Em uma tarde tranquila no início de setembro de 2017, a Equifax divulgou uma falha extraordinária de segurança que, segundo estimativas, afetou quase 200 milhões de pessoas em todo o mundo. Como a empresa descobriu a violação em julho, ela deveria ter fornecido tempo suficiente para se preparar para uma resposta e solução para todos os indivíduos afetados. Em vez disso, a Equifax começou a fornecer ao mundo um exemplo perfeito de como não lidar com uma grande falha de segurança.
Do enorme alcance do vazamento de dados, sites de respostas confusas e horrivelmente inseguras, a Equifax tinha tudo. Acrescente alegações de insider trading, pouca comunicação, uma queda de 30% no valor das ações, além de mais vazamentos de dados, e a empresa parece ter se preparado para uma queda dramática da graça. Bem, tanta graça como uma agência de informação de crédito que você nunca concordou explicitamente em entregar seus dados confidenciais.
EquiBreach
A primeira declaração da Equifax sobre a violação disse que até 144 milhões de americanos podem ter suas informações de crédito comprometidas. Isso incluía nomes, endereços, números de seguridade social (SSNs), datas de nascimento e registros financeiros. A empresa também informou que os números de cartão de crédito para 209.000 consumidores dos EUA foram incluídos na violação. Além disso, registros de disputas com informações de identificação pessoal para 189.000 pessoas foram vazados.
Os relatórios iniciais na mídia se referiam a indivíduos impactados como clientes da Equifax. No entanto, você não é realmente um cliente da Equifax, Experian, TransUnion ou qualquer outra agência de relatórios de crédito. Essas agências coletam dados de diversos serviços e provedores de produtos financeiros. Os dados são usados para gerar sua pontuação de crédito, permitindo que um credor avalie o risco que você representa. Candidatar-se a um empréstimo, cartão de crédito ou hipoteca? É assim que a decisão é tomada.
Avaliação de impacto e TrustedID Premier
Para compensar você por perder os dados de quase metade da população adulta dos EUA, a Equifax criou um site, equifaxsecurity2017.com. Aqui, você pode inserir seu nome e SSN parcial e descobrir se os detalhes estão entre os vazados. Além disso, você pode se inscrever em seu serviço, o TrustedID Premier. Este é um relatório de crédito de três agências e ferramenta de monitoramento SSN, complementar aos consumidores dos EUA por um ano.
Ainda em sua revelação inicial, e por uma semana depois, Equifax foi notavelmente silencioso nos detalhes. O tipo de ataque, o culpado e por que foi capaz de continuar por tanto tempo, sem detecção, permaneceu em segredo.
Isso levou muitos a suspeitar que havia culpa do lado da Equifax. Seis dias depois, e depois de imensos protestos públicos e intervenções de um grupo bipartidário de senadores, Equifax admitiu finalmente que o ataque usava uma exploração conhecida do Apache Strut (CVE-2017-5638) - um patch para o qual foi lançado em março de 2017, dois meses antes da violação da Equifax. Isso provou que, assim como no WannaCry no início do ano, o ataque global ao ransomware e como proteger seus dados O ataque global do ransomware e como proteger seus dados Um ciberataque maciço atingiu computadores em todo o mundo. Você foi afetado pelo ransomware auto-replicante altamente virulento? Se não, como você pode proteger seus dados sem pagar o resgate? Leia mais, não atualizar seu software pode ter consequências devastadoras.
Não apenas os consumidores dos EUA
Embora não divulgada desde o início, a Equifax foi forçada a admitir que as informações para um “número limitado” de residentes no Reino Unido e no Canadá também foram incluídas na violação. Até 44 milhões de consumidores britânicos podem até não ter conhecimento de que a agência de crédito dos EUA tinha seus dados. No entanto, foi fornecido a eles por empresas como a BT, British Gas e Capital One. O braço britânico da agência de crédito anunciou no início da noite de sexta-feira, 15 de setembro, que 400 mil residentes no Reino Unido foram afetados. Essa tentativa suspeita de enterrar a notícia revelou um “fracasso do processo” que durou meia década. No entanto, nenhuma orientação para residentes no Reino Unido ou no Canadá foi oferecida.
Problemas do site da Equifax
Por razões que ainda precisam ser explicadas, a Equifax lançou um site separado para sua resposta à violação. Dado que o site foi criado em resposta a uma grande falha de segurança, você imaginaria que todas as precauções teriam sido tomadas para garantir que o site fosse um farol brilhante de estabilidade. Em vez disso, o grande volume de consumidores americanos que desejam verificar suas informações os sobrecarregou. Isso deixou muitos incapazes de acessar o site ou carregar os resultados de sua avaliação de impacto.
