Edmund Richardson
0 
2881
162
En una tarde tranquila a principios de septiembre de 2017, Equifax reveló una violación de seguridad extraordinaria que se estima que afectó a casi 200 millones de personas en todo el mundo. Dado que la compañía descubrió la violación por primera vez en julio, eso debería haber proporcionado tiempo suficiente para prepararse para una respuesta y solución para todas las personas afectadas. En cambio, Equifax procedió a proporcionar al mundo un ejemplo perfecto de cómo no para manejar una violación de seguridad importante.
Desde el enorme alcance de la fuga de datos, la jerga legal confusa y los sitios web de respuesta horriblemente inseguros, Equifax lo tenía todo. Agregue las acusaciones de información privilegiada, mala comunicación, una caída del 30 por ciento en el valor de las acciones, junto con más filtraciones de datos, y la compañía parecía haberse preparado para una dramática caída en desgracia. Bueno, tanta gracia como una agencia de informes de crédito que nunca acordó explícitamente entregar sus datos confidenciales..
EquiBreach
La primera declaración de Equifax sobre la violación dijo que hasta 144 millones de estadounidenses pueden haber visto comprometida su información crediticia. Esto incluía nombres, direcciones, números de Seguro Social (SSN), fechas de nacimiento y registros financieros. La compañía también informó que los números de tarjeta de crédito para 209,000 consumidores estadounidenses se incluyeron en la violación. Además, se han filtrado registros de disputas con información de identificación personal para 189,000 personas.
Los informes iniciales en los medios se referían a las personas afectadas como clientes de Equifax. Sin embargo, usted no es realmente un cliente de Equifax, Experian, TransUnion ni ninguna otra agencia de informes crediticios. Estas agencias recopilan datos de diferentes servicios y proveedores de productos financieros. Los datos se utilizan para generar su puntaje de crédito, lo que permite a un prestamista evaluar el riesgo que usted plantea. ¿Solicita un préstamo, tarjeta de crédito o hipoteca? Así es como se toma la decisión.
Evaluación de impacto y TrustedID Premier
Para compensarlo por perder los datos de casi la mitad de la población adulta de EE. UU., Equifax creó un sitio web, equifaxsecurity2017.com. Aquí, puede ingresar su nombre y SSN parcial y averiguar si sus datos se encuentran entre los filtrados. Además, puede inscribirse en su servicio, TrustedID Premier. Este es un informe de crédito de tres oficinas y una herramienta de monitoreo de SSN, complementario a los consumidores estadounidenses por un año.
Sin embargo, en su revelación inicial, y durante una semana después, Equifax estuvo notablemente silencioso sobre los detalles. El tipo de ataque, el culpable y por qué pudo continuar durante tanto tiempo, sin ser detectado, permanecieron en secreto..
Esto llevó a muchos a sospechar que había culpabilidad por parte de Equifax. Seis días después, y después de una inmensa protesta pública e intervenciones de un grupo bipartidista de senadores, Equifax finalmente admitió que el ataque usó un exploit conocido de Apache Strut (CVE-2017-5638), un parche que se lanzó en marzo de 2017, dos meses antes de la violación de Equifax. Esto demostró que, al igual que con WannaCry a principios de año, The Global Ransomware Attack y cómo proteger sus datos. El Global Ransomware Attack y cómo proteger sus datos. ¿Te ha afectado el altamente virulento ransomware autorreplicante? Si no, ¿cómo puede proteger sus datos sin pagar el rescate? , no actualizar su software puede tener consecuencias devastadoras.
No solo consumidores estadounidenses
Aunque no se reveló desde el principio, Equifax se vio obligado a admitir que la información para un “número limitado” de los residentes del Reino Unido y Canadá también se incluyó en la violación. Es posible que hasta 44 millones de consumidores del Reino Unido ni siquiera hayan sabido que la agencia de crédito de EE. UU. Tenía sus datos. Sin embargo, se lo proporcionaron empresas como BT, British Gas y Capital One. El brazo de la agencia de crédito del Reino Unido anunció la tarde del viernes 15 de septiembre que 400,000 residentes del Reino Unido se vieron afectados. Este supuesto intento de enterrar la noticia reveló un “falla del proceso” que duró media década. Sin embargo, no se ha ofrecido orientación a los residentes del Reino Unido o Canadá..
Problemas del sitio web de Equifax
Por razones que aún no se han explicado, Equifax lanzó un sitio web separado para su respuesta a la violación. Dado que el sitio se configuró en respuesta a una violación importante de la seguridad, se imagina que se habrían tomado todas las precauciones para garantizar que el sitio fuera un faro brillante de estabilidad. En cambio, el gran volumen de consumidores estadounidenses que desean verificar su información los abrumaron. Esto dejó a muchos incapaces de acceder al sitio o cargar los resultados de su evaluación de impacto.
