Equihax una de las brechas más calamitosas de todos los tiempos

Equihax una de las brechas más calamitosas de todos los tiempos / Seguridad

En una tarde tranquila a principios de septiembre de 2017, Equifax reveló una brecha de seguridad extraordinaria que se estima afectó a casi 200 millones de personas en todo el mundo. Dado que la compañía descubrió por primera vez la brecha en julio, eso debería haber brindado suficiente tiempo para prepararse para una respuesta y solución para todas las personas afectadas. En cambio, Equifax procedió a proporcionar al mundo un ejemplo perfecto de cómo no para manejar una brecha de seguridad importante.

Desde el enorme alcance de la fuga de datos, los lúgubres legales y los sitios web de respuesta horriblemente inseguros, Equifax lo tenía todo. Agregue acusaciones de uso de información privilegiada, comunicación deficiente, una caída del 30 por ciento en el valor de las acciones, junto con otras filtraciones de datos, y la compañía parece haberse preparado para una dramática caída de la gracia. Bueno, gracias a la agencia de informes crediticios, nunca aceptó explícitamente entregar sus datos confidenciales..

EquiBreach

La primera declaración de Equifax sobre la violación dijo que hasta 144 millones de estadounidenses podrían haber visto comprometida su información crediticia. Esto incluía nombres, direcciones, números de Seguro Social (SSN), fechas de nacimiento y registros financieros. La compañía también informó que los números de tarjetas de crédito para 209,000 consumidores estadounidenses se incluyeron en el incumplimiento. Además, se han filtrado registros de disputas con información de identificación personal de 189,000 personas.

Los informes iniciales en los medios referidos a individuos afectados como clientes de Equifax. Sin embargo, no es realmente un cliente de Equifax, Experian, TransUnion o cualquier otra agencia de informes de crédito. Estas agencias recopilan datos de una serie de servicios y proveedores de productos financieros diferentes. Luego, los datos se utilizan para generar su puntaje de crédito, lo que le permite al prestamista evaluar el riesgo que representa. ¿Está solicitando un préstamo, tarjeta de crédito o hipoteca? Así se toma la decisión..

Evaluación de impacto y TrustedID Premier

Para compensarle por perder los datos de casi la mitad de la población adulta de EE. UU., Equifax creó un sitio web, equifaxsecurity2017.com. Aquí, puede ingresar su nombre y SSN parcial y averiguar si sus datos se encontraban entre los filtrados. Además, puede inscribirse en su servicio, TrustedID Premier. Este es un informe de crédito de tres oficinas y una herramienta de monitoreo de SSN, complementarios a los consumidores de los EE. UU. Durante un año.

Sin embargo, en su divulgación inicial, y durante una semana después, Equifax guardó un silencio notable en los detalles. El tipo de ataque, el culpable y por qué fue capaz de continuar durante tanto tiempo, sin ser detectado, se mantuvo en secreto..

Esto llevó a muchos a sospechar que había culpabilidad por parte de Equifax. Seis días después, y después de una inmensa protesta pública e intervenciones de un grupo bipartidista de senadores, Equifax finalmente admitió que el ataque utilizó un conocido exploit de Apache Strut (CVE-2017-5638), un parche para el cual se lanzó en marzo de 2017, dos meses. Antes de la violación de Equifax. Esto demostró que, al igual que con WannaCry a principios de año, The Global Ransomware Attack y cómo proteger sus datos The Global Ransomware Attack y cómo proteger sus datos Un ataque cibernético masivo ha afectado a las computadoras de todo el mundo. ¿Te ha afectado el ransomware altamente virulento y autorreplicante? Si no es así, ¿cómo puede proteger sus datos sin pagar el rescate? Leer más, no actualizar su software puede tener consecuencias devastadoras.

No solo los consumidores estadounidenses

Aunque no fue divulgada desde el principio, Equifax se vio obligada a admitir que la información para un “número limitado” Los residentes de los EE. UU. y Canadá también se incluyeron en el incumplimiento. Es posible que hasta 44 millones de consumidores estadounidenses ni siquiera hayan sabido que la agencia de crédito estadounidense tenía sus datos. Sin embargo, les fue proporcionado por compañías como BT, British Gas y Capital One. El brazo de la agencia de crédito U.K. anunció la tarde del viernes 15 de septiembre que 400,000 residentes de U.K. se vieron afectados. Este presunto intento de enterrar la noticia reveló un “falla del proceso” Que duró media década. Sin embargo, no se ha ofrecido ninguna guía a los residentes de los EE. UU. O Canadá..

