An einem ruhigen Nachmittag Anfang September 2017 gab Equifax eine außergewöhnliche Sicherheitsverletzung bekannt, von der schätzungsweise fast 200 Millionen Menschen weltweit betroffen waren. Angesichts der Tatsache, dass das Unternehmen den Verstoß im Juli zum ersten Mal entdeckt hatte, hätte dies genügend Zeit zur Vorbereitung auf eine Antwort und Lösung für alle betroffenen Personen bieten müssen. Stattdessen lieferte Equifax der Welt ein perfektes Beispiel dafür, wie man mit einer größeren Sicherheitslücke nicht umgehen kann.
Aufgrund des enormen Umfangs des Datenlecks, der verwirrenden Legalität und der furchtbar unsicheren Antwort-Websites hatte Equifax alles zu bieten. Hinzu kamen Behauptungen über Insiderhandel, schlechte Kommunikation, ein Rückgang des Aktienkurses um 30 Prozent und weitere Datenlecks, und das Unternehmen schien sich für einen dramatischen Rückgang in die Krise gerüstet zu haben. Nun, so viel Anmut wie eine Kreditauskunftei, der Sie nie ausdrücklich zugestimmt haben, Ihre sensiblen Daten zu übergeben.
EquiBreach
Die erste Aussage von Equifax über die Verletzung sagte, dass bis zu 144 Millionen Amerikaner ihre Kreditinformationen kompromittiert haben könnten. Dazu gehörten Namen, Adressen, Sozialversicherungsnummern (SSNs), Geburtsdaten und Finanzdaten. Das Unternehmen berichtete auch, dass Kreditkartennummern für 209.000 US-Verbraucher in die Verletzung einbezogen wurden. Darüber hinaus sind Streitbeilegungen mit personenbezogenen Daten für 189.000 Personen veröffentlicht worden.
Erste Berichte in den Medien bezogen sich auf Betroffene als Equifax-Kunden. Sie sind jedoch nicht wirklich ein Kunde von Equifax, Experian, TransUnion oder einer anderen Kreditauskunftei. Diese Agenturen sammeln Daten von einer Reihe verschiedener Dienste und Finanzproduktanbieter. Die Daten werden dann verwendet, um Ihren Kredit-Score zu generieren, was es einem Kreditgeber ermöglicht, das von Ihnen ausgehende Risiko zu bewerten. Kredit, Kreditkarte oder Hypothek beantragen? So wird die Entscheidung getroffen.
Folgenabschätzung und TrustedID Premier
Um Sie für den Verlust der Daten von fast der Hälfte der erwachsenen US-Bevölkerung zu entschädigen, hat Equifax eine Website eingerichtet, equifaxsecurity2017.com. Hier können Sie Ihren Namen und Ihre SSN eingeben und herausfinden, ob Ihre Angaben zu denen gehören, die durchgesickert sind. Darüber hinaus können Sie sich bei TrustedID Premier anmelden. Dies ist ein Bericht über die Kreditwürdigkeit eines drei Büros und ein SSN-Überwachungsinstrument, das die US-Verbraucher ein Jahr lang ergänzt.
Doch in ihrer ersten Enthüllung und für eine Woche danach war Equifax bemerkenswert leise in den Details. Der Angriffstyp, der Täter und warum es so lange ohne Entdeckung weitergehen konnte, blieb ein Geheimnis.
Dies führte zu der Vermutung, dass Equifax schuld ist. Sechs Tage später, nach einem immensen öffentlichen Aufschrei und den Interventionen einer parteiübergreifenden Gruppe von Senatoren, gab Equifax schließlich zu, dass der Angriff einen bekannten Apache-Strut-Exploit (CVE-2017-5638) verwendete - ein Patch, der im März 2017, zwei Monate veröffentlicht wurde vor der Equifax-Verletzung. Dies bewies, dass, genau wie mit WannaCry Anfang des Jahres der globale Ransomware-Angriff und wie man Ihre Daten schützt Der globale Ransomware-Angriff und wie man Ihre Daten schützt Ein enormer Cyberangriff hat Computer um die Kugel geschlagen. Waren Sie von der hochvirulenten, sich selbst replizierenden Ransomware betroffen? Wenn nicht, wie können Sie Ihre Daten schützen, ohne das Lösegeld zu zahlen? Lesen Sie mehr, wenn Sie Ihre Software nicht aktualisieren, kann dies verheerende Folgen haben.
