Étais-je piraté? Découvrez si l'infraction d'Equifax vous concerne

Equifax Inc. (EFX) a annoncé le 7 septembre 2017 que 143 millions de ses clients avaient été affectés par un piratage survenu entre la mi-mai et le mois de juillet. Ce chiffre a été ramené à 145, 5 millions au cours des semaines suivantes, puis à 147, 9 millions le 1er mars 2018, lorsque la société a annoncé avoir identifié 2, 4 millions de victimes supplémentaires.

Après la clôture du marché le même jour, la société a publié ses résultats financiers pour le quatrième trimestre et pour l’année. Les revenus du quatrième trimestre de la société ont augmenté de 5% en glissement annuel pour atteindre 838, 5 millions de dollars. Le bénéfice net au cours du trimestre a augmenté de 40% en glissement annuel pour atteindre 172, 3 millions de dollars. Les produits et les bénéfices pour l'ensemble de l'exercice ont également augmenté par rapport à 2016: les produits ont progressé de 7% à 3, 4 milliards de dollars, tandis que le bénéfice net a augmenté de 20% à 587, 3 millions de dollars. La société a déclaré que le piratage lui avait coûté 26, 5 millions de dollars au quatrième trimestre et 114, 0 millions de dollars en année pleine, net des versements d’assurance. Le titre, qui avait clôturé en baisse de 1, 3% conformément au S & P 500, a progressé de 0, 6% après les heures de bureau au moment de la rédaction.

Selon Equifax, pas moins de 209 000 clients ont eu connaissance du numéro de carte de crédit de leur carte de crédit et les documents relatifs aux différends concernant 182 000 consommateurs américains - contenant des informations personnelles - ont été compromis. Les consommateurs britanniques ont également été touchés par la violation; il est possible que certains Canadiens aient été compromis. Selon le Wall Street Journal, citant une source non identifiée, 10, 9 millions de données de permis de conduire américains ont été volées.

La société était au courant de l'attaque depuis le 29 juillet, mais a attendu plus d'un mois pour alerter le public. Le 20 septembre, il a été rapporté que Mandiant, la filiale de FireEye Inc. (FEYE) sous-traitée à Equifax, estimait la violation à ce jour au moins au 10 mars.

Il existe peu d'informations sur la source de l'attaque, qui fait l'objet d'une enquête par le FBI, mais selon Bloomberg, des similitudes avec des attaques antérieures contre l'Office of Personnel Management et Anthem Inc. suggèrent que l'attaquant pourrait être parrainé par l'État, peut-être en chinois. Le fait que les informations sur les clients d'Equifax ne se soient pas révélées sur le marché noir suggère également que les pirates informatiques n'étaient pas simplement des criminels. Bloomberg a également signalé que les assaillants avaient ciblé des individus spécifiques, peut-être en raison de leur richesse ou de la valeur de leur intelligence.

Étant donné que la population adulte des États-Unis est d’environ 250 millions de personnes, il est probable que la violation vous concerne. Il est également possible que vous ayez déjà été victime d'une fraude depuis le début de l'attaque, il y a près de six mois.

Basé à Atlanta, Equifax, l’une des trois plus grandes agences d’évaluation du crédit à la consommation, les deux autres étant Experian PLC (Londres: EXPN) et TransUnion (TRU), collecte des données comprenant des numéros de sécurité sociale, des numéros de carte de crédit, des numéros de permis de conduire, des loyers et des services publics. informations de paiement et données démographiques. Étant donné que le modèle d'Equifax est essentiellement interentreprises, bon nombre de ses clients ne savent pas que leurs données sont stockées par l'entreprise. En plus d'éviter le système financier et de crédit, il n'y a pas de moyen simple de ne pas laisser les données personnelles stockées par Equifax. (Voir aussi, Les 5 plus gros hacks de données de cartes de crédit de l’histoire. )

Comment vérifier si vous avez été touché

Equifax a mis en place un site où vous pouvez vérifier si vos informations ont été compromises en donnant votre nom de famille et les six derniers chiffres de votre numéro de sécurité sociale. Ce site a fait l’objet de vives critiques et nous avons supprimé le lien en raison de questions de sécurité. Il a été créé à l'aide de WordPress, une plate-forme de blogging standard. Il est hébergé dans un domaine distinct du site principal d'Equifax. La société a négligé d’enregistrer des URL similaires, qui pourraient être utilisées pour des attaques de phishing; Un hacker à chapeau blanc a créé un tel site pour prouver son argument. Un compte officiel d'Equifax a tweeté le lien vers le faux site. Plus d'une fois.

