Par un après-midi tranquille au début de septembre 2017, Equifax a révélé une violation de sécurité extraordinaire qui, selon les estimations, a touché près de 200 millions de personnes dans le monde. Étant donné que l'entreprise avait découvert la brèche en juillet, cela aurait dû donner suffisamment de temps pour préparer une réponse et une solution pour toutes les personnes touchées. Au lieu de cela, Equifax a fourni au monde un exemple parfait de la façon de ne pas gérer une violation majeure de la sécurité.
De la portée énorme de la fuite de données, du jargon juridique confus, et des sites de réponse honteusement insécurisés, Equifax avait tout. Ajoutons des allégations de délits d'initiés, une mauvaise communication, une baisse de 30% de la valeur boursière, ainsi que d'autres fuites de données, et la société semble s'être mise en place pour une chute spectaculaire. Eh bien, autant de grâce qu'une agence d'évaluation du crédit que vous n'avez jamais explicitement accepté de transmettre vos données sensibles.
EquiBreach
La première déclaration d'Equifax sur la violation a indiqué que jusqu'à 144 millions d'Américains ont pu avoir leurs informations de crédit compromises. Cela incluait les noms, adresses, numéros de sécurité sociale (SSN), dates de naissance et dossiers financiers. La société a également signalé que les numéros de carte de crédit pour 209 000 consommateurs américains ont été inclus dans la violation. En outre, des dossiers de litiges contenant des informations d'identification personnelle pour 189 000 personnes ont été divulgués.
Les premiers rapports dans les médias mentionnaient les personnes touchées comme clients d'Equifax. Cependant, vous n'êtes pas vraiment un client d'Equifax, d'Experian, de TransUnion ou de toute autre agence d'évaluation du crédit. Ces organismes recueillent des données auprès d'un certain nombre de différents services et fournisseurs de produits financiers. Les données sont ensuite utilisées pour générer votre pointage de crédit, ce qui permet à un prêteur d'évaluer le risque que vous présentez. Demander un prêt, une carte de crédit ou une hypothèque? C'est ainsi que la décision est prise.
Évaluation d'impact et TrustedID Premier
Pour vous indemniser de la perte des données de près de la moitié de la population adulte américaine, Equifax a créé un site Web, equifaxsecurity2017.com. Ici, vous êtes en mesure d'entrer votre nom et votre numéro de sécurité sociale partiel et de savoir si vos coordonnées figurent parmi celles qui ont été divulguées. En outre, vous pouvez vous inscrire à leur service, TrustedID Premier. Il s'agit d'un rapport de solvabilité de trois bureaux et d'un outil de surveillance SSN, complémentaire aux consommateurs américains depuis un an.
Pourtant, dans leur divulgation initiale, et pendant une semaine après, Equifax était remarquablement silencieux sur les détails. Le type d'attaque, le coupable, et pourquoi il a pu continuer si longtemps, sans détection, est resté un secret.
Cela a conduit beaucoup à soupçonner qu'il y avait une culpabilité du côté d'Equifax. Six jours plus tard, après un immense tollé et des interventions d'un groupe bipartisan de sénateurs, Equifax a finalement admis que l'attaque utilisait un exploit connu d'Apache Strut (CVE-2017-5638) - dont un correctif a été publié en mars 2017, deux mois avant la violation d'Equifax. Cela a prouvé que, comme avec WannaCry plus tôt dans l'année, l'attaque Global Ransomware et comment protéger vos données Global Ransomware Attack et comment protéger vos données Une cyberattaque massive a frappé des ordinateurs à travers le monde. Avez-vous été affecté par le rançongiciel auto-répliquant très virulent? Si non, comment pouvez-vous protéger vos données sans payer la rançon? Lire la suite, ne pas mettre à jour votre logiciel peut avoir des conséquences dévastatrices.
Pas seulement les consommateurs américains
Même si elle n'a pas été divulguée dès le départ, Equifax a été obligée d'admettre que l'information concernant un «nombre limité» de résidents britanniques et canadiens était également incluse dans la violation. Jusqu'à 44 millions de consommateurs britanniques ne savaient même pas que l'agence de crédit américaine avait leurs données. Cependant, il leur a été fourni par des sociétés telles que BT, British Gas et Capital One. La branche britannique de l'agence de crédit a annoncé en début de soirée, le vendredi 15 septembre, que 400 000 résidents britanniques étaient touchés. Cette tentative soupçonnée d'enterrer les nouvelles a révélé un «échec du processus» qui a duré une demi-décennie. Pourtant, aucune orientation pour les résidents britanniques ou canadiens n'a été offerte.
