Equifax Inc. (EFX)는 2017 년 9 월 7 일에 1 억 4, 400 만 명의 고객이 5 월 중순에서 7 월 사이에 발생한 해킹의 영향을 받았다고 발표했습니다. 이 수치는 다음 주 동안 1 억 4, 550 만 명으로, 2018 년 3 월 1 일에는 1 억 4 천 9 백 9 십만 명으로 추락하여 240 만 명의 추가 피해자가 확인되었다고 밝혔다.
같은 날 시장이 문을 닫은 후, 회사는 4/4 분기 및 연간 재무 결과를보고했습니다. 이 회사의 4 분기 매출은 전년 대비 5 % 증가한 8 억 8 천 8 백 8 십 8 백만 달러를 기록했습니다. 해당 분기의 순이익은 전년 대비 40 % 증가한 1 억 7, 230 만 달러를 기록했습니다. 연간 매출과 이익도 2016 년에 비해 증가했습니다. 매출은 7 % 증가한 34 억 달러이며, 순이익은 20 % 증가한 5 억 3, 730 만 달러입니다. 이 회사는 해킹 비용이 4 분기에 2650 만 달러, 1 년에 1 억 1, 460 만 달러에 달해 보험금이 지급됐다고 밝혔다. S & P 500에 따라 1.3 % 하락한 주가는 시판 후 시간외 거래에서 0.6 % 상승했습니다.
Equifax에 따르면 209, 000 명의 고객 신용 카드 번호가 노출되었으며 개인 정보를 포함한 182, 000 명의 미국 소비자와 관련된 분쟁 문서가 손상되었습니다. 영국 소비자들 역시이 위반으로 영향을 받았다. 일부 캐나다인이 타협했을 수 있습니다. 익명의 출처를 인용 한 월스트리트 저널에 따르면 1, 100 만 명의 미국인 운전 면허증 데이터가 도난 당했다.
이 회사는 7 월 29 일 이후 공격에 대해 알고 있었지만 한 달 이상 기다렸다. 9 월 20 일, Equifax와 계약을 맺은 FireEye Inc. (FEYE) 자회사 인 Mandiant는 3 월 10 일까지의 위반을 추정합니다.
FBI가 조사하고있는 공격의 출처에 관한 정보는 거의 없지만 Bloomberg에 따르면, Office of Personnel Management 및 Anthem Inc.에 대한 이전의 공격과 유사하더라도 공격자는 중국이 아마 국가가 후원 할 수 있다고 제안합니다. Equifax 고객 정보가 암시장에 나타나지 않았다는 것은 해커가 단순히 범죄자가 아니라는 것을 암시합니다. 블룸버그는 또한 공격자들이 부나 정보의 가치 때문에 특정 개인을 목표로 삼았다 고보고했다.
미국의 성인 인구가 약 2 억 5 천만 명이라는 점을 감안할 때 위반으로 인해 영향을 받았을 가능성이 높습니다. 거의 6 개월 전에 공격이 시작된 이후 이미 사기의 피해자 일 가능성이 있습니다.
3 대 소비자 신용보고 기관 중 하나 인 애틀랜타에 위치한 Equifax – 다른 두 곳은 Experian PLC (London: EXPN) 및 TransUnion (TRU) – 사회 보장 번호, 신용 카드 번호, 운전 면허 번호, 임대료 및 유틸리티를 포함한 데이터를 수집합니다. 결제 정보 및 인구 통계 데이터 Equifax의 모델은 주로 B2B (Business-to-Business)이기 때문에 많은 고객이 회사에서 데이터를 저장한다는 것을 인식하지 못합니다. 금융 및 신용 시스템을 완전히 피하는 것 외에도 Equifax가 개인 데이터를 저장하지 않는 간단한 방법은 없습니다. ( 역사에서 가장 큰 5 개의 신용 카드 데이터 해킹 도 참조하십시오 . )
영향을 받았는지 확인하는 방법
Equifax는 성 및 주민등록번호의 마지막 6 자리를 제공하여 정보가 손상되었는지 확인할 수있는 사이트를 설정했습니다. 이 사이트는 강렬한 비판의 대상이었으며 보안 관련 질문으로 인해 링크를 제거했습니다. 상용 블로그 플랫폼 인 WordPress를 사용하여 설정되었습니다. Equifax의 기본 사이트와 별도의 도메인에 있습니다. 이 회사는 피싱 공격에 사용될 수있는 유사한 URL을 등록하지 않았습니다. 한 백인 해커가 그러한 사이트를 설정하여 요점을 입증했으며 공식 Equifax 계정이 가짜 사이트에 대한 링크를 트윗했습니다. 두 번 이상
Equifax는 영향을받는 고객에게 다음과 같은 서비스를 TrustedID Premier라고 부릅니다. Equifax 신용 보고서 사본, 신용 모니터링 및 3 개 주요 신용 기관 모두에 대한 자동 알림, Equifax 신용 보고서에 대한 제 3 자 액세스 차단 기능 (예외 포함), 사회 보장 번호 모니터링 및 신분 도용 보험에서 백만 달러. 신청 마감일은 2017 년 11 월 21 일입니다.
