No puedo recordar una violación de datos anterior en la que el alcance público y la respuesta de la empresa violada hayan sido tan desordenados y mal concebidos como el que viene ahora mismo de la oficina de crédito de las tres grandes. equifaxque torpemente anunció el jueves que una intrusión puso en peligro los números de seguridad social y otra información de 143 millones de estadounidenses.
PROBLEMAS DEL SITIO WEB
Como se señaló en el artículo de última hora de ayer sobre esta filtración, el sitio web que Equifax anunciaba como el lugar al que podían acudir los estadounidenses preocupados para averiguar si se vieron afectados por esta filtración: equifaxsecurity2017.com —
está completamente roto en el mejor de los casos, y poco más que una táctica dilatoria o una farsa en el peor de los casos.
En las primeras horas posteriores al anuncio de la infracción, varios navegadores señalaron el sitio como una amenaza de phishing. En algunos casos, a las personas que visitaron el sitio se les dijo que no estaban afectadas, solo para descubrir que recibieron una respuesta diferente cuando revisaron el sitio con la misma información en sus teléfonos móviles.
Otros (incluido yo mismo) no recibimos una respuesta de sí o no a la pregunta de si nos vimos afectados, sino un mensaje de que los servicios de control de crédito para los que éramos elegibles no estaban disponibles y que volviéramos a consultar más adelante en el mes. El sitio pedía a los usuarios que ingresaran su apellido y los últimos seis dígitos de su SSN, pero ante la solicitud del comentario de un lector, confirmé que solo ingresar nombres y números incomprensibles produjo el mismo resultado que vi cuando ingresé mi información real: Vuelve el 13 de septiembre.
¿Quién es el responsable de esta debacle? Bueno, Equifax por supuesto. Pero la mayoría de las grandes empresas que pueden permitírselo contratan empresas externas de relaciones públicas o de respuesta a desastres para guiarlas a través de las formas más seguras de notificar a los consumidores afectados. En este caso, Equifax parece haber contratado a una firma global de relaciones públicas. Edelman PR.
¿Qué me da esta idea? Hasta hace apenas un par de horas, la copia de WordPress instalado en equifaxsecurity2017.com incluía una entrada de base de datos de usuarios de acceso público que mostraba que un usuario llamado «Edelman» era el primer (¿y único?) usuario registrado en el sitio.
El código que estaba disponible públicamente en equifaxsecurity2017.com hasta hace muy poco mostraba información de la cuenta de una empresa de relaciones públicas externa.
Me comuniqué con Edelman para obtener más información y actualizaré esta historia cuando tenga noticias de ellos.
¿ADVERTENCIA TEMPRANA?
En su divulgación de violación del jueves, Equifax dijo que contrató a una firma forense de seguridad informática externa para investigar tan pronto como descubrió un acceso no autorizado a su sitio web. ZDNet publicado una historia el jueves diciendo que la empresa externa tenía su sede en Alexandria, Va. mandante — una empresa de seguridad comprada por ojo de fuego en 2014.
Curiosamente, cualquier persona que haya estado monitoreando dominios similares para Equifax.com antes del anuncio de incumplimiento de ayer puede haber tenido una pista temprana sobre el próximo anuncio. Un dominio interesante que se registró el 5 de septiembre de 2017 es «equihax.com”, que según los registros de registro de dominio fue comprado por un residente de Alexandria, Virginia llamado brandan schondofer.
Una búsqueda rápida en Google muestra que Schondorfer trabaja para Mandiant. ray watsonun investigador de seguridad cibernética que me envió un mensaje esta mañana en Twitter sobre esta curiosidad, dijo que es probable que Mandiant haya estado registrando dominios que podrían ser atractivos para los phishers con la esperanza de aprovechar la atención pública sobre la violación y falsificar el dominio de Equifax.
Watson dijo que es igualmente probable que el dominio equihax.com se haya registrado para mantenerlo fuera del alcance de las personas que pueden estar buscando nombres de dominio que puedan usar para satirizar a Equifax por su incumplimiento. Schondorfer aún no ha devuelto las llamadas en busca de comentarios.
