Equihax, l'une des violations les plus calamiteuses de tous les temps

Equihax, l'une des violations les plus calamiteuses de tous les temps / Sécurité

Lors d'un après-midi tranquille début septembre 2017, Equifax a révélé une violation de sécurité extraordinaire qui aurait touché près de 200 millions de personnes dans le monde. Étant donné que la société avait découvert la brèche pour la première fois en juillet, cela aurait dû laisser suffisamment de temps pour préparer une réponse et une solution pour toutes les personnes concernées. Au lieu de cela, Equifax a ensuite fourni au monde un exemple parfait de la façon dont ne pas gérer une faille de sécurité majeure.

L’énorme portée de la fuite de données, le jargon juridique déroutant et les sites Web de réponse hideusement insécurisés ont tout compris. Ajoutez à cela des allégations de délit d'initié, une mauvaise communication, une baisse de 30% de la valeur des actions, ainsi que de nouvelles fuites de données, et la société semble s'être préparée à une chute spectaculaire. Eh bien, autant de grâce qu’une agence d’évaluation du crédit à laquelle vous n’avez jamais explicitement consenti à transmettre vos données sensibles peut avoir.

EquiBreach

La première déclaration d'Equifax sur la violation a déclaré que jusqu'à 144 millions d'Américains auraient pu voir leurs informations de crédit compromises. Cela incluait les noms, adresses, numéros de sécurité sociale (SSN), dates de naissance et registres financiers. La société a également indiqué que les numéros de carte de crédit de 209 000 consommateurs américains étaient inclus dans la violation. En outre, des dossiers de différends contenant des informations d'identification personnelles concernant 189 000 personnes ont été divulgués.

Les premiers rapports dans les médias ont désigné les personnes touchées comme des clients d'Equifax. Cependant, vous n'êtes pas vraiment client d'Equifax, Experian, TransUnion ou de toute autre agence d'évaluation du crédit. Ces agences collectent des données auprès de différents fournisseurs de services et de produits financiers. Les données sont ensuite utilisées pour générer votre pointage de crédit, permettant ainsi à un prêteur d'évaluer le risque que vous posez. Demander un prêt, une carte de crédit ou une hypothèque? Voici comment est prise la décision.

Évaluation d'impact et TrustedID Premier

Pour vous indemniser de la perte des données de près de la moitié de la population adulte américaine, Equifax a créé un site Web, equifaxsecurity2017.com. Ici, vous pouvez entrer votre nom et votre SSN partiel et savoir si vos coordonnées font partie de celles qui ont été divulguées. De plus, vous pouvez vous inscrire à leur service, TrustedID Premier. Il s'agit d'un outil de suivi des rapports de crédit et du SSN auprès de trois bureaux, complémentaire des consommateurs américains pendant un an..

Pourtant, dans leur divulgation initiale, et pendant une semaine après, Equifax était remarquablement silencieux sur les détails. Le type d'attaque, le coupable et les raisons pour lesquelles il a pu continuer si longtemps, sans détection, sont restés secrets..

Cela a conduit beaucoup à penser qu'il y avait une culpabilité du côté d'Equifax. Six jours plus tard, et après un immense tollé public et les interventions d'un groupe de sénateurs bipartites, Equifax a finalement admis que l'attaque reposait sur un exploit connu d'Apache Strut (CVE-2017-5638) - un correctif qui a été publié en mars 2017, deux mois plus tard. avant la violation d'Equifax. Cela a prouvé que, tout comme avec WannaCry au début de l’année, l’attaque mondiale contre le ransomware et la protection de vos données l’attaque mondiale contre le ransomware et la protection de vos données Une cyberattaque massive a frappé des ordinateurs du monde entier. Avez-vous été affecté par le ransomware à réplication automatique très virulent? Si non, comment pouvez-vous protéger vos données sans payer la rançon? Lire la suite, ne pas mettre à jour votre logiciel peut avoir des conséquences dévastatrices.