@briankrebs ¿Has visto que OpenDNS está bloqueando la página de registro de Equifax? ¿Llamarlo spam? pic.twitter.com/xqvr8wJyM0
- Nick Frichette (@Frichette_n) 8 de septiembre de 2017
Incluso entonces, los números que visitan el sitio pueden haber sido mayores si no hubiera sido por una configuración deficiente del sitio web. En el libro de la mayoría de las personas, un sitio web fuera del dominio con palabras clave cuestionables parecería ser una estafa de phishing. OpenDNS pareció estar de acuerdo y bloqueó el acceso al sitio web para muchos usuarios. Para aumentar la sensación de ironía, para completar su evaluación debe ingresar los últimos seis dígitos de su SSN. Estos son los mismos datos que Equifax ya ha demostrado que no pueden proteger.!
Resultados no verificables
A las pocas horas del lanzamiento del sitio, hubo informes de que ni siquiera podía confiar en los resultados de su evaluación de impacto. Ingresar los mismos detalles varias veces daría respuestas diferentes en cuanto a si fue afectado. Algunas personas incluso intentaron ingresar información falsa a sabiendas. Preocupantemente, descubrieron que Equifax le diría a la persona inexistente que sus datos se habían filtrado.
Entonces a Equifax. Mi jefe acaba de ingresar un nombre falso con el número de seguro social de su hijo de 9 años y el sitio dijo que estaba afectado.
- SOL.?? (@oh_sovivacious) 8 de septiembre de 2017
Si estaba dispuesto a aceptar que sus datos se habían visto comprometidos en el incumplimiento, Equifax lo saludó con una declaración vaga sobre el incumplimiento y lo alentó a inscribirse en TrustedID Premier. Dado que Equifax fue la fuente de la violación, parece de mal gusto que lo alentarían a suscribirse a una prueba gratuita de su propio servicio de protección contra el fraude.
OMG, los PIN de congelación de seguridad Equifax son peores de lo que pensaba. Si congeló su crédito hoy a las 2:15 pm ET, por ejemplo, obtendría el PIN 0908171415.
- Tony Webster (@webster) 9 de septiembre de 2017
Aquellos que se inscribieron en TrustedID Premier pudieron realizar una congelación de crédito y se les proporcionó un PIN de confirmación. Sin embargo, el PIN parecía ser una marca de tiempo de cuando se realizó la congelación. Esto haría que el PIN fuera inútil: podría adivinarse fácilmente, permitiendo que cualquiera desbloquee su congelación de crédito. A pesar de las negativas iniciales, Equifax luego dijo que estaban haciendo la transición a un nuevo método que aleatorizaría la generación de PIN. Además, permitirían a los consumidores solicitar que se envíe un nuevo PIN a su dirección de correo registrada.
El debate de las Legales
Cuando Equifax lanzó por primera vez el sitio web equifaxsecurity2017, los Términos de servicio para TrustedID Premier parecían implicar que al usar el servicio, renunciaba a su derecho a participar en cualquier demanda colectiva contra la compañía en el futuro. El alboroto ante esta injusticia percibida hizo que Equifax publicara una actualización al día siguiente. Ahora han declarado que la cláusula de arbitraje no era aplicable a la violación de seguridad.
Equifax ofrece paquetes de monitoreo y protección contra robo de identidad, pero en letra pequeña, una cláusula de arbitraje y una exención de demanda colectiva 1/3 pic.twitter.com/8F58B5qh4w
- Rhana Natour (@RNatourious) 8 de septiembre de 2017
Esto hizo poco para asegurar a las personas que estaban comprensiblemente poco convencidas, lo que llevó a una nueva declaración casi una semana después, afirmando que “ha eliminado ese lenguaje de los Términos de uso de TrustedID Premier y no se aplicará a los productos gratuitos ofrecidos en respuesta al incidente de ciberseguridad o para reclamos relacionados con el incidente de ciberseguridad en sí. El idioma de arbitraje no se aplicará a ningún consumidor que se haya registrado antes de que se elimine el idioma..”
Tomado a la tarea
En un movimiento que Equifax afirma ser una coincidencia total, solo dos días después de descubrir por primera vez la violación, tres altos ejecutivos vendieron acciones por un total de $ 1.8 millones. Esta importante venta fue solo unos días después de descubrir la violación, pero más de un mes antes de que la revelaran públicamente. Si las personas tuvieran conocimiento de la violación de la seguridad, estarían en contravención de las leyes de información privilegiada. A sabiendas o no, su venta oportuna fue afortunada. Al momento de escribir, las acciones de Equifax han caído un 30 por ciento desde la divulgación de la violación.