Los problemas del sitio web de Equifax

Por razones que aún no se han explicado, Equifax lanzó un sitio web separado para su respuesta a la violación. Dado que el sitio se configuró en respuesta a una brecha de seguridad importante, se podría imaginar que se hubieran tomado todas las precauciones para garantizar que el sitio fuera un faro brillante de estabilidad. En cambio, el gran volumen de consumidores estadounidenses que desean verificar su información los abrumó. Esto dejó a muchos incapaces de acceder al sitio, o de cargar los resultados de su evaluación de impacto.

@briankrebs ¿Has visto que OpenDNS está bloqueando la página de registro de Equifax? ¿Llamándolo spam? pic.twitter.com/xqvr8wJyM0

- Nick Frichette (@Frichette_n) 8 de septiembre de 2017

Incluso entonces, los números que visitan el sitio pueden haber sido más grandes de no haber sido por una mala configuración del sitio web. En la mayoría de los libros de personas, un sitio web fuera de dominio con palabras clave cuestionables parecería ser una estafa de suplantación de identidad. OpenDNS pareció estar de acuerdo y bloqueó el acceso al sitio web para muchos usuarios. Para aumentar el sentido de la ironía, para completar su evaluación debe ingresar los últimos seis dígitos de su SSN. Estos son los mismos datos que Equifax ya ha demostrado que no pueden proteger!

Resultados no verificables

A las pocas horas del lanzamiento del sitio, hubo informes de que ni siquiera podía confiar en los resultados de su evaluación de impacto. Ingresar los mismos detalles varias veces daría respuestas diferentes en cuanto a si usted fue afectado. Algunas personas incluso intentaron ingresar información falsa a sabiendas. De manera preocupante, encontraron que Equifax le diría a la persona inexistente que sus datos se habían filtrado.

Así que a Equifax. Mi jefe acaba de ingresar un nombre falso con el número de seguridad social de su hijo de 9 años y el sitio dijo que estaba afectado.

- SOL.?? (@oh_sovivacious) 8 de septiembre de 2017

Si estaba dispuesto a aceptar que sus datos se habían visto comprometidos en la infracción, Equifax lo saludó con una declaración vaga sobre la violación y lo alentó a inscribirse en TrustedID Premier. Dado que Equifax fue el origen de la violación, parece de mal gusto que lo alienten a inscribirse en una prueba gratuita de su propio servicio de protección contra fraudes..

OMG, los PIN de congelación de seguridad de Equifax son peores de lo que pensaba. Si congeló su crédito hoy a las 2:15 pm hora del este, por ejemplo, obtendría el PIN 0908171415.

- Tony Webster (@webster) 9 de septiembre de 2017

Aquellos que se registraron en TrustedID Premier pudieron realizar una congelación de crédito y se les proporcionó un PIN de confirmación. Sin embargo, el PIN parece ser una marca de tiempo de cuando se realizó la congelación. Esto haría que el PIN fuera inútil: podría adivinarse fácilmente, permitiendo que cualquiera desbloquee su congelación de crédito. A pesar de los rechazos iniciales, Equifax luego dijo que estaban haciendo la transición a un nuevo método que aleatorizaría la generación de PIN. Además, permitirían a los consumidores solicitar un nuevo PIN para enviarlo a su dirección de correo registrada.

La debacle de Legalese

Cuando Equifax lanzó por primera vez el sitio web de Equifaxsecurity2017, los Términos de servicio de TrustedID Premier parecían implicar que, al utilizar el servicio, estaba renunciando a su derecho a participar en cualquier demanda colectiva contra la compañía en el futuro. El alboroto por esta injusticia percibida hizo que Equifax publicara una actualización al día siguiente. Ahora han declarado que la cláusula de arbitraje no era aplicable a la violación de seguridad.

Equifax ofrece pkg de monitoreo y protección contra robo de identidad, pero en letra pequeña, una cláusula de arbitraje y una renuncia de acción de clase 1/3 pic.twitter.com/8F58B5qh4w

- Rhana Natour (@RNatourious) 8 de septiembre de 2017

Esto hizo poco para asegurar que las personas que no estaban comprensiblemente comprensibles condujeron a una declaración adicional casi una semana después, afirmando que “ha eliminado ese lenguaje de los Términos de uso de TrustedID Premier y no se aplicará a los productos gratuitos ofrecidos en respuesta al incidente de ciberseguridad ni a las reclamaciones relacionadas con el propio incidente de ciberseguridad. El idioma del arbitraje no se aplicará a ningún consumidor que se haya registrado antes de que se eliminara el idioma..”