¿LOS EJECUTIVOS DE EQUIFAX TIRAN PARACAÍDAS DE ORO?
Bloomberg movió una historia ayer indicando que tres altos ejecutivos de Equifax vendieron millones de dólares en acciones durante el tiempo entre el momento en que la compañía dice que descubrió la brecha y cuando notificó al público y a los inversionistas.
Acciones de las acciones de Equifax en la Bolsa de Valores de Nueva York [NSYE:EFX] bajaron más del 13 por ciento en el momento de la publicación en comparación con el precio de ayer.
Según los informes, los ejecutivos le dijeron a Bloomberg que no sabían sobre la violación cuando vendieron sus acciones. Un bufete de abogados de Nueva York ya ha Anunciado está investigando posibles reclamos de tráfico de información privilegiada contra Equifax.
¿EXENCIÓN DE DEMANDA COLECTIVA?
La historia de ayer aquí señaló el gran conflicto de intereses en el remedio del consumidor de Equifax para esta infracción: Ofrecer un año de servicios gratuitos de control de crédito a todos los estadounidenses a través de su propio servicio interno de control de crédito.
Esto es particularmente enriquecedor porque a) ¿por qué alguien debería confiar en Equifax para hacer algo bien en cuanto a la seguridad después de esta debacle yb) estos servicios de monitoreo de crédito generalmente obligan a los consumidores a inscribirse en planes de protección de crédito pagados cuando vence la cobertura gratuita.
Texto de los términos de servicio del servicio de control de crédito de Equifax, TrustID Premier.
En repetidas ocasiones, he instado a los lectores a que consideren congelar sus cuentas por seguridad en lugar de aceptar estas ofertas gratuitas de monitoreo de crédito, o además de aceptarlas, señalando que los servicios de monitoreo de crédito no lo protegen contra el robo de identidad (lo máximo que puede esperar es que alertarle cuando los ladrones de identidad roben su identidad), mientras que los bloqueos de seguridad pueden evitar que los ladrones obtengan nuevas líneas de crédito a su nombre.
Varios lectores han escrito para señalar alguna jerga legal en el términos de servicio Equifax requiere que todos los usuarios reconozcan antes de suscribirse al servicio parece incluir verborrea legal que sugiere que aquellos que se suscriban al servicio gratuito renunciarán a sus derechos de participar en futuras demandas colectivas contra la empresa.
KrebsOnSecurity todavía está esperando noticias de un abogado real que esté analizando este contrato, pero permítanme ofrecer mi granito de arena al respecto.
Actualización, 9:45 p. m. ET: Equifax ha actualizado su página de alerta de incumplimiento para incluir la siguiente respuesta con respecto a la jerga legal poco clara:
“En respuesta a las consultas de los consumidores, hemos dejado en claro que la cláusula de arbitraje y la renuncia a demanda colectiva incluidas en los términos de uso de Equifax y TrustedID Premier no se aplican a este incidente de seguridad cibernética”.
historia original:
Es casi seguro que Equifax se verá a sí misma como el objetivo de múltiples demandas colectivas como resultado de esta infracción, pero no hay garantía de que esas demandas lleguen hasta el final y resulten en una ganancia monetaria inesperada para los consumidores afectados.
Incluso cuando estos casos dan como resultado una victoria para la clase de demandantes, puede llevar años. Después de que KrebsOnSecurity publicara la historia en 2013 de que Experian había dado acceso a 200 millones de registros de consumidores a un hombre vietnamita que dirigía un servicio de robo de identidad, dos bufetes de abogados diferentes presentaron demandas colectivas contra Experian.
Ese caso finalmente fue desestimado de la corte federal y remitido a la corte estatal, donde está en curso. Ese caso fue presentado en 2015.