El grupo bipartidista de 36 senadores envía una carta a la SEC, el Departamento de Justicia y la FTC instando a que se investigue la venta de acciones de Equifax luego de la violación de datos. pic.twitter.com/xEApcjFFkP
- Kyle Griffin (@ kylegriffin1) 13 de septiembre de 2017
Dada la naturaleza altamente sensible de la violación, muchas personas afectadas son comprensiblemente críticas con la aparente seguridad laxa de Equifax. Por ejemplo, USA Today informó que en los pocos días posteriores a la divulgación, se presentaron 23 demandas en 14 estados contra la agencia de informes de crédito. Según lo informado por Bloomberg, una demanda colectiva presentada en Oregon busca daños y perjuicios de hasta $ 7 mil millones. Incluso si el tribunal otorgara una suma tan grande, equivale a poco menos de $ 500 por persona. ¿Parece esto suficiente para compensar el riesgo de robo de identidad de por vida??
Joshua Browder, el creador del bot DoNotPay, amplió su funcionalidad para simplificar el proceso de solicitud ante el tribunal de reclamos menores por daños relacionados con la violación de Equifax. Esto es admirable y contribuye en gran medida a que la documentación legal, a menudo compleja, sea más fácil de digerir. Sin embargo, algunos informes afirman que el bot DoNotPay, desarrollado originalmente para ayudarlo a combatir las multas de estacionamiento, podría automatizar todo el proceso. Como señala TechCrunch, todo lo que el bot realmente hace es ayudar con el papeleo inicial: aún tiene que pelear el caso en la corte.
Un dolor de cabeza continuo en todo el mundo
Si quedaba alguna duda sobre las malas prácticas de seguridad de Equifax, es probable que un ejemplo del brazo argentino de Equifax lo elimine por completo. Primero reportado por KrebsOnSecurity, se descubrió que un portal en línea utilizado por los empleados para resolver disputas de crédito llamado Veraz (que significa verdad en español) era vulnerable. Puede esperar que la vulnerabilidad sea técnica, pero en cambio, fue una de las fallas de seguridad más básicas: contraseñas incorrectas. La combinación increíblemente simplista, y en muchos casos predeterminada, de nombre de usuario y contraseña de admin / admin permitió que cualquier persona que sucedió en el sitio iniciara sesión en el portal de empleados.
Crédito de imagen: KrebsOnSecurity
Sorprendentemente, esto le permitió ver, editar y eliminar nombres de usuario y contraseñas para más de 100 empleados argentinos de Equifax. En cada caso, se encontró que las contraseñas de texto sin formato coinciden con el nombre de usuario del empleado. Si eso no fuera lo suficientemente grave, había un área del sitio con 715 páginas de informes detallados sobre cada queja o disputa registrada con Equifax. Esta información incluía el DNI (el equivalente argentino del SSN) para más de 14,000 personas, nuevamente, todo en texto sin formato. Equifax rápidamente desconectó el sitio después de ser contactado por KrebsOnSecurity, y actualmente está investigando su último paso en falso de seguridad.
Qué puedes hacer?
El primer paso es usar el sitio web de Equifax para verificar si sus datos se vieron afectados por la violación. Cómo verificar si sus datos fueron robados en Equifax Breach. Cómo verificar si sus datos fueron robados en Equifax Breach News. eso afecta hasta el 80 por ciento de todos los usuarios de tarjetas de crédito de EE. UU. ¿Es usted uno de ellos? Aquí le mostramos cómo verificarlo. . Sin embargo, como los resultados pueden ser inconsistentes, puede ser mejor asumir que usted fue afectado. Como la compañía ahora ha aclarado el lenguaje que lo rodea, regístrese en su servicio TrustedID Premier. Esto le permitirá realizar un congelamiento de crédito. Cómo prevenir el robo de identidad congelando su crédito Cómo prevenir el robo de identidad congelando su crédito Sus datos personales han sido comprometidos, pero su identidad aún no ha sido robada. ¿Hay algo que pueda hacer para mitigar sus riesgos? Bueno, podrías intentar congelar tu crédito, así es como. y evitar que alguien abra crédito a su nombre. Dada la naturaleza sensible de los datos perdidos en la fuga, existe la posibilidad de que los estafadores vendan sus productos, así que manténganse alerta contra la ingeniería social Cómo protegerse de estos 8 ataques de ingeniería social Cómo protegerse de estos 8 ataques de ingeniería social Qué social ¿Qué técnicas de ingeniería utilizaría un hacker y cómo se protegería de ellas? Echemos un vistazo a algunos de los métodos de ataque más comunes. y estafas de phishing Cómo detectar un correo electrónico de phishing Cómo detectar un correo electrónico de phishing ¡Atrapar un correo electrónico de phishing es difícil! Los estafadores se hacen pasar por PayPal o Amazon, tratando de robar su contraseña y la información de su tarjeta de crédito, su engaño es casi perfecto. Le mostramos cómo detectar el fraude.. .