Llevado a la tarea

En una medida en la que Equifax afirma ser una coincidencia total, solo dos días después de que descubrieron la brecha, tres ejecutivos senior vendieron acciones por un total de $ 1.8 millones. Esta venta significativa fue solo unos días después de descubrir la brecha, pero más de un mes antes de que la divulgaran públicamente. Si los individuos tuvieran conocimiento de la violación de la seguridad, estarían en contravención de las leyes de uso de información privilegiada. A sabiendas o no, su venta oportuna fue afortunada. Al momento de escribir, las acciones de Equifax han caído un 30 por ciento desde la divulgación de la violación.

Un grupo bipartidista de 36 senadores envía una carta a la SEC, DOJ y FTC instando a una investigación sobre las ventas de acciones de Equifax luego de la violación de datos. pic.twitter.com/xEApcjFFkP

- Kyle Griffin (@ kylegriffin1) 13 de septiembre de 2017

Dada la naturaleza altamente sensible de la violación, muchos individuos afectados son comprensiblemente críticos de la aparente seguridad laxa de Equifax. Por ejemplo, USA Today informó que en los pocos días posteriores a la divulgación, se presentaron 23 demandas en 14 estados contra la agencia de informes de crédito. Según lo informado por Bloomberg, una demanda colectiva presentada en Oregón está buscando daños de hasta $ 7 mil millones. Incluso si el tribunal otorgara una suma tan grande, equivale a poco menos de $ 500 por persona. ¿Parece esto suficiente para compensar el riesgo de por vida del robo de identidad??

Joshua Browder, el creador del bot DoNotPay, expandió su funcionalidad para simplificar el proceso de solicitar a la corte de reclamos menores daños y perjuicios relacionados con la violación de Equifax. Esto es admirable y hace mucho para que la documentación legal, a menudo compleja, sea más fácil de digerir. Sin embargo, algunos informes han afirmado que el bot DoNotPay, originalmente desarrollado para ayudarlo a combatir las multas de estacionamiento, podría automatizar todo el proceso. Como señala TechCrunch, todo lo que realmente hace el robot es ayudar con el papeleo inicial, todavía tiene que luchar contra el caso en la corte.

Un dolor de cabeza en curso alrededor del mundo

Si quedara alguna duda sobre las malas prácticas de seguridad de Equifax, entonces es probable que un ejemplo del brazo argentino de Equifax lo elimine por completo. Primero informado por KrebsOnSecurity, un portal en línea utilizado por los empleados para resolver disputas de crédito llamado Veraz (que significa veraz en español) se encontró que era vulnerable. Puede esperar que la vulnerabilidad sea técnica, pero en cambio, fue una de las fallas de seguridad más básicas: contraseñas incorrectas. La increíblemente simplista, y en muchos casos predeterminada, combinación de nombre de usuario y contraseña de admin / admin Permitió que cualquier persona que haya pasado por el sitio inicie sesión en el portal de empleados.

Crédito de la imagen: KrebsOnSecurity

Sorprendentemente, esto le permitió ver, editar y eliminar nombres de usuario y contraseñas de más de 100 empleados de Equifax en Argentina. En cada caso, se encontró que las contraseñas de texto simple son las mismas que el nombre de usuario del empleado. Si eso no fue lo suficientemente grave, hubo un área del sitio con 715 páginas de informes detallados sobre cada queja o disputa registrada con Equifax. Esta información incluía el DNI (el equivalente argentino de la SSN) para más de 14,000 personas, una vez más, todo en texto sin formato. Equifax rápidamente desconectó el sitio después de ser contactado por KrebsOnSecurity, y actualmente está investigando su último paso en falso de seguridad..

Qué puedes hacer?

El primer paso es utilizar el sitio web de Equifax para verificar si sus datos se vieron afectados por la violación Cómo verificar si sus datos fueron robados en la brecha de Equifax Cómo verificar si sus datos fueron robados en la brecha de Equifax Las noticias surgieron de una violación de datos de Equifax eso afecta hasta el 80 por ciento de todos los usuarios de tarjetas de crédito de EE. UU. ¿Es usted uno de ellos? Aquí está cómo comprobar Lee mas . Sin embargo, como los resultados pueden ser inconsistentes, puede ser mejor asumir que usted fue afectado. Como la compañía ahora ha aclarado el lenguaje, inscríbase en su servicio TrustedID Premier. Esto le permitirá realizar una congelación de crédito Cómo prevenir el robo de identidad mediante la congelación de su crédito Cómo prevenir el robo de identidad mediante la congelación de su crédito Sus datos personales han sido comprometidos, pero su identidad aún no ha sido robada. ¿Hay algo que pueda hacer para mitigar sus riesgos? Bueno, podrías intentar congelar tu crédito, así es como. Lea más y detenga a cualquiera que abra crédito en su nombre. Dada la naturaleza sensible de los datos perdidos en la fuga, existe la posibilidad de que los estafadores vendan sus productos, así que manténgase alerta contra la ingeniería social Cómo protegerse de estos 8 ataques de ingeniería social Cómo protegerse de estos 8 ataques de ingeniería social Qué social técnicas de ingeniería utilizaría un pirata informático y cómo te protegerías de ellas? Echemos un vistazo a algunos de los métodos de ataque más comunes. Leer más y las estafas de phishing Cómo detectar un correo electrónico de phishing Cómo detectar un correo electrónico de phishing ¡Atrapar un correo electrónico de phishing es difícil! Los estafadores se hacen pasar por PayPal o Amazon, intentando robar su contraseña y la información de su tarjeta de crédito, y su engaño es casi perfecto. Te mostramos cómo detectar el fraude. Lee mas .