Le site Web d'Equifax
Pour des raisons qui n'ont pas encore été expliquées, Equifax a lancé un site Web distinct pour sa réponse à la violation. Étant donné que le site a été mis en place en réponse à une violation majeure de la sécurité, vous imagineriez que toutes les précautions auraient été prises pour s'assurer que le site était un phare de stabilité. Au lieu de cela, le grand nombre de consommateurs américains souhaitant vérifier leurs informations les a dépassés. Cela a empêché beaucoup d'entre eux d'accéder au site ou de charger les résultats de leur évaluation d'impact.
@briankrebs Avez-vous vu OpenDNS bloquer la page d'inscription d'Equifax? Appelez-le spam? pic.twitter.com/xqvr8wJyM0
- Nick Frichette (@Frichette_n) 8 septembre 2017
Même dans ce cas, les chiffres sur le site ont peut-être été plus élevés sans une mauvaise configuration du site Web. Dans le livre de la plupart des gens, un site Web hors domaine avec des mots clés douteux semble être une escroquerie de phishing. OpenDNS semble être d'accord et bloque l'accès au site pour de nombreux utilisateurs. Pour augmenter le sens de l'ironie, pour compléter votre évaluation, vous devez entrer les six derniers chiffres de votre numéro de sécurité sociale. Ce sont les mêmes données qu'Equifax a déjà prouvé qu'ils ne peuvent pas protéger!
Résultats invérifiables
Dans les heures qui ont suivi le lancement du site, certains rapports indiquaient que vous ne pouviez même pas faire confiance aux résultats de leur évaluation d'impact. Entrer les mêmes détails plusieurs fois donnerait des réponses différentes quant à savoir si vous étiez affecté. Certaines personnes ont même essayé d'entrer sciemment de fausses informations. Fait inquiétant, ils ont constaté qu'Equifax dirait à la personne inexistante que leurs données avaient été divulguées.
Donc, à Equifax. Mon patron vient d'entrer un faux nom avec le numéro de sécurité sociale de son fils de 9 ans et le site a dit qu'il était affecté.
- G.?? (@oh_sovivacious) 8 septembre 2017
Si vous étiez prêt à accepter que vos données avaient effectivement été compromises dans la violation, Equifax vous a accueilli avec une déclaration vague sur la violation et vous a encouragé à vous inscrire à TrustedID Premier. Étant donné qu'Equifax était la source de la violation, il semble de mauvais goût qu'ils vous encouragent à vous inscrire à un essai gratuit de leur propre service de protection contre la fraude.
OMG, les codes PIN de gel de sécurité d'Equifax sont pires que je ne le pensais. Si vous congelez votre crédit aujourd'hui 14h15 ET par exemple, vous obtiendrez le code PIN 0908171415.
- Tony Webster (@webster) 9 septembre 2017
Ceux qui se sont inscrits à TrustedID Premier ont pu effectuer un blocage de crédit et recevoir un code PIN de confirmation. Cependant, le NIP semblait être un horodateur du moment où le gel a été effectué. Cela rendrait le code PIN inutile - il pourrait facilement être deviné, permettant à quiconque de débloquer votre crédit. Malgré les dénégations initiales, Equifax a dit plus tard qu'ils étaient en train de passer à une nouvelle méthode qui permettrait de rendre aléatoire la génération de PIN. De plus, ils permettraient aux consommateurs de demander l'envoi d'un nouveau NIP à leur adresse postale enregistrée.
La débâcle juridique
Lorsque Equifax a lancé le site Web equifaxsecurity2017, les conditions d'utilisation de TrustedID Premier semblaient impliquer que, si vous utilisiez le service, vous renoncez à votre droit de participer à un recours collectif contre la société à l'avenir. Le tumulte à cette injustice perçue fait publier une mise à jour d'Equifax le lendemain. Ils ont maintenant déclaré que la clause d'arbitrage ne s'appliquait pas à la violation de la sécurité.
Equifax offre un service de surveillance et de protection contre le vol d'identité, mais en petits caractères, une clause d'arbitrage et une dispense d'action collective 1/3 pic.twitter.com/8F58B5qh4w
- Rhana Natour (@RNatourious) 8 septembre 2017
Cela n'a pas suffi à rassurer les gens qui n'étaient pas convaincus, ce qui a conduit à une nouvelle déclaration presque une semaine plus tard disant qu'ils "ont supprimé ce langage des Conditions d'utilisation de TrustedID Premier et ne s'appliqueront pas aux produits gratuits offerts en réponse à l'incident de cybersécurité ou pour les réclamations liées à l'incident de cybersécurité lui-même. Le langage d'arbitrage ne s'appliquera pas aux consommateurs qui se sont inscrits avant la suppression de la langue. "
Pris à la tâche
Dans un mouvement qu'Equifax prétend être une coïncidence totale, seulement deux jours après avoir découvert la brèche, trois cadres supérieurs ont vendu des actions totalisant 1, 8 million de dollars. Cette vente significative a été quelques jours après la découverte de la violation, mais plus d'un mois avant de les divulguer publiquement. Si les individus avaient connaissance de la violation de la sécurité, alors ils seraient en violation des lois sur le délit d'initié. Sciemment ou autrement, leur vente en temps opportun a été chanceuse. Au moment de la rédaction, les actions d'Equifax ont chuté de 30% depuis la divulgation de la violation.