Nicht nur US-Verbraucher
Obwohl Equifax von Anfang an nicht offengelegt wurde, musste er eingestehen, dass die Informationen für eine "begrenzte Anzahl" von in Großbritannien und Kanada ansässigen Personen ebenfalls in den Verstoß eingeschlossen waren. Bis zu 44 Millionen Verbraucher im Vereinigten Königreich wussten vielleicht nicht einmal, dass die US-Kreditbehörde ihre Daten hatte. Sie wurde jedoch von Unternehmen wie BT, British Gas und Capital One bereitgestellt. Der britische Arm der Kreditagentur kündigte am frühen Abend des 15. Septembers an, dass 400.000 britische Einwohner betroffen seien. Dieser mutmaßliche Versuch, die Nachrichten zu begraben, enthüllte ein "Prozessversagen", das ein halbes Jahrzehnt andauerte. Es wurde jedoch keine Beratung für britische oder kanadische Einwohner angeboten.
Equifax's Website Woes
Aus Gründen, die noch nicht erläutert wurden, hat Equifax eine eigene Website für ihre Reaktion auf den Verstoß eingerichtet. Angesichts der Tatsache, dass die Website als Reaktion auf eine schwerwiegende Sicherheitsverletzung eingerichtet wurde, würden Sie sich vorstellen, dass alle Vorkehrungen getroffen wurden, um sicherzustellen, dass der Standort ein leuchtender Leuchtturm der Stabilität war. Stattdessen hat das große Volumen amerikanischer Verbraucher, die ihre Informationen überprüfen wollten, sie überwältigt. Dadurch konnten viele nicht auf die Website zugreifen oder die Ergebnisse ihrer Folgenabschätzung laden.
@briankrebs Haben Sie gesehen, dass OpenDNS die Equifax-Anmeldeseite blockiert? Spam nennen? pic.twitter.com/xqvr8wJyM0
- Nick Frichette (@Fichette_n) 8. September 2017
Selbst dann waren die Besucherzahlen möglicherweise größer, wenn die Website nicht schlecht konfiguriert war. In den meisten Menschen erscheint eine Off-Domain-Website mit fragwürdigen Keywords als Phishing-Betrug. OpenDNS schien zuzustimmen und blockierte den Zugriff auf die Website für viele Benutzer. Um den Sinn für Ironie zu erhöhen, müssen Sie die letzten sechs Ziffern Ihrer SSN eingeben, um Ihre Beurteilung abzuschließen. Dies sind die gleichen Daten, die Equifax bereits bewiesen hat, dass sie nicht schützen können!
Nicht verifizierbare Ergebnisse
Innerhalb weniger Stunden nach dem Start der Website gab es Berichte, dass man den Ergebnissen ihrer Folgenabschätzung nicht einmal vertrauen konnte. Wenn Sie dieselben Details mehrmals eingeben, erhalten Sie unterschiedliche Antworten darauf, ob Sie betroffen sind. Manche Leute haben sogar versucht, wissentlich falsche Informationen einzugeben. Beunruhigenderweise fanden sie heraus, dass Equifax der nicht existierenden Person mitteilte, dass ihre Daten durchgesickert waren.
Also zu Equifax. Mein Vorgesetzter hat gerade einen falschen Namen mit der Sozialversicherungsnummer seines neunjährigen Sohnes eingegeben, und die Seite sagte, er sei betroffen.
- G. ?? (@oh_sovivacious) 8. September 2017
Wenn Sie bereit waren zu akzeptieren, dass Ihre Daten bei der Verletzung tatsächlich kompromittiert wurden, begrüßte Equifax Sie mit einer vagen Aussage über den Verstoß und ermutigte Sie, sich bei TrustedID Premier anzumelden. Angesichts der Tatsache, dass Equifax die Quelle des Verstoßes war, scheint es in einem schlechten Geschmack, dass sie Sie dazu ermutigen würden, sich für eine kostenlose Testversion ihres eigenen Betrugsschutzdienstes anzumelden.
OMG, Equifax Security Freeze PINs sind schlimmer als ich dachte. Wenn Sie Ihr Guthaben heute zum Beispiel um 2:15 Uhr ET einfrieren, erhalten Sie die PIN 0908171415.
- Tony Webster (@webster) 9. September 2017
Diejenigen, die sich für TrustedID Premier angemeldet hatten, konnten einen Kreditstopp einleiten und erhielten eine Bestätigungs-PIN. Die PIN schien jedoch ein Zeitstempel zu sein, als das Einfrieren durchgeführt wurde. Dies würde die PIN nutzlos machen - sie könnte leicht erraten werden, so dass jeder Ihren Kredit-Freeze freischalten kann. Trotz anfänglicher Verweigerungen sagte Equifax später, dass sie zu einer neuen Methode übergehen würden, die die PIN-Generierung zufällig gestalten würde. Darüber hinaus können Verbraucher eine neue PIN anfordern, die an ihre registrierte Postanschrift gesendet wird.