회사는 이러한 서비스가 모두 무료라고 말하지만 신용 파일에 보안 동결을 놓는 것은 적어도 모든 사람에게 무료가 아니라고 말했다. 9 월 8 일에 Equifax 신용 파일을 동결하려고 할 때 회사 사이트는 서비스 비용이 $ 3.00이고 신용 카드 정보를 요청하여 지불을 처리 할 것이라고 말했습니다.
뉴욕 거주자로서 저는 Experian 파일을 무료로 동결 할 수있었습니다. TransUnion의 사이트는 처음에는 요청을 처리 할 수 없었습니다. 트래픽 증가의 증상 일 수 있지만 나중에 무료로 동결을 할 수있었습니다.
Equifax 대변인은 이메일로 성명서를 발표하면서 9 월 14 일 Investopedia에 신용 파일 동결에 대한 모든 요금을 면제하고 해킹이 공개 된 후 지불 한 고객을 자동으로 환불한다고 밝혔다. 신용 보고서를 동결 한 고객에게 회사가 발급 한 PIN과 관련하여 새로운 우려와 명확한 보안 상실이 발생했습니다. 고객이 신용 보고서를 고정 해제 할 수있는이 PIN은 쉽게 식별 가능한 패턴을 따릅니다. 대변인은 이러한 잘못된 PIN을 보유한 고객은 866-349-5191로 전화하여 실시간 상담원과 통화해야한다고 말했습니다.
무료로 제공되는 TrustedID Premier 서비스 Equifax 목록은 1 년 동안 만 무료입니다. Equifax 대변인은 Investopedia에 고객이 서비스에 가입 할 때 신용 카드 정보를 요구하지 않으며 회사가 자동으로 갱신하거나 요금을 청구하지 않을 것이라고 말했다. Equifax의 신용 모니터링 표준 요금은 한 달에 $ 17입니다.
영향을받은 경우해야 할 일
NerdWallet의 개인 금융 작가 인 Liz Weston은 Equifax 위반의 영향을받는 사람들에 대해 다음과 같은 조언을 이메일로 공유했습니다. "Equifax는 피해자에게 연락하여 신용 모니터링을 제공합니다. 피해자는 반드시 "모니터링에 동의한다고해서 그들이 소송이나 다른 행동에 참여하는 것을 막지는 못합니다."
처음에 TrustedID Premier의 서비스 약관 페이지 (아카이브 버전)는 실제로 사용자가 Equifax에 대한 집단 소송에 참여할 수있는 권리를 포기하도록 요구했습니다. "중재에 대한 귀하의 주장을 제출하는 것에 동의함으로써 귀하는 참여 또는 참여할 권리를 상실하게됩니다 클레임의 근거가되는 사실과 상황이 이미 발생하더라도 클래스가 아직 인증되지 않은 클래스 클레임을 포함하여 모든 클래스 액션 (명명 된 원고 또는 클래스 멤버) 또는 클래스 액션 어워드에서 공유 또는 존재했다. " 백래시 후 회사의 FAQ 페이지가 업데이트되어 해당 조항이 해킹이 아닌 TrustedID 프리미어 서비스에 적용되었다고합니다. 9 월 12 일 오전부터 서비스 약관에는 더 이상 중재 조항이 포함되지 않습니다.