@briankrebs Você viu que o OpenDNS está bloqueando a página de inscrição da Equifax? Chamando isso de spam? pic.twitter.com/xqvr8wJyM0
- Nick Frichette (@Frichette_n) 8 de setembro de 2017
Mesmo assim, os números que visitam o site podem ter sido maiores se não fosse pela configuração ruim do site. No livro da maioria das pessoas, um site fora do domínio com palavras-chave questionáveis parece ser uma tentativa de phishing. O OpenDNS pareceu concordar e bloqueou o acesso ao site para muitos usuários. Para aumentar o senso de ironia, para completar sua avaliação, você deve inserir os últimos seis dígitos do seu SSN. Estes são os mesmos dados que a Equifax já provou que eles não podem proteger!
Resultados não verificáveis
Poucas horas após o lançamento do site, houve relatos de que você não podia confiar nos resultados de sua avaliação de impacto. Inserir os mesmos detalhes várias vezes daria respostas diferentes se você fosse afetado. Algumas pessoas até tentaram entrar com informações falsas. De maneira preocupante, eles descobriram que a Equifax diria à pessoa inexistente que seus dados haviam vazado.
Então, para Equifax. Meu chefe acabou de digitar um nome falso com o número do seguro social de seu filho de 9 anos e o site disse que ele foi afetado.
- G. (@oh_sovivacious) 8 de setembro de 2017
Se você estivesse disposto a aceitar que seus dados foram de fato comprometidos na violação, a Equifax o recebeu com uma declaração vaga sobre a violação e incentivou você a se inscrever no TrustedID Premier. Dado que a Equifax foi a fonte da violação, parece de mau gosto que eles o encorajem a se inscrever para um teste gratuito de um serviço de proteção contra fraudes.
OMG, os PINs de segurança da Equifax são piores do que eu pensava. Se você congelou seu crédito hoje às 14:15 ET por exemplo, você obteria PIN 0908171415.
- Tony Webster (@webster) 9 de setembro de 2017
Aqueles que se inscreveram no TrustedID Premier puderam realizar um congelamento de crédito e forneceram um PIN de confirmação. No entanto, o PIN parecia ser um registro de data e hora de quando o congelamento foi executado. Isso tornaria o PIN inútil - poderia ser facilmente adivinhado, permitindo que qualquer pessoa desbloqueie seu congelamento de crédito. Apesar das negações iniciais, a Equifax disse mais tarde que estava fazendo a transição para um novo método que randomizaria a geração de PINs. Além disso, eles permitiriam que os consumidores solicitassem que um novo PIN fosse enviado para o endereço de correspondência registrado.
O desastre legalista
Quando a Equifax lançou o site equifaxsecurity2017 pela primeira vez, os Termos de Serviço do TrustedID Premier pareciam implicar que o uso do serviço estava sendo dispensado do seu direito de participar de qualquer ação coletiva contra a empresa no futuro. O tumulto causado por essa injustiça percebida fez com que a Equifax publicasse uma atualização no dia seguinte. Eles agora afirmaram que a cláusula de arbitragem não era aplicável à violação de segurança.
A Equifax está oferecendo um pacote de monitoramento e proteção contra roubo de identidade, mas em versão impressa, uma cláusula de arbitragem e uma renúncia de ação de classe 1/3 pic.twitter.com/8F58B5qh4w
- Rhana Natour (@RNatourious) 8 de setembro de 2017
Isso fez pouco para garantir que as pessoas que estavam compreensivamente não convencidas levassem a uma declaração mais recente quase uma semana depois afirmando que “removeram esse idioma dos Termos de Uso do TrustedID Premier e não se aplicam aos produtos gratuitos oferecidos em resposta ao incidente de segurança cibernética ou para reclamações relacionadas ao próprio incidente de segurança cibernética. A linguagem de arbitragem não se aplicará a nenhum consumidor que se inscreveu antes da remoção do idioma. ”
Levado para a tarefa
Em um movimento que a Equifax afirma ser uma coincidência total, apenas dois dias depois que descobriram a violação, três executivos seniores venderam ações totalizando US $ 1, 8 milhão. Esta venda significativa foi apenas alguns dias depois de descobrir a violação, mas mais de um mês antes de divulgá-lo publicamente. Se os indivíduos tivessem conhecimento da violação de segurança, eles estariam em violação das leis de informações privilegiadas. Sabiamente ou não, a sua venda oportuna teve sorte. No momento da redação, as ações da Equifax caíram 30% desde a divulgação da violação.
