Eu fui hackeado? Descubra se a violação do Equifax o afeta

A Equifax Inc. (EFX) anunciou em 7 de setembro de 2017 que 143 milhões de seus clientes foram afetados por um hack ocorrido entre meados de maio e julho. Esse número foi aumentado para 145, 5 milhões nas semanas seguintes, depois para 147, 9 milhões em 1º de março de 2018, quando a empresa afirmou ter identificado 2, 4 milhões de vítimas adicionais.

Após o fechamento do mercado no mesmo dia, a empresa divulgou resultados financeiros no quarto trimestre e no ano inteiro. As receitas do quarto trimestre da empresa aumentaram 5% ano a ano, para US $ 838, 5 milhões. O lucro líquido no trimestre aumentou 40% ano a ano, para US $ 172, 3 milhões. As receitas e os lucros do ano inteiro também aumentaram em comparação a 2016: as receitas aumentaram 7%, para US $ 3, 4 bilhões, enquanto o lucro líquido aumentou 20%, para US $ 587, 3 milhões. A empresa disse que o hack custou US $ 26, 5 milhões no quarto trimestre e US $ 114, 0 milhões no ano inteiro, líquidos dos pagamentos de seguros. As ações, que fecharam 1, 3% em linha com o S&P 500, aumentaram 0, 6% nas negociações após o expediente no momento da redação deste documento.

De acordo com a Equifax, até 209.000 números de cartão de crédito dos clientes foram expostos e documentos de disputa relacionados a 182.000 consumidores dos EUA - que incluem informações pessoais - foram comprometidos. Os consumidores britânicos também foram afetados pela violação; é possível que alguns canadenses tenham sido comprometidos. Segundo o Wall Street Journal, citando uma fonte não identificada, 10, 9 milhões de dados da carteira de motorista americana foram roubados pela violação.

A empresa sabia do ataque desde 29 de julho, mas esperou mais de um mês para alertar o público. Em 20 de setembro, foi relatado que a Mandiant, subsidiária da FireEye Inc. (FEYE) contratada pela Equifax, estima que a violação tenha ocorrido em pelo menos 10 de março.

Há pouca informação sobre a origem do ataque, que está sendo investigada pelo FBI, mas, de acordo com a Bloomberg, as semelhanças com os ataques anteriores ao Office of Personnel Management e à Anthem Inc. sugerem que o atacante pode ser patrocinado pelo Estado, talvez chinês. O fato de as informações dos clientes da Equifax não aparecerem no mercado negro também sugere que os hackers não eram simplesmente criminosos. A Bloomberg também relata que os atacantes atacaram indivíduos específicos, talvez por causa de sua riqueza ou valor de inteligência.

Dado que a população adulta dos EUA é de cerca de 250 milhões, é bem provável que você tenha sido afetado pela violação. Também é possível que você já tenha sido vítima de fraude, desde que o ataque começou quase seis meses atrás.

A Equifax, com sede em Atlanta, uma das três maiores agências de relatórios de crédito ao consumidor - as outras duas são Experian PLC (Londres: EXPN) e TransUnion (TRU) - coleta dados que incluem números de Seguro Social, números de cartão de crédito, números de carteira de motorista, aluguel e utilidade informações de pagamento e dados demográficos. Como o modelo da Equifax é principalmente de empresa para empresa, muitos de seus clientes não sabem que seus dados são armazenados pela empresa. Além de evitar o sistema financeiro e de crédito por completo, não há uma maneira direta de optar por não ter os dados pessoais armazenados pela Equifax. (Veja também, os 5 maiores dados de cartão de crédito da história. )

Como verificar se você foi afetado

A Equifax criou um site onde você pode verificar se suas informações foram comprometidas, fornecendo seu sobrenome e os últimos seis dígitos do seu número do Seguro Social. Este site foi alvo de críticas intensas e removemos o link devido a perguntas sobre sua segurança. Foi criado usando o WordPress, uma plataforma de blogs pronta para uso. Ele está alojado em um domínio separado no site principal da Equifax. A empresa deixou de registrar URLs semelhantes, que poderiam ser usados ​​para ataques de phishing; um hacker de chapéu branco criou exatamente esse site para provar seu argumento e uma conta oficial da Equifax twittou o link para o site falso. Mais de uma vez.

A Equifax ofereceu aos clientes - afetados ou não - os seguintes serviços, que ele chama de TrustedID Premier: cópias de um relatório de crédito Equifax, monitoramento de crédito e alertas automáticos para as três principais agências de crédito, a capacidade de bloquear o acesso de terceiros ao seu relatório de crédito Equifax (com exceções), monitoramento de número do Seguro Social e US $ 1 milhão em seguro contra roubo de identidade. O prazo para inscrição era 21 de novembro de 2017.

A empresa diz que esses serviços são todos gratuitos, mas colocar um congelamento de segurança em um arquivo de crédito não era inicialmente gratuito - pelo menos não para todos. Quando tentei congelar um arquivo de crédito Equifax em 8 de setembro, o site da empresa disse que o serviço custaria US $ 3, 00 e solicitou informações do cartão de crédito para processar o pagamento.

