​dalam bahasa Spanyol) ternyata rentan. Anda mungkin mengharapkan kerentanan menjadi teknis, tetapi sebaliknya, itu salah satu kegagalan keamanan paling mendasar: kata sandi salah. Kombinasi yang sangat sederhana, dan dalam banyak kasus default, nama pengguna dan kata sandi admin / admin mengizinkan siapa saja yang terjadi di seluruh situs untuk masuk ke portal karyawan.

Secara mengejutkan hal ini memungkinkan Anda untuk melihat, mengedit, dan menghapus nama pengguna dan kata sandi untuk lebih dari 100 karyawan Equifax Argentina. Dalam setiap kasus, kata sandi plaintext ditemukan sama dengan nama pengguna karyawan. Jika itu tidak cukup parah, ada area situs dengan 715 halaman laporan terperinci tentang setiap keluhan atau perselisihan yang dicatat dengan Equifax. Informasi ini termasuk DNI (setara Argentina dari SSN) untuk lebih dari 14.000 orang - sekali lagi, semua dalam plaintext. Equifax dengan cepat mengambil situs offline setelah dihubungi oleh KrebsOnSecurity, dan saat ini sedang menyelidiki kesalahan keamanan terbaru mereka.

Apa yang bisa kau lakukan?

Langkah pertama adalah menggunakan situs web Equifax untuk periksa apakah data Anda dipengaruhi oleh pelanggaran tersebut Cara Memeriksa Apakah Data Anda Dicuri di Pelanggaran EquifaxBerita baru saja muncul dari pelanggaran data Equifax yang mempengaruhi hingga 80 persen dari semua pengguna kartu kredit A.S. Apakah Anda salah satunya? Inilah cara memeriksa. Baca lebih banyak . Namun, karena hasilnya bisa tidak konsisten, sebaiknya diasumsikan bahwa Anda terpengaruh. Karena perusahaan kini telah mengklarifikasi bahasa di sekitarnya, daftar untuk layanan Premier Tepercaya mereka. Ini akan memungkinkan Anda untuk melakukannya melakukan pembekuan kredit Cara Mencegah Pencurian Identitas dengan Membekukan Kredit AndaData pribadi Anda telah disusupi, tetapi identitas Anda belum dicuri. Adakah yang bisa Anda lakukan untuk mengurangi risiko Anda? Nah, Anda bisa mencoba membekukan kredit Anda - begini caranya. Baca lebih banyak , dan hentikan siapa pun yang membuka kredit atas nama Anda. Mengingat sifat sensitif dari data yang hilang dalam kebocoran, ada potensi bagi scammers untuk menjajakan dagangan mereka, jadi tetap waspada terhadap rekayasa sosial Cara Melindungi Diri Anda Dari 8 Serangan Rekayasa Sosial IniApa teknik rekayasa sosial yang akan digunakan seorang hacker dan bagaimana Anda melindungi diri dari mereka? Mari kita lihat beberapa metode serangan yang paling umum. Baca lebih banyak dan penipuan phishing Cara Menemukan Email PhishingMenangkap email phishing itu sulit! Penipu berpose seperti PayPal atau Amazon, mencoba mencuri kata sandi dan informasi kartu kredit Anda, apakah penipuan mereka hampir sempurna. Kami menunjukkan kepada Anda bagaimana cara menemukan penipuan. Baca lebih banyak .

