Equifax Inc. (EFX) mengumumkan pada 7 September 2017 bahwa 143 juta pelanggannya dipengaruhi oleh peretasan yang terjadi antara pertengahan Mei dan Juli. Angka itu mencapai 145, 5 juta pada minggu-minggu berikutnya, kemudian menjadi 147, 9 juta pada 1 Maret 2018, ketika perusahaan mengatakan telah mengidentifikasi 2, 4 juta korban tambahan.
Setelah pasar tutup pada hari yang sama, perusahaan melaporkan hasil keuangan kuartal keempat dan setahun penuh. Pendapatan kuartal keempat perusahaan naik 5% dari tahun ke tahun menjadi $ 838, 5 juta. Penghasilan bersih di kuartal ini naik 40% dari tahun ke tahun menjadi $ 172, 3 juta. Pendapatan dan laba setahun penuh juga meningkat dibandingkan dengan 2016: pendapatan naik 7% menjadi $ 3, 4 miliar, sementara laba bersih naik 20% menjadi $ 587, 3 juta. Perusahaan mengatakan peretasan itu menelan biaya $ 26, 5 juta pada kuartal keempat dan $ 114, 0 juta pada tahun penuh, setelah pembayaran asuransi. Saham, yang ditutup turun 1, 3% sejalan dengan S&P 500, naik 0, 6% dalam perdagangan setelah jam pada saat penulisan.
Sebanyak 209.000 nomor kartu kredit pelanggan terpapar, menurut Equifax, dan dokumen sengketa terkait 182.000 konsumen AS - yang mencakup informasi pribadi - dikompromikan. Konsumen Inggris juga telah dipengaruhi oleh pelanggaran tersebut; mungkin saja beberapa orang Kanada dikompromikan. Menurut Wall Street Journal, mengutip sumber yang tidak disebutkan namanya, 10, 9 juta data SIM Amerika dicuri dalam pelanggaran tersebut.
Perusahaan telah mengetahui tentang serangan itu sejak 29 Juli, tetapi menunggu lebih dari sebulan untuk mengingatkan publik. Pada tanggal 20 September dilaporkan bahwa Mandiant, anak perusahaan FireEye Inc. (FEYE) yang dikontrak oleh Equifax, memperkirakan pelanggaran tersebut setidaknya terjadi pada 10 Maret.
Ada sedikit informasi mengenai sumber serangan, yang sedang diselidiki oleh FBI, tetapi menurut Bloomberg, kesamaan dengan serangan sebelumnya pada Kantor Manajemen Personalia dan Anthem Inc. menyarankan penyerang itu bisa disponsori negara, mungkin Cina. Bahwa informasi pelanggan Equifax belum muncul di pasar gelap juga menunjukkan bahwa peretas tidak hanya penjahat. Bloomberg juga melaporkan bahwa penyerang menargetkan individu tertentu, mungkin karena kekayaan atau nilai intelijen mereka.
Mengingat bahwa populasi orang dewasa AS adalah sekitar 250 juta, kemungkinan besar Anda terkena dampak pelanggaran tersebut. Mungkin juga Anda sudah menjadi korban penipuan, sejak serangan itu dimulai hampir enam bulan lalu.
Equifax yang berbasis di Atlanta, salah satu dari tiga agen pelaporan kredit konsumen besar - dua lainnya adalah Experian PLC (London: EXPN) dan TransUnion (TRU) - mengumpulkan data termasuk nomor Jaminan Sosial, nomor kartu kredit, nomor SIM, sewa dan utilitas informasi pembayaran, dan data demografis. Karena model Equifax utamanya adalah bisnis-ke-bisnis, banyak pelanggannya tidak menyadari bahwa data mereka disimpan oleh perusahaan. Selain menghindari sistem keuangan dan kredit sama sekali, tidak ada cara langsung untuk memilih tidak memiliki data pribadi yang disimpan oleh Equifax. (Lihat juga, 5 Hacks Data Kartu Kredit Terbesar dalam Sejarah. )
Cara Memeriksa Jika Anda Terkena
Equifax telah membuat situs di mana Anda dapat memeriksa apakah informasi Anda dikompromikan dengan memberikan nama belakang Anda dan enam digit terakhir dari nomor Jaminan Sosial Anda. Situs ini telah menjadi subyek kritik yang intens, dan kami telah menghapus tautan karena ada pertanyaan mengenai keamanannya. Itu diatur menggunakan WordPress, platform blogging off-the-shelf. Itu ditempatkan di domain terpisah ke situs utama Equifax. Perusahaan lalai mendaftarkan URL yang serupa, yang dapat digunakan untuk serangan phishing; satu white hat hacker menyiapkan situs semacam itu untuk membuktikan suatu hal, dan akun Equifax resmi men-tweet tautan ke situs palsu. Lebih dari sekali.