Un groupe bipartisan de 36 sénateurs envoie une lettre à la SEC, au DOJ et à la FTC pour demander une enquête sur les ventes d'actions d'Equifax à la suite d'une violation de données. pic.twitter.com/xEApcjFFkP
- Kyle Griffin (@ kylegriffin1) 13 septembre 2017
Compte tenu de la nature hautement sensible de la violation, de nombreuses personnes touchées sont naturellement critiques de la sécurité laxiste apparente d'Equifax. Par exemple, USA Today a signalé que dans les quelques jours qui ont suivi la divulgation, 23 poursuites ont été intentées dans 14 États contre l'agence d'évaluation du crédit. Tel que rapporté par Bloomberg, un recours collectif déposé en Oregon demande des dommages-intérêts pouvant aller jusqu'à 7 milliards de dollars. Même si le tribunal accordait une telle somme, cela équivaudrait à un peu moins de 500 $ par personne. Cela semble-t-il suffisant pour compenser le risque de vol d'identité à vie?
Joshua Browder, le créateur du bot DoNotPay, a étendu sa fonctionnalité pour simplifier le processus de demande à la cour des petites créances pour les dommages liés à la violation d'Equifax. C'est admirable et contribue grandement à faciliter la digestion de la documentation juridique souvent complexe. Cependant, certains rapports ont prétendu que le bot DoNotPay, développé à l'origine pour vous aider à lutter contre les amendes de stationnement, pourrait automatiser l'ensemble du processus. Comme le note TechCrunch, tout ce que fait le bot, c'est d'aider à la paperasserie initiale - il faut encore se battre au tribunal.
Un mal de tête continu dans le monde
S'il subsistait un doute quant aux piètres pratiques de sécurité d'Equifax, un exemple de la filiale argentine d'Equifax risque de l'éliminer complètement. D'abord signalé par KrebsOnSecurity, un portail en ligne utilisé par les employés pour régler les litiges de crédit nommé Veraz (sens véridique en espagnol) a été jugé vulnérable. Vous pouvez vous attendre à ce que la vulnérabilité soit technique, mais au contraire, c'est l'un des échecs de sécurité les plus élémentaires: les mauvais mots de passe. La combinaison incroyablement simpliste, et par défaut, nom d'utilisateur et mot de passe d' admin / admin a permis à quiconque se trouvant sur le site de se connecter au portail des employés.
De manière choquante, cela vous a permis d'afficher, de modifier et de supprimer les noms d'utilisateur et les mots de passe de plus de 100 employés argentins d'Equifax. Dans chaque cas, les mots de passe en clair ont été jugés identiques au nom d'utilisateur de l'employé. Si ce n'était pas assez grave, il y avait une zone du site avec 715 pages de rapports détaillés sur chaque plainte ou différend enregistré avec Equifax. Cette information incluait le DNI (l'équivalent argentin du SSN) pour plus de 14 000 personnes - toujours en texte clair. Equifax a rapidement déconnecté le site après avoir été contacté par KrebsOnSecurity, et étudie actuellement leurs derniers faux pas en matière de sécurité.
Que pouvez-vous faire?
La première étape consiste à utiliser le site Web d'Equifax pour vérifier si vos données ont été touchées par la violation Comment vérifier si vos données ont été volées dans la violation Equifax Comment vérifier si vos données ont été volées dans Equifax Cela affecte jusqu'à 80% de tous les utilisateurs de cartes de crédit américaines. Êtes-vous un d'entre eux? Voici comment vérifier. Lire la suite . Cependant, comme les résultats peuvent être contradictoires, il est préférable de supposer que vous avez été affecté. Comme la société a maintenant clarifié le langage autour de lui, inscrivez-vous pour leur service TrustedID Premier. Cela vous permettra d'effectuer un gel de crédit Comment prévenir le vol d'identité en gelant votre crédit Comment prévenir le vol d'identité en gelant votre crédit Vos données personnelles ont été compromises, mais votre identité n'a pas encore été volée. Y a-t-il quelque chose que vous pouvez faire pour atténuer vos risques? Eh bien, vous pourriez essayer de geler votre crédit - voici comment. Lire la suite, et arrêter toute personne d'ouverture de crédit en votre nom. Compte tenu de la nature délicate des données perdues dans la fuite, les escrocs ont le potentiel de colporter leurs marchandises, alors restez vigilants contre l'ingénierie sociale. Comment vous protéger contre ces 8 attaques d'ingénierie sociale Comment se protéger de ces attaques 8 Les techniques d'ingénierie seraient utilisées par un hacker et comment vous en protégeriez-vous? Jetons un coup d'oeil à certaines des méthodes d'attaque les plus courantes. Lire la suite et les escroqueries de phishing Comment repérer un courriel d'hameçonnage Comment repérer un courriel d'hameçonnage Attraper un courriel d'hameçonnage est difficile! Scammers posent comme PayPal ou Amazon, en essayant de voler votre mot de passe et les informations de carte de crédit, leur tromperie est presque parfaite. Nous vous montrons comment repérer la fraude. Lire la suite .