Pas seulement les consommateurs américains

Bien qu’elle n’ait pas été divulguée d’emblée, Equifax a été forcée d’admettre que les informations d’un “nombre limité” du Royaume-Uni et des résidents canadiens a également été incluse dans la brèche. Près de 44 millions de consommateurs britanniques n’étaient peut-être même pas au courant du fait que l’agence de crédit américaine disposait de leurs données. Cependant, il leur avait été fourni par des sociétés telles que BT, British Gas et Capital One. Le bras britannique de l'agence de crédit a annoncé vendredi 15 septembre en début de soirée que 400 000 résidents du Royaume-Uni étaient touchés. Cette tentative présumée d’enterrer la nouvelle a révélé une “échec du processus” qui a duré une demi-décennie. Pourtant, aucune orientation n'a été offerte aux résidents du Royaume-Uni ou du Canada.

Les maux du site Web d'Equifax

Pour des raisons qui restent à expliquer, Equifax a lancé un site Web distinct pour répondre à la violation. Étant donné que le site a été créé en réponse à une faille de sécurité majeure, vous pouvez imaginer que toutes les précautions auraient été prises pour que le site soit un phare de la stabilité. Au lieu de cela, le grand nombre de consommateurs américains souhaitant vérifier leurs informations les a submergés. Cela a empêché de nombreuses personnes d'accéder au site ou de charger les résultats de leur analyse d'impact..

@briankrebs Avez-vous vu l'OpenDNS bloquer la page d'inscription d'Equifax? Appelant ça du spam? pic.twitter.com/xqvr8wJyM0

- Nick Frichette (@Frichette_n) 8 septembre 2017

Même à ce moment-là, le nombre de visiteurs du site aurait pu être plus important s'il n'y avait pas eu une mauvaise configuration du site. Dans le livre de la plupart des gens, un site Web hors domaine avec des mots clés douteux semble être une arnaque par hameçonnage. OpenDNS a semblé d'accord et a bloqué l'accès au site Web pour de nombreux utilisateurs. Pour renforcer le sens de l'ironie, pour compléter votre évaluation, vous devez entrer les six derniers chiffres de votre numéro de sécurité sociale. Ce sont les mêmes données qu'Equifax a déjà prouvées qu'elles ne peuvent pas protéger!

Résultats non vérifiables

Quelques heures après le lancement du site, il a été signalé que vous ne pouviez même pas faire confiance aux résultats de leur évaluation d'impact. Entrer plusieurs fois les mêmes détails donnerait des réponses différentes quant à savoir si vous avez été affecté ou non. Certaines personnes ont même essayé d'entrer sciemment de fausses informations. Fait inquiétant, ils ont découvert qu'Equifax informerait la personne inexistante que leurs données avaient été divulguées.

Donc, à Equifax. Mon patron vient d'entrer un faux nom avec le numéro de sécurité sociale de son fils de 9 ans et le site a déclaré qu'il était touché..

- G.?? (@oh_sovivacious) 8 septembre 2017

Si vous étiez prêt à accepter le fait que vos données avaient été compromises, Equifax vous a salué par une déclaration vague au sujet de la violation et vous a encouragé à vous inscrire à TrustedID Premier. Etant donné qu'Equifax était la source de la violation, il semble de mauvais goût de vous encourager à vous inscrire à un essai gratuit gratuit d'un service de protection contre la fraude..

OMG, les codes de blocage de sécurité d’Equifax sont pires que je ne le pensais. Si vous bloquiez votre crédit aujourd'hui à 14 h 15 HE, par exemple, vous obtiendriez le code PIN 0908171415..

- Tony Webster (@webster) 9 septembre 2017

Ceux qui se sont inscrits sur TrustedID Premier ont pu geler leur crédit et se sont vu attribuer un code PIN de confirmation. Cependant, le code PIN semblait être un horodatage du moment où le gel a été effectué. Cela rendrait le code PIN inutile - il pourrait être facilement deviné, permettant à quiconque de déverrouiller votre gel des crédits. Malgré les refus initiaux, Equifax déclara plus tard qu'ils étaient en train de passer à une nouvelle méthode permettant de générer de manière aléatoire la génération de NIP. De plus, ils permettraient aux consommateurs de demander qu'un nouveau NIP soit envoyé à leur adresse postale enregistrée..