Das juristische Debacle
Als Equifax die Website equifaxsecurity2017 zum ersten Mal auf den Markt brachte, schienen die Nutzungsbedingungen von TrustedID Premier darauf hinzudeuten, dass Sie mit der Nutzung des Dienstes auf Ihr Recht verzichten würden, in Zukunft an einer Sammelklage gegen das Unternehmen teilzunehmen. Der Aufschrei bei dieser wahrgenommenen Ungerechtigkeit ließ Equifax am nächsten Tag ein Update veröffentlichen. Sie haben nun festgestellt, dass die Schiedsklausel auf die Sicherheitsverletzung nicht anwendbar ist.
Equifax bietet Überwachung und Identitätsdiebstahlschutz pkg, aber im Kleingedruckten, eine Schiedsklausel und Klassenkündigung Verzicht 1/3 pic.twitter.com/8F58B5qh4w
- Rhana Natour (@RNatourious) 8. September 2017
Das hat wenig dazu beigetragen, dass Leute, die verständlicherweise nicht überzeugt waren, fast eine Woche später zu einer weiteren Erklärung führten, dass sie "diese Sprache aus den Nutzungsbedingungen von TrustedID Premier entfernt haben und sie nicht für die kostenlosen Produkte als Reaktion auf Cyber-Sicherheitsvorfälle gelten oder für Ansprüche im Zusammenhang mit dem Cybersicherheitsvorfall selbst. Die Schiedssprache gilt nicht für Verbraucher, die sich vor der Entfernung der Sprache angemeldet haben. "
Zur Aufgabe gemacht
In einem Schritt, den Equifax als totalen Zufall bezeichnet, nur zwei Tage nachdem sie den Bruch entdeckt hatten, verkauften drei leitende Angestellte Aktien im Gesamtwert von 1, 8 Millionen Dollar. Dieser bedeutende Verkauf war nur wenige Tage nach der Entdeckung des Bruchs, aber über einen Monat, bevor sie es öffentlich bekannt gaben. Wenn die Personen Kenntnis von der Sicherheitsverletzung hätten, stünden sie im Widerspruch zu Insiderhandelsgesetzen. Wissentlich oder nicht, war ihr rechtzeitiger Verkauf glücklich. Zum Zeitpunkt des Schreibens ist die Aktie von Equifax seit Bekanntgabe der Verletzung um 30 Prozent gefallen.
Die Bipartisan-Gruppe von 36 Senatoren sendet einen Brief an SEC, DOJ und FTC, in dem sie eine Untersuchung der Aktienverkäufe von Equifax nach Datenpannen fordern. pic.twitter.com/xEApcjFFkP
- Kyle Griffin (@ kylegriffin1) 13. September 2017
Angesichts der hochsensiblen Art der Verletzung sind viele betroffene Personen verständlicherweise kritisch gegenüber der scheinbar laxen Sicherheit von Equifax. Zum Beispiel berichtete USA Today, dass in den wenigen Tagen nach der Offenlegung 23 Klagen in 14 Staaten gegen die Kreditauskunftei eingereicht wurden. Wie von Bloomberg berichtet, sucht eine Sammelklage in Oregon Schadensersatz in Höhe von bis zu 7 Milliarden Dollar. Selbst wenn das Gericht eine so hohe Summe vergeben sollte, sind es knapp 500 Dollar pro Person. Scheint dies genug, um das lebenslange Risiko von Identitätsdiebstahl zu kompensieren?
Joshua Browder, der Schöpfer des DoNotPay-Bot, erweiterte seine Funktionalität, um den Prozess der Beantragung von Schäden im Zusammenhang mit der Equifax-Verletzung zu vereinfachen. Dies ist bewundernswert und trägt wesentlich dazu bei, die oft komplexe rechtliche Dokumentation zu verdauen. In einigen Berichten wurde jedoch behauptet, dass der DoNotPay-Bot, der ursprünglich dafür entwickelt wurde, Ihnen bei der Bekämpfung von Parkgebühren zu helfen, den gesamten Prozess automatisieren könnte. Wie TechCrunch bemerkt, ist der Bot wirklich Hilfe bei den ersten Papieren - Sie müssen den Fall noch vor Gericht bekämpfen.