Después de muchas violaciones de datos, a menudo le aconsejamos que cambie sus contraseñas, comience a utilizar un administrador de contraseñas. Cómo los administradores de contraseñas mantienen seguras sus contraseñas. Cómo los que administran contraseñas mantienen sus contraseñas seguras. ¿Quieres estar seguro? Necesita un administrador de contraseñas. Así es como funcionan y cómo te mantienen seguro. Lea más, suscríbase a HaveIBeenPwned Revise ahora y vea si sus contraseñas se han filtrado. Revise ahora y vea si sus contraseñas se han filtrado. Esta ingeniosa herramienta le permite verificar cualquier contraseña para ver si alguna vez fue parte de una fuga de datos. Lea más, habilite la autenticación de dos factores Qué es la autenticación de dos factores y por qué debe usarla Qué es una autenticación de dos factores y por qué debe usarla La autenticación de dos factores (2FA) es un método de seguridad que requiere dos formas diferentes de probar su identidad. Se utiliza comúnmente en la vida cotidiana. Por ejemplo, pagar con una tarjeta de crédito no solo requiere la tarjeta,… Lea más siempre que sea posible, y mejore su higiene cibernética Mejore su higiene cibernética en 5 pasos sencillos Mejore su higiene cibernética en 5 pasos sencillos En el mundo digital, la "higiene cibernética" es Tan importante como la higiene personal del mundo real. Se necesitan controles regulares del sistema, junto con nuevos hábitos en línea más seguros. ¿Pero cómo puedes hacer estos cambios? Lee mas . Si bien ninguno de estos lo protegerá directamente contra la fuga de Equifax, reforzar su seguridad no le hará daño. Quizás dadas las circunstancias, incluso valdría la pena hacer un esfuerzo adicional y realizar un chequeo de seguridad completo. Protéjase con un chequeo anual de seguridad y privacidad Protéjase con un chequeo anual de seguridad y privacidad Estamos a casi dos meses del año nuevo, pero hay Todavía es tiempo de hacer una resolución positiva. Olvídese de tomar menos cafeína; estamos hablando de tomar medidas para salvaguardar la seguridad y la privacidad en línea. Lee mas .

Equihaxxed

La brecha de Equifax probablemente será el evento de seguridad más destacado en un año desenfrenado con brechas de datos y ataques de ransomware. Al igual que con otros eventos de seguridad de alto perfil, como WannaCry y el flujo interminable de fugas de datos, hay un aspecto positivo en la sorprendente naturaleza de la violación de Equifax. Al llamar la atención del público sobre la seguridad de los datos, la información crediticia y la mala práctica corporativa, existe la oportunidad de que estos asuntos se discutan y mitiguen. Esperamos que la fuerte respuesta de muchos senadores de los Estados Unidos garantice que esta brecha no desaparezca en el fondo. Equifax ha admitido al menos que se requieren algunos cambios de personal: el Director de información y el Director de seguridad han “retirado” como resultado.

A pesar de su alto perfil y gran alcance, todavía no hay información sobre quiénes fueron los atacantes. Por su parte, Equifax se ha mantenido totalmente en silencio sobre el asunto, en consonancia con el resto de su respuesta mal gestionada. Pocos días después de que la violación se hiciera pública, surgió un grupo que afirmaba tener los datos y exigió un rescate de 600 Bitcoins. Después de que los investigadores descubrieron el servicio de alojamiento del sitio .onion, se cerró de inmediato.

Por separado, un grupo que se hacía llamar Equihax también afirmaba estar en posesión de los datos, pero no ofrecía pruebas verificables. Dado lo potencialmente lucrativos que son los datos, puede estar seguro de que no pasará mucho tiempo antes de que los hackers intenten cobrar.

¿Fue afectado por la violación de seguridad de Equifax? ¿Crees que es culpa de Equifax, y podrían haber hecho más para protegerte? Háganos saber en los comentarios.!

Crédito de la imagen: stevanovicigor / Depositphotos

Explorar más sobre: ​​Tarjeta de crédito, seguridad en línea, violación de seguridad.