La débâcle juridique

Quand Equifax a lancé le site Web equifaxsecurity2017 pour la première fois, les conditions d'utilisation de TrustedID Premier semblaient impliquer que, si vous utilisiez le service, vous renonçiez à votre droit de participer à tout recours collectif contre la société à l'avenir. Le tollé suscité par cette injustice perçue a amené Equifax à publier une mise à jour le lendemain. Ils ont maintenant déclaré que la clause d'arbitrage n'était pas applicable à la violation de la sécurité.

Equifax offre des outils de surveillance et de protection contre le vol d’identité, mais en caractères d’imprimerie, une clause d’arbitrage et une dispense de recours collectif 1/3 pic.twitter.com/8F58B5qh4w

- Rhana Natour (@RNatourious) 8 septembre 2017

Cela a peu fait rassurer les personnes qui, de manière compréhensible, n’étaient pas convaincues, menant à une nouvelle déclaration près d’une semaine plus tard, déclarant “ont supprimé cette langue des Conditions d'utilisation TrustedID Premier et elle ne s'appliquera pas aux produits gratuits proposés en réponse à l'incident de cybersécurité ni aux réclamations liées à l'incident de cybersécurité proprement dit. La langue de l'arbitrage ne s'appliquera pas aux consommateurs qui se sont inscrits avant que la langue ait été supprimée.”

Pris à partie

Dans un mouvement qu'Equifax prétend être une coïncidence totale, à peine deux jours après la découverte de la brèche, trois dirigeants ont vendu des actions pour un montant total de 1,8 million de dollars. Cette vente importante a eu lieu quelques jours à peine après la découverte de la faille, mais plus d'un mois avant leur divulgation publique. Si les individus avaient connaissance de l'atteinte à la sécurité, ils contreviendraient aux lois sur le délit d'initié. Consciemment ou non, leur vente en temps opportun a été chanceuse. Au moment de la rédaction de cet article, les actions d'Equifax ont chuté de 30% depuis la divulgation de l'infraction..

Un groupe bipartite de 36 sénateurs envoie une lettre à la SEC, au MJ et à la FTC pour demander une enquête sur les ventes d'actions Equifax à la suite d'une violation de données. pic.twitter.com/xEApcjFFkP

- Kyle Griffin (@ kylegriffin1) 13 septembre 2017

Compte tenu de la nature hautement sensible de la violation, de nombreuses personnes concernées critiquent à l'évidence la sécurité laxiste d'Equifax. Par exemple, USA Today a signalé que dans les quelques jours suivant la divulgation, 23 poursuites avaient été intentées dans 14 États contre l'agence d'évaluation du crédit. Comme indiqué par Bloomberg, un recours collectif intenté en Oregon réclame des dommages-intérêts pouvant atteindre 7 milliards de dollars. Même si le tribunal devait accorder une somme aussi importante, cela équivaut à un peu moins de 500 dollars par personne. Cela semble-t-il suffisant pour compenser le risque de vol d'identité au cours de la vie??

Joshua Browder, le créateur du bot DoNotPay, a étendu ses fonctionnalités pour simplifier le processus de demande de dommages-intérêts à la Cour des petites créances pour des dommages liés à la violation par Equifax. Cela est admirable et contribue grandement à faciliter la digestion de la documentation juridique souvent complexe. Cependant, certains rapports ont affirmé que le bot DoNotPay, développé à l'origine pour vous aider à lutter contre les amendes de stationnement, pourrait automatiser l'ensemble du processus. Comme le note TechCrunch, tout ce que le bot fait vraiment, c'est d'aider à la paperasserie initiale - vous devez toujours vous défendre contre un procès..