Eine anhaltende Kopfschmerzen auf der ganzen Welt
Wenn Zweifel hinsichtlich der schlechten Sicherheitspraktiken von Equifax bestanden, dann wird ein Beispiel aus dem argentinischen Arm von Equifax es wahrscheinlich vollständig beseitigen. Erstmals wurde von KrebsOnSecurity berichtet, dass ein Online-Portal, das von Mitarbeitern zur Beilegung von Kreditstreitigkeiten mit dem Namen Veraz (was auf Spanisch wahrheitsgemäß ist) verwendet wurde, verwundbar ist. Sie können davon ausgehen, dass die Sicherheitsanfälligkeit technischer Natur ist, aber es war eine der grundlegendsten Sicherheitsfehler: schlechte Kennwörter. Die unglaublich einfache und in vielen Fällen standardmäßige Kombination aus Benutzername und Passwort von admin / admin ermöglichte jedem, der sich auf der Website befand, sich beim Mitarbeiterportal anzumelden.
Auf diese Weise konnten Sie Benutzernamen und Passwörter für über 100 argentinische Equifax-Mitarbeiter anzeigen, bearbeiten und löschen. In jedem Fall wurde festgestellt, dass die Klartextpasswörter mit denen des Mitarbeiters identisch sind. Wenn das nicht schwer genug war, gab es einen Bereich der Website mit 715 Seiten mit detaillierten Berichten über jede bei Equifax geloggte Beschwerde oder Auseinandersetzung. Diese Information beinhaltete das DNI (das argentinische Äquivalent des SSN) für mehr als 14.000 Menschen - wiederum alles im Klartext. Equifax hat die Website nach Kontaktaufnahme mit KrebsOnSecurity schnell offline geschaltet und untersucht derzeit ihren neuesten Sicherheits-Fauxpas.
Was kannst du tun?
Der erste Schritt besteht darin, die Website von Equifax zu verwenden, um zu prüfen, ob Ihre Daten von der Verletzung betroffen waren. Wie Sie überprüfen können, ob Ihre Daten in der Equifax-Verletzung gestohlen wurden Wie Sie überprüfen, ob Ihre Daten in der Equifax-Meldung gestohlen wurden das betrifft bis zu 80 Prozent aller US-Kreditkartennutzer. Bist du eine von ihnen? So überprüfen Sie. Weiterlesen . Da die Ergebnisse jedoch inkonsistent sein können, ist es am besten anzunehmen, dass Sie betroffen sind. Da das Unternehmen nun die Sprache um es herum geklärt hat, melden Sie sich für den TrustedID Premier-Dienst an. Dies ermöglicht Ihnen, einen Kredit einzufrieren So verhindern Sie Identitätsdiebstahl durch Einfrieren Ihres Kredits So verhindern Sie Identitätsdiebstahl durch Einfrieren Ihrer Kreditwürdigkeit Ihre persönlichen Daten wurden kompromittiert, aber Ihre Identität noch nicht gestohlen. Können Sie etwas tun, um Ihre Risiken zu mindern? Nun, Sie könnten versuchen, Ihren Kredit einzufrieren - so geht's. Lesen Sie mehr, und halten Sie jeden Kredit in Ihrem Namen auf. Angesichts der sensiblen Natur der Daten verloren in der Leckage, gibt es Potenzial für Betrüger ihre Produkte zu verkaufen, also wachsam gegen Social Engineering Wie Sie sich vor diesen 8 Social Engineering-Angriffe schützen So schützen Sie sich vor diesen 8 Social Engineering-Angriffe Was sozial Ingenieurtechniken würde ein Hacker verwenden und wie würden Sie sich vor ihnen schützen? Werfen wir einen Blick auf einige der gängigsten Angriffsmethoden. Lesen Sie mehr und Phishing-Betrug So entdecken Sie eine Phishing-E-Mail So erkennen Sie eine Phishing-E-Mail Eine Phishing-E-Mail ist schwer zu finden! Betrüger stellen sich als PayPal oder Amazon dar, versuchen ihr Passwort und Kreditkarteninformationen zu stehlen, sind ihre Täuschung fast perfekt. Wir zeigen Ihnen, wie Sie den Betrug erkennen können. Weiterlesen .