Setelah banyak pelanggaran data, kami sering menyarankan Anda untuk mengubah kata sandi Anda, mulai menggunakan pengelola kata sandi Bagaimana Pengelola Kata Sandi Menjaga Kata Sandi Anda AmanKata sandi yang sulit diretas juga sulit diingat. Ingin aman? Anda memerlukan pengelola kata sandi. Inilah cara mereka bekerja dan bagaimana mereka membuat Anda tetap aman. Baca lebih banyak , daftar ke HaveIBeenPwned Periksa Sekarang dan Lihat Jika Kata Sandi Anda Telah BocorAlat yang bagus ini memungkinkan Anda memeriksa kata sandi apa pun untuk melihat apakah itu pernah menjadi bagian dari kebocoran data. Baca lebih banyak , aktifkan otentikasi dua faktor Apa Otentikasi Dua Faktor, Dan Mengapa Anda Harus MenggunakannyaOtentikasi dua faktor (2FA) adalah metode keamanan yang membutuhkan dua cara berbeda untuk membuktikan identitas Anda. Ini biasa digunakan dalam kehidupan sehari-hari. Misalnya membayar dengan kartu kredit tidak hanya membutuhkan kartu, ... Baca lebih banyak sedapat mungkin, dan tingkatkan kebersihan cyber Anda Tingkatkan Kebersihan Dunia Maya Anda dalam 5 Langkah MudahDi dunia digital, "kebersihan dunia maya" sama pentingnya dengan kebersihan pribadi di dunia nyata. Diperlukan pemeriksaan sistem secara teratur, bersama dengan kebiasaan online baru yang lebih aman. Tetapi bagaimana Anda bisa melakukan perubahan ini? Baca lebih banyak . Meskipun tidak satu pun dari ini akan secara langsung melindungi Anda dari kebocoran Equifax, memperketat keamanan Anda tidak akan membahayakan Anda. Mungkin mengingat keadaannya, bahkan akan lebih baik jika berusaha lebih keras melakukan pemeriksaan keamanan penuh Lindungi Diri Anda Dengan Pemeriksaan Keamanan dan Privasi TahunanKami hampir dua bulan memasuki tahun baru, tetapi masih ada waktu untuk membuat resolusi positif. Jangan terlalu banyak minum kafein - kita sedang berbicara tentang mengambil langkah-langkah untuk menjaga keamanan dan privasi online. Baca lebih banyak .

Sama-sama

Pelanggaran Equifax kemungkinan besar akan menjadi peristiwa keamanan yang menonjol dalam setahun merajalela dengan pelanggaran data dan serangan ransomware. Seperti halnya peristiwa keamanan profil tinggi lainnya seperti WannaCry dan kebocoran data yang terus-menerus, ada lapisan perak yang dapat ditemukan dalam sifat pelanggaran Equifax yang mencengangkan. Dengan membawa perhatian publik pada keamanan data, pelaporan kredit, dan malpraktik perusahaan, ada peluang untuk hal-hal ini dibahas dan dimitigasi. Itu tanggapan kuat banyak Senator AS semoga akan memastikan bahwa pelanggaran ini tidak hilang ke latar belakang. Equifax setidaknya mengakui bahwa beberapa perubahan personil diperlukan - Chief Information Officer dan Chief Security Officer miliki "Pensiun" sebagai hasilnya.

Meskipun profilnya tinggi dan cakupannya sangat luas, masih belum ada informasi tentang siapa penyerang itu. Untuk bagian mereka, Equifax tetap sepenuhnya diam tentang masalah ini - sesuai dengan sisa tanggapan mereka yang dikelola dengan buruk. Hanya beberapa hari setelah pelanggaran diumumkan, sekelompok muncul mengklaim memiliki data dan menuntut tebusan 600 Bitcoin. Setelah peneliti menemukan layanan hosting dari situs .onion, segera ditutup.

Secara terpisah, kelompok yang menyebut diri mereka Equihax juga mengklaim memiliki data, tetapi tidak menawarkan bukti yang dapat diverifikasi. Mengingat seberapa besar potensi data yang menguntungkan, Anda dapat yakin bahwa itu tidak akan lama sebelum peretas melakukan upaya untuk menguangkan.

Apakah Anda terpengaruh oleh pelanggaran keamanan Equifax? Apakah Anda pikir Equifax yang harus disalahkan, dan bisakah mereka berbuat lebih banyak untuk melindungi Anda? Beri tahu kami di komentar!

Kredit Gambar: stevanovicigor /Depositfoto