웨스턴은 영향을받는 고객들이 3 개 주요 국 모두에서 신용 보고서 동결을 고려해야한다고 말했다. 위에서 언급 한 바와 같이 신용 관리국은 동결 시작에 대한 수수료를 부과 할 수 있습니다. 신용 확인이 필요한 경우 (예: 휴대폰 서비스를 신청하기 위해) 고정 해제 계정에 대한 요금이 부과 될 수도 있습니다. 이 비용은 일반적으로 $ 10 미만이지만 추가 할 수 있습니다. 웨스턴은 또 다른 옵션은 세 신용 기관의 신용 보고서에 사기 경고를하는 것입니다. (자세한 내용 은 신원 도용에서 복구하는 방법을 참조하십시오.)
Equifax가 후원하지 않는 다른 신용 모니터링 서비스도 이용 가능합니다. 신분 도용 방지 서비스: 가치가 있는가? 조사 할 수 있도록 몇 가지를 나열합니다.
Equifax 님의 답변
Equifax의 당시 회장이자 CEO 인 Richard Smith는 이번 해킹 이후 "우리 회사의 실망스러운 사건이자 우리가 누구인지, 우리가하는 일의 중심에 닥친 사건"이라고 말했다. 그는 9 월 26 일에 물러 났으며 2017 년에는 보너스를받지 못할 것입니다. 그의 출발은 9 월 14 일 수잔 마 울딘 (Susan Mauldin) 최고 정보 책임자 (CIO)와 데이비드 웹 (David Webb) 최고 책임자로 떠났습니다.
회사가 내부적으로 해킹을 발견 한 후 며칠이 지났으며, 그리고 위반이 공개되기 전에 Equifax의 최고 재무 책임자 인 John Gamble, 로돌포 플로터 (Rodolfo Ploder) 인력 솔루션 사장, 미국 정보 솔루션 (Joseph Loughran) 사장은 Equifax 지분을 매각했습니다. Equifax는 성명서에서 임원들이 주식을 팔 때 위반에 대해 알지 못했다고 진술했다. Gamble, Ploder 및 Loughran은 총 180 만 달러의 매출을 올렸습니다.
2 월 28 일 현재, Equifax의 주식은 9 월 7 일 (해킹이 발표되기 전에) 종가에서 20.1 % 하락한 $ 113.00로 떨어졌습니다. Equifax는 여러 차례 지연된 후 3 월 1 일 마감 후 4 분기 실적을보고 할 것이라고 밝혔다.
소송을 시작합시다
로이터 통신은 9 월 11 일 미국 법원에서 이퀴 팩스에 대해 30 건 이상의 소송이 제기됐다고보고했다. 증권법에 대한 몇 가지 혐의 위반; 다른 사람들은 데이터 유출로 인해 영향을받은 고객에게 비용이 많이 드는 서비스에 대해 TrustedID를 비난합니다. 5 명의 유타 주민이 고객의 민감한 데이터를 보호하지 못한 이유로 미 지방 법원에서 회사를 고소했습니다. 이 소송은 50 억 달러의 금전적 손해와보다 엄격한 산업 표준의 부과를 추구합니다.
영향을받는 고객 중 일부는 Equifax로부터 의뢰를 구할 때 덜 전통적인 경로를 사용하고 있습니다. DoNotPay 챗봇은 최대 소액이 $ 2, 500에서 $ 25, 000에 이르는 주 소액 청구 법원에서 불만을 제기하는 데 도움을 제공합니다. Verge에 따르면 봇은 소송에 대한 서류 작업 만 생성 할 수 있으며 실제로 소송을 제기하거나 법정에 출두 할 수는 없습니다.
FBI와 애틀랜타에 기반을 둔 미국 변호사 존 혼 (John Horn)은 9 월 18 일 위반에 대한 형사 수사를 발표했다. 소비자 금융 보호국과 34 개 주 변호사가 문의를하고있다.