A raíz de muchas violaciones de datos, a menudo le aconsejamos que cambie sus contraseñas, comience a usar un administrador de contraseñas Cómo los administradores de contraseñas mantienen sus contraseñas seguras Cómo los administradores de contraseñas mantienen sus contraseñas seguras Las contraseñas difíciles de descifrar también son difíciles de recordar. ¿Quieres estar a salvo? Necesitas un administrador de contraseñas. Así es como funcionan y cómo lo mantienen a salvo. , regístrese en HaveIBeenPwned Compruebe ahora y vea si alguna vez se han filtrado sus contraseñas Compruebe ahora y vea si alguna vez se han filtrado sus contraseñas Esta herramienta ingeniosa le permite verificar cualquier contraseña para ver si alguna vez ha sido parte de una fuga de datos. , habilite la autenticación de dos factores Qué es la autenticación de dos factores y por qué debe usarla Qué es la autenticación de dos factores y por qué debe usarla La autenticación de dos factores (2FA) es un método de seguridad que requiere dos formas diferentes de probar tu identidad. Se usa comúnmente en la vida cotidiana. Por ejemplo, pagar con tarjeta de crédito no solo requiere la tarjeta, ... siempre que sea posible, y mejorar su higiene cibernética Mejore su higiene cibernética en 5 pasos sencillos Mejore su higiene cibernética en 5 pasos sencillos En el mundo digital, la "higiene cibernética" es tan importante como la higiene personal del mundo real. Se necesitan verificaciones regulares del sistema, junto con nuevos hábitos en línea más seguros. Pero, ¿cómo puedes hacer estos cambios? . Si bien ninguno de estos lo protegerá directamente contra la fuga de Equifax, reforzar su seguridad no le hará daño. Quizás dadas las circunstancias, incluso valdría la pena hacer un esfuerzo adicional y realizar un chequeo de seguridad completo. Protéjase con un chequeo anual de seguridad y privacidad Protéjase con un chequeo anual de seguridad y privacidad Estamos casi dos meses en el nuevo año, pero hay Todavía es hora de hacer una resolución positiva. Olvídese de beber menos cafeína: estamos hablando de tomar medidas para salvaguardar la seguridad y la privacidad en línea. .
Equihaxxed
La violación de Equifax probablemente será el evento de seguridad más destacado en un año desenfrenado con violaciones de datos y ataques de ransomware. Al igual que con otros eventos de seguridad de alto perfil como WannaCry y el flujo interminable de fugas de datos, hay un lado positivo en la naturaleza asombrosa de la violación de Equifax. Al llamar la atención del público sobre la seguridad de los datos, los informes crediticios y las malas prácticas corporativas, existe la oportunidad de debatir y mitigar estos asuntos. La fuerte respuesta de muchos senadores de EE. UU. Asegurará que esta violación no desaparezca en el fondo. Equifax al menos admitió que se requieren algunos cambios de personal: el Director de Información y el Director de Seguridad tienen “retirado” como resultado.
A pesar de su alto perfil y gran alcance, todavía no hay información sobre quiénes fueron los atacantes. Por su parte, Equifax ha permanecido completamente en silencio sobre el asunto, en consonancia con el resto de su respuesta mal administrada. Pocos días después de que se hiciera pública la violación, surgió un grupo que afirmaba tener los datos y exigió un rescate de 600 Bitcoin. Después de que los investigadores descubrieron el servicio de alojamiento del sitio .onion, se cerró rápidamente.
Por separado, un grupo que se hace llamar Equihax también afirmó estar en posesión de los datos, pero no ofreció ninguna prueba verificable. Dado lo potencialmente lucrativos que son los datos, puede estar seguro de que los hackers no tardarán mucho en intentar cobrar.
¿Le afectó la violación de seguridad de Equifax? ¿Crees que Equifax tiene la culpa, y podrían haber hecho más para protegerte? Háganos saber en los comentarios!
Haber de imagen: stevanovicigor / Depositphotos