Equifax menawarkan kepada pelanggan - terpengaruh atau tidak - layanan berikut ini, yang disebutnya TrustedID Premier: salinan laporan kredit Equifax, pemantauan kredit dan peringatan otomatis untuk ketiga biro kredit utama, kemampuan untuk memblokir akses pihak ketiga ke laporan kredit Equifax Anda (dengan pengecualian), pemantauan nomor Jaminan Sosial, dan asuransi pencurian identitas $ 1 juta. Batas waktu untuk melamar adalah 21 November 2017.
Perusahaan mengatakan layanan ini semuanya gratis, tetapi menempatkan pembekuan keamanan pada file kredit pada awalnya tidak gratis - setidaknya tidak untuk semua orang. Ketika saya mencoba untuk membekukan file kredit Equifax pada 8 September, situs perusahaan mengatakan layanan akan menelan biaya $ 3, 00 dan meminta informasi kartu kredit untuk memproses pembayaran.
Sebagai penduduk New York, saya dapat membekukan file Experian saya secara gratis. Situs TransUnion tidak dapat memproses permintaan pada awalnya - kemungkinan gejala peningkatan lalu lintas - tetapi kemudian memungkinkan saya untuk menempatkan pembekuan secara gratis.
Dalam pernyataan yang dikirim melalui email, juru bicara Equifax mengatakan kepada Investopedia pada 14 September bahwa perusahaan membebaskan semua biaya untuk membekukan file kredit dan secara otomatis mengembalikan uang kepada pelanggan yang membayar untuk melakukannya setelah peretasan diumumkan. Kekhawatiran baru - dan hilangnya keamanan - kini muncul di seputar PIN yang dikeluarkan perusahaan untuk pelanggan yang telah membekukan laporan kredit mereka. PIN ini, yang memungkinkan pelanggan mencairkan laporan kredit, mengikuti pola yang mudah diidentifikasi. Juru bicara itu mengatakan bahwa pelanggan dengan PIN yang salah ini harus menghubungi 866-349-5191 untuk berbicara dengan agen langsung.
Daftar EquID Premier Services Equifax sebagai gratis hanya gratis selama setahun. Seorang juru bicara Equifax mengatakan kepada Investopedia bahwa perusahaan tidak meminta informasi kartu kredit ketika pelanggan mendaftar untuk layanan tersebut dan bahwa perusahaan tidak akan secara otomatis memperbaruinya atau membebankan biaya. Tarif standar Equifax untuk pemantauan kredit adalah $ 17 per bulan.
Apa yang Harus Dilakukan Jika Anda Terkena Dampak
Liz Weston, seorang penulis keuangan pribadi di NerdWallet, memiliki saran berikut untuk mereka yang terkena dampak pelanggaran Equifax, yang ia bagikan dengan Investopedia dalam email: "Equifax akan menjangkau para korban dan menawarkan mereka pemantauan kredit. Para korban harus memastikan bahwa menyetujui pemantauan tidak mencegah mereka untuk bergabung dalam tuntutan hukum atau tindakan lain di jalan."