스미스 씨가 워싱턴으로 간다
10 월 3 일 전 CEO 인 Richard Smith는 하원 디지털 상거래 및 소비자 보호 소위원회 전에 증언했습니다. 그는 Equifax가 소비자 데이터를 보호하지 못한 것에 대해 여러 번 사과했으며 위반 및 Equifax의 대응과 관련된 다양한 문제에 대한 질문에 직면했습니다. 회사의 증언은 증언에 따라 상승했지만 해킹이 공개되기 전에 거래 된 수준보다 훨씬 낮게 유지되었습니다.
Smith는 처음에 TrustedID Premier의 서비스 약관에 포함 된 논란의 여지가있는 중재 조항에 관한 질문에 대해 "보일러 플레이트"조항은 위반에 적용되는 것이 아니며 그 포함을 "실수"라고 불렀습니다. 그는 "표준"이라고하는 다른 Equifax 서비스에 적용되는 유사한 조항에 대해서는 언급하지 않았습니다.
일리노이 주 민주당 원인 얀 샤 코프 스키 (Jan Schakowsky) 상원 의원은 판매가 "냄새 시험을 통과하지는 않았다"고 말했다. 당시의 위반.
Smith는이 오류를 사람의 실수와 기술적 실패의 결과로 설명했습니다. 공격자가 악용 한 공개적으로 알려진 취약점 인 Apache Struts 소프트웨어를 패치해야하는 담당자와 실패한 스캐너 그 오류도 회사에 경고했다.
이 회사는 위기에 대한 불완전한 대응도 의심스러운 URL로 WordPress 사이트를 설정하고 유사한 도메인을 확보하지 못하고 (고객을 해당 도메인 중 하나로 안내하지 못함) 콜센터를 제대로 운영하지 못하고 일반적으로 민감한 데이터를 수집, 보호 및 판매하기 위해 존재하는 회사는 데이터베이스에 대한 사이버 공격에 대해 전혀 준비가되어 있지 않다는 인상을 받았습니다. 오클라호마 공화당 원인 마크 웨인 멀린 (Markmark Mullin) 대변인은 스미스에게“즉각 발생하는 화재 경보기를 끄는 것과 같다”고 말했다. 스미스는 그의 팀이 "프로토콜을 따랐다"고 응답했다. 여러 대표자들은 스미스가 사기에 대해 알고 난 후 8 월에 사기를“거대한 기회”와“대규모, 성장하는 사업”으로 묘사 한 연설을했다고 언급했다.
Smith는 공격의 주체가 될 수 있는지 여부를 포함하여 공격의 출처에 대한 질문에 대답하지 않았습니다. 그는 단순히 FBI가 조사를 수행하고 있다고 말했다. 그는 임기 중에 사이버 보안에 대한 Equifax의 투자를 방어했으며, 12 년 전에 도착했을 때 데이터 보호에 대한 투자는 거의 없었다고 말했습니다. Smith는 회사의 IT 예산의 10-14 %를 사이버 보안에 투자하면서 회사의 데이터를 보호하기 위해 10 억 달러를 소비하고 225 명의 직원을 고용했습니다.
일부 대표자들은이 위반이 신용 모니터링 산업의 역할과 소비자의 권리에 대한 근본적인 질문을 제기했다고 지적했다. "Equifax를 선택하려면 어떻게해야합니까?" Schakowski가 물었다. 스미스는 "신용보고 기관의 역할에 대해 훨씬 광범위한 논의가 필요하다"고 대답했다. 뉴욕 민주당 통코 대변인은 자신이 실제로 "고객"이 아니며 Equifax와의 거래를 선택하지 않았 음을 지적하면서 감정을 반향했습니다. "이 회사는 왜 계속 존재할 수 있습니까?" 그는 물었다. 여러 시점에서 Smith는 사회 보장 번호의 가치에 대해 정체성을 증명하는 방법으로 의문을 제기하고 "소비자에게 힘을 돌려주는"것에 대해 모호한 언급을했습니다.
오늘의 가장 큰 문제는 캘리포니아 민주당 Doris Matsui가 "내 데이터를 소유하고 있습니까?"라는 질문입니다. 스미스는 대답 할 수 없었다. (또한 블록 체인은 귀하를 Equifax가 아닌 귀하의 데이터 소유자로 만들 수 있습니다. )