Dans la foulée de nombreuses violations de données, nous vous conseillons souvent de changer vos mots de passe, utilisez un gestionnaire de mots de passe Comment les gestionnaires de mots de passe gardent vos mots de passe en toute sécurité Les mots de passe sont difficiles à retenir. Voulez-vous être en sécurité? Vous avez besoin d'un gestionnaire de mot de passe. Voici comment ils fonctionnent et comment ils vous protègent. En savoir plus, inscrivez-vous à HaveIBeenPwned Vérifiez maintenant et voyez si vos mots de passe ont déjà été fauchés Vérifiez maintenant et voyez si vos mots de passe ont déjà été fauchés Cet outil astucieux vous permet de vérifier si un mot de passe a déjà été détecté. En savoir plus, activer l'authentification à deux facteurs Définition de l'authentification à deux facteurs et de son utilisation Définition de l'authentification à deux facteurs et de son utilisation L'authentification à deux facteurs (2FA) est une méthode de sécurité qui nécessite deux méthodes différentes de prouver votre identité. Il est couramment utilisé dans la vie quotidienne. Par exemple payer avec une carte de crédit nécessite non seulement la carte, ... Lire la suite autant que possible, et améliorer votre cyber hygiène Améliorer votre cyber-hygiène en 5 étapes faciles Améliorer votre cyber-hygiène en 5 étapes faciles Dans le monde numérique, "cyber hygiene "est aussi important que l'hygiène personnelle dans le monde réel. Des vérifications régulières du système sont nécessaires, ainsi que de nouvelles habitudes en ligne plus sûres. Mais comment pouvez-vous faire ces changements? Lire la suite . Bien qu'aucun d'entre eux ne vous protégera directement contre la fuite d'Equifax, resserrer votre sécurité ne vous fera aucun mal. Protégez-vous avec un contrôle annuel de sécurité et de confidentialité Protégez-vous avec un contrôle annuel de sécurité et de confidentialité Nous sommes près de deux mois dans la nouvelle année, mais il y a encore le temps de faire une résolution positive. Oubliez de boire moins de caféine - nous parlons de prendre des mesures pour protéger la sécurité et la confidentialité en ligne. Lire la suite .
Equihaxxed
La violation d'Equifax sera probablement l'événement de sécurité hors concours dans une année rampante avec des violations de données et des attaques ransomware. Comme avec d'autres événements de sécurité de haut niveau comme WannaCry et le flot incessant de fuites de données, il y a une lueur d'espoir dans la nature stupéfiante de la violation d'Equifax. En attirant l'attention du public sur la sécurité des données, les rapports de crédit et les fautes professionnelles, il est possible de discuter de ces questions et de les atténuer. La forte réaction de nombreux sénateurs américains permettra, espérons-le, de faire en sorte que cette violation ne disparaisse pas dans l'ombre. Equifax a au moins reconnu que certains changements de personnel sont requis - le dirigeant principal de l'information et le chef de la sécurité ont donc pris leur retraite.
Malgré son profil élevé et sa vaste portée, il n'y a toujours pas d'informations sur les attaquants. Pour sa part, Equifax est demeurée complètement silencieuse à ce sujet - en accord avec le reste de sa réponse mal gérée. Quelques jours après que la violation a été rendue publique, un groupe a émergé prétendant avoir les données et a exigé une rançon de 600 Bitcoin. Après que les chercheurs ont découvert le service d'hébergement du site .onion, il a été rapidement fermé.
Séparément, un groupe s'appelant Equihax prétendait également être en possession des données, mais n'offrait aucune preuve vérifiable. Étant donné que les données sont potentiellement lucratives, vous pouvez être certain qu'il ne faudra pas longtemps avant que les pirates tentent d'encaisser.
Avez-vous été touché par la violation de la sécurité d'Equifax? Pensez-vous qu'Equifax est à blâmer, et auraient-ils pu faire plus pour vous protéger? Faites le nous savoir dans les commentaires!
Crédit d'image: stevanovicigor / Depositphotos