Para cerrar el tema de las demandas civiles como una forma de responsabilizar a las empresas por la falta de seguridad, las acciones colectivas, incluso cuando tienen éxito, rara vez resultan en un gran beneficio financiero para los consumidores afectados (muy a menudo la «recompensa» es una tarjeta de regalo o dos -dígito en dólares por víctima), al tiempo que enriquece enormemente a los bufetes de abogados que presentan las demandas.
En mi opinión, estas demandas colectivas sirven principalmente para aliviar la presión de los legisladores y reguladores de hacer algo que en realidad podría evitar más prácticas de seguridad descuidadas en el futuro para el víctima empresas culpables. Y como señalé en la historia de ayer, las agencias de crédito han demostrado una y otra vez que son administradores terriblemente poco confiables de los datos confidenciales de los consumidores: esta vez, los intrusos pudieron ingresar porque Equifax aparentemente se retrasó en parchear sus aplicaciones web orientadas a Internet. .
En mayo, KrebsOnSecurity informó que los estafadores explotaron la seguridad laxa en la división de nómina TALX de Equifax, que brinda servicios de nómina, recursos humanos e impuestos en línea. En 2015, una brecha en Experian puso en peligro los datos personales de al menos 15 millones de consumidores.
CAPITALIZANDO EL MIEDO
Hablando de Experian, la compañía ahora se está aprovechando del temor público por la filtración: a través del hashtag #equifaxbreach, por ejemplo — para inscribir a las personas en su servicio de suscripción inteligentemente llamado «CreditLock» (nuevamente, la punta del sombrero para @rayjwatson).
“Cuando tiene Experian Identity Theft Protection, puede bloquear o desbloquear instantáneamente su archivo de crédito de Experian con el simple clic de un botón”, dice con entusiasmo el anuncio. “Experian le brinda acceso instantáneo a su informe de crédito”.
En primer lugar, todos los consumidores tienen el derecho legal de acceder instantáneamente a su informe de crédito a través del sitio web, annualcreditreport.com. Este sitio, ordenado por el Congreso, otorga a los consumidores el derecho a un informe crediticio gratuito de cada una de las tres agencias principales (Equifax, Trans Union y Experian) cada año.
En segundo lugar, todos los consumidores tienen derecho a solicitar que las agencias «congelen» sus archivos de crédito, lo que impide que los acreedores potenciales o cualquier otra persona vean su historial de crédito o archivo de crédito a menos que descongele el congelamiento (temporal o permanentemente).
No he ocultado mi desdén por la práctica de las empresas que ofrecen monitoreo de crédito a raíz de una violación de datos, especialmente en los casos en que la violación solo involucra cuentas de tarjetas de crédito, ya que los servicios de monitoreo de crédito generalmente solo buscan fraudes de cuentas nuevas y hacen poco. o nada para prevenir el fraude en las cuentas de crédito al consumo existentes.
Los servicios de control de crédito rara vez evitan que los ladrones de identidad roben su identidad. Lo máximo que puede esperar de estos servicios es que lo alertarán tan pronto como alguien robe su identidad. Además, los servicios pueden ser útiles para ayudar a las víctimas a recuperarse del robo de identidad.
Mi consejo: Regístrese para el monitoreo de crédito si puede (y no está esperando una ganancia inesperada de una demanda colectiva insignificante) y luego congele sus archivos de crédito en las principales agencias de crédito (generalmente no es posible registrarse para servicios de monitoreo de crédito después de una congelación está en su lugar). Una vez más, aquí encontrará consejos sobre cómo presentar un congelamiento.
Ya sea que esté considerando un congelamiento, monitoreo de crédito o una alerta de fraude (otra tercera opción mucho menos restrictiva), tómese un momento para leer esta historia en su totalidad. Incluye una gran cantidad de información que no se puede compartir en una breve columna aquí.
Relacionado:
Breach Blind Spot pone a los minoristas a la defensiva – Krebs on Security
Venta forzosa de tarjetas robadas en Target Breach – Krebs on Security
Premera Blue Cross Breach expone registros médicos y financieros – Krebs on Security
Carefirst Blue Cross Breach llega a 1,1 millones – Krebs on Security