Equifax a offert aux clients - concernés ou non - les services suivants, qu’il appelle TrustedID Premier: copies d’un rapport de crédit Equifax, surveillance du crédit et alertes automatiques pour les trois principaux bureaux de crédit, possibilité de bloquer l’accès de tiers à votre rapport de crédit Equifax (sauf exceptions), surveillance du numéro de sécurité sociale et assurance vol d'identité d'un million de dollars. La date limite pour postuler était le 21 novembre 2017.

La société a déclaré que ces services étaient tous complémentaires, mais que l’imposition d’un gel de sécurité à un dossier de crédit n’était pas gratuite au départ - du moins pas pour tout le monde. Lorsque j'ai essayé de geler un dossier de crédit d'Equifax le 8 septembre, le site de la société a annoncé que le service coûterait 3, 00 $ et m'a demandé des informations de carte de crédit pour traiter le paiement.

Une capture d'écran de www.freeze.equifax.com (8 septembre 2017 à 11h46 HAE).

En tant que résident de New York, j'ai pu geler gratuitement mon dossier Experian. Le site de TransUnion n'a pas pu traiter la demande au départ - probablement un symptôme d'augmentation du trafic - mais m'a ensuite permis de placer un gel gratuitement.

Dans une déclaration envoyée par courrier électronique, un porte-parole d'Equifax a déclaré à Investopedia le 14 septembre que la société renonçait à tout frais de gel de dossiers de crédit et remboursait automatiquement les clients qui l'avaient payée après que le piratage avait été rendu public. Une nouvelle préoccupation - et une défaillance évidente en matière de sécurité - est apparue autour des codes PIN que la société a délivrés aux clients qui avaient gelé leurs rapports de crédit. Ces codes PIN, qui permettent aux clients de débloquer des rapports de crédit, suivent un schéma facilement identifiable. Le porte-parole a déclaré que les clients avec ces codes PIN défectueux doivent appeler le 866-349-5191 pour parler à un agent en direct.

Si vous avez obtenu un code PIN après avoir signalé le piratage, le vôtre peut être l’un des plus défectueux. Le réparer n'est pas facile. Douze appels sur la ligne le matin du 15 septembre ont donné lieu à huit signaux occupés et à quatre cas de silence total.

Les listes Equifax gratuites des services TrustedID Premier ne sont gratuites que pendant un an. Un porte-parole d'Equifax a déclaré à Investopedia que la société ne demandait pas d'informations de carte de crédit lorsque les clients souscrivaient au service et qu'elle ne les renouvellerait pas automatiquement ni ne facturerait de frais. Le tarif standard d'Equifax pour la surveillance du crédit est de 17 $ par mois.

Que faire si vous avez été touché

Liz Weston, rédactrice en finances personnelles chez NerdWallet, donne les conseils suivants aux personnes touchées par la violation d’Equifax, qu’elle a communiquées à Investopedia dans un courrier électronique: «Equifax contactera les victimes et leur offrira une surveillance de leur solvabilité. accepter la surveillance ne les empêche pas de se joindre à des poursuites ou à d'autres actions à venir. "

Initialement, la page des conditions de service (version archivée) de TrustedID Premier imposait aux utilisateurs de renoncer à leur droit de former un recours collectif contre Equifax: "En consentant à soumettre vos demandes à l'arbitrage, vous perdez votre droit d'apporter et de participer dans tout recours collectif (que ce soit en tant que demandeur désigné ou membre du groupe) ou pour participer à tout octroi d'un recours collectif, y compris les réclamations collectives lorsqu'un groupe n'a pas encore été certifié, même si les faits et circonstances sur lesquels les réclamations sont fondées se sont déjà produits ou existait. " Suite à un retour de bâton, la page FAQ de la société a été mise à jour pour indiquer que la clause s’appliquait au service TrustedID Premier et non au piratage. À compter du 12 septembre au matin, les conditions de service ne comportent plus de clause d'arbitrage.