Im Zuge vieler Datenschutzverletzungen raten wir Ihnen häufig, Ihre Passwörter zu ändern und einen Passwort-Manager zu verwenden. Wie Password Manager Ihre Passwörter schützen Wie Password Manager Passwörter schützen Passwörter, die schwer zu knacken sind, sind schwer zu merken. Willst du sicher sein? Sie benötigen einen Passwort-Manager. So arbeiten sie und wie sie dich schützen. Lesen Sie mehr, melden Sie sich bei HaveIBeenPwned Jetzt prüfen und sehen Sie, ob Ihre Passwörter jemals durchgesickert sind Jetzt prüfen und sehen, ob Ihre Passwörter jemals durchgesickert sind Mit diesem raffinierten Tool können Sie jedes Passwort überprüfen, um zu sehen, ob es jemals Teil eines Datenlecks war. Lesen Sie mehr, aktivieren Sie die Zwei-Faktor-Authentifizierung Was ist Zwei-Faktor-Authentifizierung und warum sollten Sie sie verwenden? Was ist Zwei-Faktor-Authentifizierung, und warum sollten Sie sie verwenden Zwei-Faktor-Authentifizierung (2FA) ist eine Sicherheitsmethode, die zwei verschiedene Arten erfordert um deine Identität zu beweisen. Es wird häufig im täglichen Leben verwendet. Zum Beispiel die Zahlung mit einer Kreditkarte erfordert nicht nur die Karte, ... Lesen Sie mehr, wo immer möglich, und verbessern Sie Ihre Cyber-Hygiene Verbessern Sie Ihre Cyber-Hygiene in 5 einfachen Schritten Verbessern Sie Ihre Cyber-Hygiene in 5 einfachen Schritten In der digitalen Welt, "Cyber-Hygiene "ist genauso wichtig wie die persönliche Hygiene in der realen Welt. Regelmäßige Systemprüfungen sind erforderlich, zusammen mit neuen, sichereren Onlinegewohnheiten. Aber wie können Sie diese Änderungen vornehmen? Weiterlesen . Während keiner von ihnen dich direkt vor dem Equifax-Leck schützt, schadet dir deine Sicherheit nicht. Vielleicht ist es angesichts der Umstände sogar wert, die Extra-Meile zu gehen und eine vollständige Sicherheitsüberprüfung durchzuführen Schützen Sie sich mit einer jährlichen Sicherheit und Datenschutz Checkup Schützen Sie sich mit einem jährlichen Sicherheit und Datenschutz Checkup Wir sind fast zwei Monate in das neue Jahr, aber es gibt noch Zeit, um eine positive Lösung zu machen. Vergiss weniger Koffein zu trinken - wir reden über Maßnahmen, um Online-Sicherheit und Datenschutz zu gewährleisten. Weiterlesen .
Equihaxxed
Der Equifax-Bruch wird höchstwahrscheinlich das herausragende Sicherheitsereignis in einem Jahr sein, das mit Datenpannen und Ransomware-Angriffen überfüllt ist. Wie bei anderen hochkarätigen Sicherheitsereignissen wie WannaCry und dem nie endenden Strom von Datenlecks gibt es einen Silberstreifen in der erstaunlichen Natur des Equifax-Bruchs. Indem die Öffentlichkeit auf Datensicherheit, Kreditberichterstattung und Fehlverhalten von Unternehmen aufmerksam gemacht wird, besteht die Möglichkeit, dass diese Angelegenheiten diskutiert und gemildert werden. Die starke Reaktion vieler US-Senatoren wird hoffentlich sicherstellen, dass dieser Bruch nicht in den Hintergrund tritt. Equifax hat zumindest eingeräumt, dass einige personelle Veränderungen erforderlich sind - der Chief Information Officer und der Chief Security Officer haben sich daraufhin "zurückgezogen".
Trotz seines hohen Bekanntheitsgrads und seines großen Umfangs gibt es immer noch keine Informationen darüber, wer die Angreifer waren. Equifax hat sich zu diesem Thema völlig zurückgehalten - im Einklang mit dem Rest ihrer schlecht gemanagten Antwort. Nur wenige Tage nachdem der Verstoß bekannt wurde, entstand eine Gruppe, die behauptete, die Daten zu haben und ein Lösegeld von 600 Bitcoin forderte. Nachdem die Entdecker den Hosting-Service der .onion-Site entdeckt hatten, wurde dieser sofort geschlossen.
Separat behauptete auch eine Gruppe, die sich selbst Equihax nannte, im Besitz der Daten zu sein, bot aber keinen überprüfbaren Beweis an. Wenn man bedenkt, wie lukrativ die Daten sind, können Sie sicher sein, dass es nicht lange dauern wird, bis die Hacker versuchen, Geld zu machen.
Waren Sie von der Sicherheitslücke bei Equifax betroffen? Glaubst du, Equifax ist schuld, und hätten sie mehr tun können, um dich zu beschützen? Lass es uns in den Kommentaren wissen!
Bildquelle: stevanovicigor / Depositphotos