Um grupo bipartidário de 36 senadores envia uma carta à SEC, ao DOJ e à FTC solicitando uma investigação sobre as vendas de ações da Equifax após a violação de dados. pic.twitter.com/xEApcjFFkP
- Kyle Griffin (@ kylegriffin1) 13 de setembro de 2017
Dada a natureza altamente sensível da violação, muitos indivíduos afetados são compreensivelmente críticos da aparente falta de segurança da Equifax. Por exemplo, o USA Today informou que nos poucos dias após a divulgação, 23 processos foram arquivados em 14 estados contra a agência de informação de crédito. Conforme relatado pela Bloomberg, uma ação coletiva movida no Oregon está pedindo indenização de até US $ 7 bilhões. Mesmo que o tribunal conceda uma soma tão grande, isso equivale a pouco menos de US $ 500 por pessoa. Isso parece ser suficiente para compensar o risco vitalício do roubo de identidade?
Joshua Browder, o criador do bot DoNotPay, expandiu sua funcionalidade para simplificar o processo de aplicação ao tribunal de pequenas causas por danos relacionados à violação da Equifax. Isso é admirável e ajuda muito a facilitar a digestão da documentação legal muitas vezes complexa. No entanto, alguns relatórios afirmaram que o bot DoNotPay, originalmente desenvolvido para ajudá-lo a combater as multas de estacionamento, poderia automatizar todo o processo. Como o TechCrunch observa, tudo o que o bot realmente faz é ajudar com a documentação inicial - você ainda tem que enfrentar o caso no tribunal.
Uma dor de cabeça em curso em todo o mundo
Se houvesse qualquer dúvida sobre as más práticas de segurança da Equifax, um exemplo do braço argentino da Equifax provavelmente a removeria completamente. Primeiramente relatado pela KrebsOnSecurity, um portal on-line usado por funcionários para resolver disputas de crédito chamado Veraz (que significa verdadeiro em espanhol) foi considerado vulnerável. Você pode esperar que a vulnerabilidade seja técnica, mas, em vez disso, foi uma das falhas mais básicas de segurança: senhas incorretas. A combinação de nome de usuário e senha incrivelmente simplista, e em muitos casos padrão, de admin / admin permitiu que qualquer pessoa que passasse pelo site fizesse login no portal do funcionário.
De maneira chocante, isso permitiu que você visualizasse, editasse e excluísse nomes de usuários e senhas de mais de 100 funcionários argentinos da Equifax. Em cada caso, as senhas de texto simples foram encontradas como iguais ao nome de usuário do funcionário. Se isso não fosse grave o suficiente, havia uma área do site com 715 páginas de relatórios detalhados sobre cada reclamação ou disputa registrada com a Equifax. Essas informações incluíam o DNI (o equivalente argentino do SSN) para mais de 14.000 pessoas - novamente, tudo em texto simples. A Equifax rapidamente desativou o site após ser contatada pela KrebsOnSecurity, e atualmente está investigando seus últimos erros de segurança.
O que você pode fazer?
O primeiro passo é usar o site da Equifax para verificar se seus dados foram afetados pela violação Como verificar se os dados foram roubados na violação de equifax Como verificar se os dados foram roubados no Equifax Breach Notícias surgiram de uma violação de dados da Equifax que afeta até 80% de todos os usuários de cartão de crédito dos EUA. És um deles? Veja como verificar. Consulte Mais informação . No entanto, como os resultados podem ser inconsistentes, pode ser melhor assumir que você foi afetado. Como a empresa já esclareceu a linguagem em torno dela, inscreva-se no serviço TrustedID Premier. Isso permitirá que você execute um congelamento de crédito Como impedir o roubo de identidade, congelando seu crédito Como impedir o roubo de identidade, congelando seu crédito Seus dados pessoais foram comprometidos, mas sua identidade ainda não foi roubada. Existe alguma coisa que você pode fazer para mitigar seus riscos? Bem, você poderia tentar congelar seu crédito - aqui está como. Leia mais e pare de abrir crédito em seu nome. Dada a natureza sensível dos dados perdidos no vazamento, há potencial para que os golpistas vendam seus produtos, portanto fique atento à engenharia social. Como se proteger desses ataques de engenharia social Como se proteger desses ataques de engenharia social técnicas de engenharia que um hacker usaria e como você se protegeria deles? Vamos dar uma olhada em alguns dos métodos mais comuns de ataque. Leia mais e golpes de phishing Como identificar um e-mail de phishing Como identificar um e-mail de phishing É difícil detectar um e-mail de phishing! Os golpistas posam como PayPal ou Amazon, tentando roubar sua senha e informações de cartão de crédito, pois sua decepção é quase perfeita. Nós mostramos a você como identificar a fraude. Consulte Mais informação .