Weston indique que les clients concernés devraient envisager de geler leurs rapports de solvabilité dans les trois principaux bureaux. Comme mentionné ci-dessus, les agences d'évaluation du crédit peuvent facturer des frais pour le déclenchement de ce gel. Vous pouvez également être facturé pour le déblocage de comptes lorsque vous avez besoin d’une vérification de la solvabilité (pour demander un service de téléphonie mobile, par exemple). Ces frais sont généralement inférieurs à 10 $, mais ils peuvent s’additionner. Weston indique qu'une autre option consiste à placer une alerte de fraude dans vos rapports de crédit auprès des trois agences d'évaluation du crédit. (Pour plus d'informations, voir Comment récupérer du vol d'identité .)

D'autres services de surveillance du crédit, non parrainés par Equifax, sont également disponibles. Services de protection contre le vol d'identité: ça vaut le coup d'avoir ">

Réponse d'Equifax

Richard Smith, alors président et chef de la direction d'Equifax, a déclaré après le piratage qu'il s'agissait "d'un incident clairement décevant pour notre société, et qui frappe au cœur de notre identité et de ce que nous faisons." Il a démissionné le 26 septembre et ne recevra pas de bonus pour 2017. Son départ a suivi ceux de l'agent de sécurité en chef Susan Mauldin et de l'agent en chef de l'information David Webb le 14 septembre.

Quelques jours après que la société ait découvert le piratage interne - et avant que la faille ne soit révélée au public -, le directeur financier d’Equifax, John Gamble, son président des solutions liées à la main-d’œuvre, Rodolfo Ploder, et son président des solutions d’information américaines, Joseph Loughran, ont vendu leurs actions d’Equifax. Equifax a déclaré dans un communiqué que les dirigeants n’étaient pas informés de la violation lors de la vente de leurs actions. Gamble, Ploder et Loughran ont collecté près de 1, 8 million de dollars de ces ventes.

En date du 28 février, les actions d’Equifax ont chuté de 20, 1% par rapport à leur clôture le 7 septembre (avant l’annonce du hack) à 113, 00 $. Après plusieurs retards, Equifax indique qu'elle publiera ses résultats du quatrième trimestre après la clôture le 1er mars.

Que les procès commencent

Reuters a rapporté le 11 septembre que plus de 30 actions en justice - dont beaucoup cherchaient un recours collectif - avaient été intentées contre Equifax devant les tribunaux américains. Plusieurs allèguent des violations du droit des valeurs mobilières; d'autres accusent TrustedID de proposer des services coûteux aux clients affectés par la violation de données. Cinq résidents de l'Utah ont poursuivi la société devant le tribunal de district américain pour ne pas avoir protégé les données sensibles de ses clients. La poursuite demande des dommages-intérêts de 5 milliards de dollars et l’imposition de normes plus strictes de l’industrie.

Quelques clients concernés empruntent une voie moins traditionnelle pour obtenir un recours auprès d’Equifax. Le chatbot DoNotPay aide à déposer une plainte devant les tribunaux des petites créances des États, où les peines maximales vont de 2 500 à 25 000 dollars. Selon le Verge, le bot ne peut générer que des documents pour un procès, mais pas le déposer ni comparaître devant un tribunal.

Le 18 septembre, l'avocat américain John Horn, basé à Atlanta et au FBI, a annoncé l'ouverture d'une enquête pénale sur cette infraction. Le Bureau de la protection financière des consommateurs, ainsi que 34 procureurs généraux des États américains, mènent actuellement des enquêtes.