Uma captura de tela em www.freeze.equifax.com (8 de setembro de 2017 às 11h46 EDT).

Como residente em Nova York, pude congelar meu arquivo Experian gratuitamente. O site da TransUnion não conseguiu processar a solicitação inicialmente - provavelmente um sintoma de aumento de tráfego -, mas depois me permitiu colocar um congelamento gratuitamente.

Em um comunicado enviado por e-mail, um porta-voz da Equifax disse à Investopedia em 14 de setembro que a empresa está renunciando a todas as cobranças para congelar arquivos de crédito e está automaticamente reembolsando os clientes que pagaram para fazer isso depois que o hack foi tornado público. Uma nova preocupação - e claro lapso de segurança - surgiu agora em torno dos PINs que a empresa emitiu para clientes que congelaram seus relatórios de crédito. Esses PINs, que permitem aos clientes descongelar relatórios de crédito, seguem um padrão facilmente identificável. O porta-voz disse que os clientes com esses PINs com defeito devem ligar para 866-349-5191 para falar com um agente ativo.

Se você recebeu um PIN após relatar o hack, o seu pode ser um dos que estão com defeito. Consertá-lo não é fácil. Doze ligações para a linha na manhã de 15 de setembro produziram oito sinais de ocupado e quatro instâncias de silêncio total.

As listas do Equifax dos serviços TrustedID Premier como cortesia são gratuitas apenas por um ano. Um porta-voz da Equifax disse à Investopedia que a empresa não solicita informações de cartão de crédito quando os clientes se inscrevem no serviço e que a empresa não a renova automaticamente ou cobra uma taxa. A taxa padrão da Equifax para monitoramento de crédito é de US $ 17 por mês.

O que fazer se você foi afetado

Liz Weston, escritora de finanças pessoais da NerdWallet, tem os seguintes conselhos para os afetados pela violação do Equifax, que ela compartilhou com a Investopedia em um e-mail: "O Equifax procurará as vítimas e oferecerá monitoramento de crédito. As vítimas devem garantir que concordar com o monitoramento não os impede de ingressar em ações judiciais ou outras ações no futuro ".

Inicialmente, a página de termos de serviço do TrustedID Premier (versão arquivada) exigiu que os usuários renunciassem ao seu direito de ingressar em uma ação coletiva contra a Equifax: "Ao consentir em submeter suas reivindicações à arbitragem, você perderá o direito de trazer ou participar em qualquer ação de classe (seja como autor nomeado ou como membro de classe) ou para compartilhar prêmios de ação de classe, incluindo reivindicações de classe em que uma classe ainda não foi certificada, mesmo se os fatos e circunstâncias nas quais as reivindicações se baseiam já ocorreram ou existia ". Após uma reação, a página de Perguntas frequentes da empresa foi atualizada para dizer que a cláusula se aplicava ao serviço TrustedID Premier, não ao hack. Na manhã de 12 de setembro, os termos de serviço não incluem mais uma cláusula de arbitragem.

Weston diz que os clientes afetados devem considerar congelar seus relatórios de crédito nas três principais agências. Como mencionado acima, as agências de crédito podem cobrar taxas pelo início desse congelamento. Você também pode ser cobrado por descongelar contas quando precisar de uma verificação de crédito (para solicitar o serviço de telefone celular, por exemplo). Essas taxas geralmente são inferiores a US $ 10, mas podem aumentar. Weston observa que outra opção é colocar um alerta de fraude nos seus relatórios de crédito nas três agências de crédito. (Para saber mais, consulte Como se recuperar de roubo de identidade .)

Outros serviços de monitoramento de crédito, não patrocinados pela Equifax, também estão disponíveis. Serviços de proteção contra roubo de identidade: vale a pena ">

Resposta de Equifax

O então presidente e CEO da Equifax, Richard Smith, disse após o hack que "foi claramente um incidente decepcionante para nossa empresa e que atinge o coração de quem somos e do que fazemos". Ele deixou o cargo em 26 de setembro e não receberá bônus em 2017. Sua partida foi seguida pela da chefe de segurança Susan Mauldin e pelo chefe de informações David Webb em 14 de setembro.

Poucos dias depois que a empresa descobriu o hack internamente - e antes da revelação do público - o diretor financeiro da Equifax, John Gamble, seu presidente de soluções de força de trabalho Rodolfo Ploder e seu presidente de soluções de informação dos EUA, Joseph Loughran, vendeu suas ações da Equifax. A Equifax disse em comunicado que os executivos não sabiam da violação quando venderam suas ações. Gamble, Ploder e Loughran coletivamente ganharam quase US $ 1, 8 milhão com as vendas.

Em 28 de fevereiro, as ações da Equifax caíram 20, 1% do seu fechamento em 7 de setembro (antes do anúncio do hack) para US $ 113, 00. Após vários atrasos, a Equifax informou que divulgará os ganhos do quarto trimestre após o fechamento em 1º de março.