Un mal de tête permanent dans le monde entier

S'il restait un doute sur les mauvaises pratiques de sécurité d'Equifax, alors un exemple de la branche argentine d'Equifax est susceptible de l'éliminer complètement. Rapporté pour la première fois par KrebsOnSecurity, un portail en ligne utilisé par les employés pour régler les litiges relatifs au crédit, nommé Veraz (vulnérable en espagnol), a été jugé vulnérable. Vous pouvez vous attendre à ce que la vulnérabilité soit technique, mais au lieu de cela, c’était l’un des problèmes de sécurité les plus élémentaires: les mauvais mots de passe. La combinaison incroyablement simpliste, et dans de nombreux cas par défaut, nom d'utilisateur et mot de passe de admin / admin a permis à quiconque s'est passé sur le site de se connecter au portail des employés.

Crédit d'image: KrebsOnSecurity

Étonnamment, cela vous a permis d'afficher, de modifier et de supprimer les noms d'utilisateur et les mots de passe de plus de 100 employés argentins d'Equifax. Dans chaque cas, les mots de passe en texte clair étaient identiques à ceux du nom d'utilisateur de l'employé. Si ce n'était pas assez grave, il y avait une zone du site avec 715 pages de rapports détaillés sur chaque plainte ou litige consigné avec Equifax. Cette information incluait le DNI (l'équivalent argentin du SSN) pour plus de 14 000 personnes - là encore, en texte clair. Equifax a rapidement mis le site hors ligne après avoir été contacté par KrebsOnSecurity, et enquête actuellement sur leur dernier faux pas en matière de sécurité..

Que pouvez-vous faire?

La première étape consiste à utiliser le site Web d'Equifax pour vérifier si vos données ont été affectées par la violation. Comment vérifier si vos données ont été volées lors de la violation Equifax Comment vérifier si vos données ont été volées lors de la violation par Equifax cela concerne jusqu'à 80% des utilisateurs américains de cartes de crédit. Êtes-vous un d'entre eux? Voici comment vérifier. Lire la suite . Cependant, comme les résultats peuvent être incohérents, il peut être préférable de supposer que vous avez été affecté. Comme la société a maintenant clarifié le langage, inscrivez-vous pour son service TrustedID Premier. Cela vous permettra de geler votre crédit. Comment empêcher le vol d’identité en gelant votre crédit Comment prévenir le vol d’identité en gelant votre crédit Vos données personnelles ont été compromises, mais votre identité n’a pas encore été volée. Pouvez-vous faire quelque chose pour atténuer vos risques? Eh bien, vous pouvez essayer de geler votre crédit - voici comment. Lisez Plus et empêchez toute personne qui ouvre un crédit en votre nom. Compte tenu de la nature sensible des données perdues dans la fuite, les fraudeurs risquent de colporter leurs marchandises, alors restez vigilant face à l'ingénierie sociale. Comment se protéger de ces 8 attaques d'ingénierie sociale Comment se protéger de ces 8 attaques d'ingénierie sociale techniques d'ingénierie un pirate informatique utiliserait-il et comment vous en protégeriez-vous? Jetons un coup d'œil à certaines des méthodes d'attaque les plus courantes. En savoir plus et arnaques par hameçonnage Comment repérer un courrier électronique de phishing? Comment repérer un courrier électronique de phishing? Les fraudeurs se font passer pour PayPal ou Amazon, essayant de voler votre mot de passe et les informations de votre carte de crédit, leur tromperie est presque parfaite. Nous vous montrons comment détecter la fraude. Lire la suite .