M. Smith se rend à Washington

Le 3 octobre, l'ancien PDG, Richard Smith, a témoigné devant le sous-comité House Digital Commerce et Consumer Protection. Il s'est excusé à plusieurs reprises pour le manquement d'Equifax à protéger les données des consommateurs et a posé des questions sur toute une série de problèmes liés à la violation et à la réponse d'Equifax. Les actions de la société ont augmenté à la suite des témoignages, mais sont restées bien en deçà des niveaux auxquels elle se négociait avant la divulgation du piratage.

En réponse aux questions concernant la clause d'arbitrage controversée initialement incluse dans les conditions de service de TrustedID Premier, M. Smith a déclaré que la clause "surenchère" ne devait jamais s'appliquer à la violation et a qualifié son inclusion "d'erreur". Il ne dirait pas la même chose des clauses similaires régissant d’autres services d’Equifax, qu’il a qualifiées de «standard».

Les ventes d'actions exécutives à un moment suspect ont également fait l'objet d'un examen minutieux: le représentant Jan Schakowsky, un démocrate de l'Illinois, a déclaré que la vente "ne réussissait pas le test des odeurs", mais Smith a avéré "à ma connaissance, ils ne savaient pas" à propos de la brèche à l'époque.

Smith a décrit la violation comme une erreur humaine et une défaillance technologique: la personne chargée de corriger le logiciel Apache Struts - qui présentait une vulnérabilité connue exploitée par les attaquants - n'a pas réussi à le faire, et un scanner qui aurait alerté la société de cette erreur a également échoué.

La réaction instable de la société à la crise a également suscité des critiques: mise en place d'un site WordPress avec une URL suspecte, échec de la sécurisation des domaines similaires (et même orientation des clients vers l'un de ces domaines), échec de la gestion du personnel des centres d'appels et la création générale l’impression que la société - qui existe pour collecter, sécuriser et vendre des données sensibles - n’était absolument pas préparée à une cyberattaque sur ses bases de données. Le représentant Markwayne Mullin, un républicain de l'Oklahoma, a déclaré à Smith que sa réponse aurait dû ressembler à une alarme incendie: "elle se met immédiatement en place". Smith a répondu que son équipe "suivait le protocole". Plusieurs représentants ont mentionné que Smith avait prononcé un discours décrivant la fraude comme une "énorme opportunité" et une "entreprise en pleine expansion" en août - après avoir eu connaissance de la brèche.

Smith a refusé de répondre aux questions sur la source de l'attaque, notamment sur le fait qu'il s'agisse ou non d'un acteur étatique. Il a simplement dit que le FBI menait une enquête. Il a défendu les investissements d'Equifax dans la cybersécurité durant son mandat, affirmant que lorsqu'il est arrivé il y a douze ans, il n'y avait pratiquement aucun investissement dans la protection des données. La société a dépensé un quart de milliard de dollars et engagé une équipe de 225 personnes pour sécuriser les données de la société, a précisé M. Smith, investissant 10 à 14% de son budget informatique dans la cybersécurité.

Certains représentants ont indiqué que la violation avait soulevé des questions fondamentales sur le rôle du secteur de la surveillance du crédit et des droits des consommateurs. "Et si je veux choisir notre option d'Equifax?" Schakowski a demandé. Smith a répondu, "cela nécessite une discussion beaucoup plus large sur le rôle des agences d'évaluation du crédit." Le représentant Tonko, un démocrate de New York, s'est fait l'écho de ce sentiment, soulignant qu'il n'était pas vraiment un "client", n'ayant jamais choisi de faire affaire avec Equifax. "Pourquoi cette société est-elle autorisée à continuer d'exister?" Il a demandé. Smith a plusieurs fois mis en doute la valeur des numéros de sécurité sociale en tant que moyen de prouver l'identité et a fait de vagues références à la "restitution du pouvoir au consommateur".

La plus grande question du jour est venue de la démocrate californienne Doris Matsui: "Est-ce que je possède mes données?" Smith ne pouvait pas répondre. (Voir aussi, Blockchain pourrait vous rendre - pas Equifax - le propriétaire de vos données. )