Que comecem os processos

A Reuters informou em 11 de setembro que mais de 30 ações judiciais - muitas delas buscando ação coletiva - foram movidas contra Equifax nos tribunais dos EUA. Vários alegam violações da lei de valores mobiliários; outros acusam o TrustedID de fornecer serviços caros a clientes que foram afetados pela violação de dados. Cinco residentes de Utah processaram a empresa no Tribunal Distrital dos EUA por não proteger os dados confidenciais dos clientes. O processo busca danos monetários de US $ 5 bilhões e a imposição de padrões mais rígidos do setor.

Alguns clientes afetados estão seguindo um caminho menos tradicional na busca de recursos da Equifax. O chatbot do DoNotPay fornece assistência para registrar uma reclamação nos tribunais estaduais de pequenas causas, onde as multas máximas variam de US $ 2.500 a US $ 25.000. O bot só pode gerar papelada para um processo, na verdade não o arquivar ou comparecer em tribunal, de acordo com a Verge.

O advogado do FBI e dos EUA, John Horn, com sede em Atlanta, anunciou uma investigação criminal sobre a violação em 18 de setembro. O Departamento de Proteção Financeira do Consumidor e 34 procuradores gerais do estado estão realizando investigações.

Sr. Smith vai para Washington

Em 3 de outubro, o ex-CEO Richard Smith testemunhou perante o subcomitê do House Digital Commerce e Consumer Protection. Ele se desculpou várias vezes pelo fracasso da Equifax em proteger os dados do consumidor e enfrentou perguntas sobre vários problemas relacionados à violação e à resposta da Equifax. As ações da empresa subiram após o depoimento, mas permaneceram bem abaixo dos níveis negociados antes da divulgação do hack.

Em resposta a perguntas sobre a controversa cláusula compromissória que foi inicialmente incluída nos termos de serviço do TrustedID Premier, Smith disse que a cláusula "clichê" nunca teve a intenção de se aplicar à violação e chamou sua inclusão de "erro". Ele não diria o mesmo de cláusulas semelhantes que governam outros serviços da Equifax, que ele chamou de "padrão".

As vendas de ações executivas com cronograma suspeito também foram analisadas: o deputado Jan Schakowsky, democrata de Illinois, disse que a venda "não passa no teste do olfato", mas Smith afirmou, "pelo que sei, eles não sabiam" sobre a violação no momento.

Smith descreveu a violação como resultado de um erro humano e uma falha tecnológica: a pessoa encarregada de corrigir o software Apache Struts - que tinha uma vulnerabilidade conhecida publicamente pelos invasores - não conseguiu e um scanner que teria alertou a empresa sobre esse erro também falhou.

A resposta crítica da empresa à crise também recebeu críticas: configurar um site WordPress com uma URL suspeita, deixar de proteger domínios semelhantes (e até direcionar os clientes para um desses domínios), deixar de atender adequadamente os call centers e, geralmente, criar a impressão de que a empresa - que existe para coletar, proteger e vender dados confidenciais - estava totalmente despreparada para um ciberataque em seus bancos de dados. O deputado Markwayne Mullin, republicano de Oklahoma, disse a Smith que sua resposta deveria ter sido como acionar um alarme de incêndio: "ele imediatamente se encaixa". Smith respondeu que sua equipe "seguiu o protocolo". Vários representantes mencionaram que Smith fez um discurso descrevendo a fraude como uma "grande oportunidade" e um "negócio massivo e crescente" em agosto - depois que ele soube da violação.

Smith se recusou a responder a perguntas sobre a origem do ataque, incluindo se poderia ser um ator estatal. Ele disse simplesmente que o FBI está conduzindo uma investigação. Ele defendeu os investimentos da Equifax em segurança cibernética durante seu mandato, dizendo que, quando ele chegou há doze anos, praticamente não havia investimento em proteção de dados. A empresa gastou um quarto de bilhão de dólares e contratou uma equipe de 225 pessoas para proteger os dados da empresa, disse Smith, investindo o padrão da indústria de 10 a 14% do orçamento de TI da empresa em segurança cibernética.

Alguns representantes indicaram que a violação abriu questões fundamentais sobre o papel da indústria de monitoramento de crédito e os direitos dos consumidores. "E se eu quiser optar pelo Equifax?" Schakowski perguntou. Smith respondeu: "Isso requer uma discussão muito mais ampla sobre o papel das agências de relatórios de crédito". O deputado Tonko, democrata de Nova York, ecoou o sentimento, apontando que ele não é realmente um "cliente", nunca tendo escolhido fazer negócios com a Equifax. "Por que essa empresa pode continuar existindo?" ele perguntou. Em vários pontos, Smith questionou o valor dos números da Previdência Social como uma maneira de provar a identidade e fez referências vagas para devolver "o poder ao consumidor".

A maior questão do dia veio da democrata da Califórnia Doris Matsui: "Possuo meus dados?" Smith não conseguiu responder. (Veja também, o Blockchain pode fazer de você - e não do Equifax - o proprietário dos seus dados. )