À la suite de nombreuses violations de données, nous vous conseillons souvent de changer vos mots de passe, commencez à utiliser un gestionnaire de mots de passe. Comment les gestionnaires de mots de passe préservent-ils vos mots de passe? Comment les gestionnaires de mots de passe préservent-ils vos mots de passe? Voulez-vous être en sécurité? Vous avez besoin d'un gestionnaire de mot de passe. Voici comment ils fonctionnent et comment ils vous protègent. En savoir plus, inscrivez-vous à HaveIBeenPwned Check Now et voyez si vos mots de passe ont déjà été filtrés Vérifiez maintenant et voyez si vos mots de passe ont déjà été filtrés Cet outil astucieux vous permet de vérifier si un mot de passe a déjà fait partie d'une fuite de données. En savoir plus, activer l'authentification à deux facteurs Qu'est-ce qu'une authentification à deux facteurs et pourquoi l'utiliser? Authentifier à deux facteurs et pourquoi l'utiliser L'authentification à deux facteurs (2FA) est une méthode de sécurité qui requiert deux méthodes différentes. de prouver votre identité. Il est couramment utilisé dans la vie quotidienne. Par exemple, payer avec une carte de crédit exige non seulement… Read More autant que possible, et améliorez votre cyber-hygiène Améliorez votre cyber-hygiène en 5 étapes faciles Améliorez votre cyber-hygiène en 5 étapes simples Dans le monde numérique, "cyber-hygiène" est aussi important que l'hygiène personnelle du monde réel. Des vérifications régulières du système sont nécessaires, ainsi que de nouvelles habitudes en ligne plus sûres. Mais comment pouvez-vous apporter ces changements? Lire la suite . Bien qu'aucun de ceux-ci ne vous protège directement contre la fuite d'Equifax, renforcer votre sécurité ne vous fera aucun mal. Peut-être, compte tenu des circonstances, il vaudrait peut-être la peine de faire un effort supplémentaire et de procéder à un contrôle de sécurité complet. Protégez-vous avec un contrôle annuel de sécurité et de confidentialité Protégez-vous avec un contrôle de sécurité annuel et de confidentialité Nous sommes presque deux mois dans le nouvel an, mais Il est encore temps de prendre une résolution positive. Oubliez boire moins de caféine - nous parlons de prendre des mesures pour protéger la sécurité et la confidentialité en ligne. Lire la suite .

Equihaxxed

La violation par Equifax sera probablement l'événement majeur de la sécurité au cours d'une année effrénée caractérisée par des violations de données et des attaques par ransomware. À l'instar d'autres événements de sécurité très médiatisés, tels que WannaCry et le flot incessant de fuites de données, il existe un point positif à trouver dans l'étonnante nature de la brèche d'Equifax. En attirant l'attention du public sur la sécurité des données, les rapports de crédit et les fautes professionnelles, il est possible de discuter et d'atténuer ces problèmes. La réaction ferme de nombreux sénateurs américains permettra, espérons-le, de faire en sorte que cette faille ne disparaisse pas au second plan. Equifax a au moins reconnu que certains changements de personnel étaient nécessaires - le responsable des technologies de l’information et le responsable de la sécurité ont “retraité” Par conséquent.

Malgré sa notoriété et sa portée considérable, il n’existe toujours aucune information sur l'identité des assaillants. De son côté, Equifax est restée totalement silencieuse sur la question, conformément au reste de leur réponse mal gérée. Quelques jours à peine après la publication de la brèche, un groupe a affirmé être en possession des données et a réclamé une rançon de 600 Bitcoin. Après que les chercheurs eurent découvert le service d'hébergement du site .onion, celui-ci fut rapidement arrêté.

Séparément, un groupe se faisant appeler Equihax a également affirmé être en possession des données, mais sans fournir de preuve vérifiable. Étant donné le potentiel potentiellement lucratif des données, vous pouvez être certains que les pirates informatiques ne vont pas tarder à tenter de retirer de l'argent..

Avez-vous été touché par la faille de sécurité d'Equifax? Croyez-vous qu’Equifax est à blâmer et auraient-ils pu faire plus pour vous protéger? Faites le nous savoir dans les commentaires!

Crédit d'image: stevanovicigor / Depositphotos

En savoir plus sur: Carte de crédit, sécurité en ligne, atteinte à la sécurité.