Na sequência de muitas violações de dados, recomendamos que você altere suas senhas, comece a usar um gerenciador de senhas Como os gerentes de senhas mantêm suas senhas seguras Como os gerentes de senhas mantêm suas senhas seguras Senhas difíceis de serem quebradas também são difíceis de lembrar. Quer estar seguro? Você precisa de um gerenciador de senhas. Veja como eles funcionam e como eles mantêm você seguro. Leia mais, inscreva-se no HaveIBeenPwned Marque agora e veja se suas senhas já vazaram Verifique agora e veja se suas senhas já foram vazadas Essa ferramenta bacana permite verificar qualquer senha para ver se ela já fez parte de um vazamento de dados. Leia mais, habilite a autenticação de dois fatores O que é autenticação de dois fatores e por que você deve usá-la O que é autenticação de dois fatores e por que você deve usá-la A autenticação de dois fatores (2FA) é um método de segurança que exige duas maneiras diferentes de provar sua identidade. É comumente usado na vida cotidiana. Por exemplo, pagando com um cartão de crédito não só exige o cartão, ... Leia mais sempre que possível, e melhorar a sua higiene cibernética Melhore a sua higiene cibernética em 5 etapas fáceis Melhore a sua higiene cibernética em 5 etapas fáceis No mundo digital, "higiene cibernética "é tão importante quanto a higiene pessoal do mundo real. Verificações regulares do sistema são necessárias, juntamente com novos hábitos on-line mais seguros. Mas como você pode fazer essas mudanças? Consulte Mais informação . Embora nenhuma delas proteja você diretamente contra o vazamento da Equifax, apertar sua segurança não causará nenhum dano. Talvez, dadas as circunstâncias, valeria a pena ir além e realizar um checkup de segurança completo Proteja-se com um exame anual de segurança e privacidade Proteja-se com um exame anual de segurança e privacidade Estamos quase dois meses no novo ano, mas há ainda tempo para fazer uma resolução positiva. Esqueça de beber menos cafeína - estamos falando de tomar medidas para proteger a segurança e a privacidade on-line. Consulte Mais informação .
Equihaxxed
A violação da Equifax provavelmente será o evento de segurança de destaque em um ano desenfreado com violações de dados e ataques de ransomware. Tal como acontece com outros eventos de segurança de alto perfil como o WannaCry e o fluxo interminável de vazamentos de dados, há um forro prateado a ser encontrado na natureza surpreendente da violação Equifax. Ao chamar a atenção do público para a segurança de dados, relatórios de crédito e negligência corporativa, há uma oportunidade para que esses assuntos sejam discutidos e mitigados. A forte resposta de muitos senadores dos Estados Unidos, com certeza, garantirá que essa violação não desapareça em segundo plano. A Equifax pelo menos admitiu que algumas mudanças de pessoal são necessárias - o Chief Information Officer e o Chief Security Officer foram "aposentados" como resultado.
Apesar de seu alto perfil e enorme alcance, ainda não há informações sobre quem foram os atacantes. De sua parte, a Equifax permaneceu totalmente em silêncio sobre o assunto - de acordo com o restante de sua resposta mal administrada. Apenas alguns dias depois que a violação foi divulgada, surgiu um grupo alegando ter os dados e exigido um resgate de 600 Bitcoins. Depois que os pesquisadores descobriram o serviço de hospedagem do site .onion, ele foi imediatamente encerrado.
Separadamente, um grupo que se chamava Equihax também afirmou estar de posse dos dados, mas não ofereceu provas verificáveis. Dado o quão potencialmente lucrativo é o dado, você pode ter certeza de que não demorará muito para que os hackers tentem ganhar dinheiro.
Você foi afetado pela violação de segurança da Equifax? Você acha que a Equifax é a culpada, e eles poderiam ter feito mais para proteger você? Deixe-nos saber nos comentários!
Crédito da imagem: stevanovicigor / Depositphotos