Awalnya, halaman persyaratan layanan TrustedID Premier (versi diarsipkan) memang mengharuskan pengguna untuk melepaskan hak mereka untuk bergabung dengan gugatan class action terhadap Equifax: "Dengan menyetujui untuk mengirimkan Klaim Anda ke arbitrase, Anda akan kehilangan hak Anda untuk membawa atau berpartisipasi dalam tindakan kelas apa pun (baik sebagai penggugat bernama atau anggota kelas) atau untuk membagikan penghargaan tindakan kelas apa pun, termasuk klaim kelas di mana kelas belum disertifikasi, bahkan jika fakta dan keadaan yang menjadi dasar Klaim didasarkan telah terjadi atau ada. " Setelah serangan balik, halaman FAQ perusahaan dimutakhirkan untuk mengatakan bahwa klausa yang diterapkan pada layanan TrustedID Premier, bukan peretasan. Pada pagi hari 12 September, ketentuan layanan tidak lagi termasuk klausul arbitrase.
Weston mengatakan bahwa pelanggan yang terkena dampak harus mempertimbangkan pembekuan laporan kredit mereka di ketiga biro utama. Seperti disebutkan di atas, biro kredit dapat mengenakan biaya untuk memulai pembekuan itu. Anda juga dapat dikenai biaya untuk akun yang tidak bebas ketika Anda membutuhkan pemeriksaan kredit (misalnya untuk melamar layanan ponsel). Biaya ini umumnya kurang dari $ 10, tetapi mereka dapat bertambah. Weston mencatat bahwa opsi lain adalah menempatkan peringatan penipuan pada laporan kredit Anda di tiga biro kredit. (Untuk lebih lanjut, lihat Cara Memulihkan dari Pencurian Identitas .)
Layanan pemantauan kredit lainnya, tidak disponsori oleh Equifax, juga tersedia. Layanan Perlindungan Pencurian Identitas: Layak Dimiliki? daftar beberapa dari mereka untuk Anda selidiki.
Tanggapan Equifax
Ketua dan CEO Equifax, Richard Smith, mengatakan setelah peretasan bahwa itu "jelas merupakan insiden yang mengecewakan bagi perusahaan kami, dan salah satu yang menyerang hati siapa kami dan apa yang kami lakukan." Dia mengundurkan diri pada 26 September dan tidak akan menerima bonus untuk 2017. Kepergiannya mengikuti orang-orang dari kepala petugas keamanan Susan Mauldin dan kepala petugas informasi David Webb pada 14 September.
Beberapa hari setelah perusahaan mengungkap peretasan secara internal - dan sebelum pelanggaran itu diungkapkan kepada publik - kepala keuangan Equifax John Gamble, presiden dari solusi tenaga kerja Rodolfo Ploder, dan presiden dari solusi informasi AS Joseph Loughran menjual saham Equifax mereka. Equifax mengatakan dalam sebuah pernyataan bahwa eksekutif tidak tahu tentang pelanggaran ketika mereka menjual saham mereka. Gamble, Ploder, dan Loughran secara kolektif menghasilkan hampir $ 1, 8 juta dari penjualan.
Pada 28 Februari, saham Equifax telah jatuh 20, 1% dari penutupannya pada 7 September (sebelum peretasan diumumkan) menjadi $ 113, 00. Setelah beberapa penundaan, Equifax mengatakan akan melaporkan laba kuartal keempat setelah ditutup pada 1 Maret.
Biarkan Tuntutan Hukum Mulai
Reuters melaporkan pada 11 September bahwa lebih dari 30 tuntutan hukum - banyak dari mereka yang mencari tindakan kelas - telah diajukan terhadap Equifax di pengadilan AS. Beberapa dugaan pelanggaran hukum sekuritas; yang lain menuduh TrustedID memberikan layanan mahal kepada pelanggan yang terpengaruh oleh pelanggaran data. Lima warga Utah telah menggugat perusahaan di Pengadilan Distrik AS karena gagal melindungi data sensitif pelanggan. Gugatan mencari ganti rugi moneter $ 5 miliar dan pengenaan standar industri yang lebih ketat.
Beberapa pelanggan yang terkena dampak mengambil rute yang kurang tradisional dalam mencari bantuan dari Equifax. ChatBot DoNotPay memberikan bantuan dalam mengajukan keluhan di pengadilan klaim negara bagian kecil, di mana hukuman maksimal berkisar dari $ 2.500 hingga $ 25.000. Bot hanya dapat menghasilkan dokumen untuk gugatan, tidak benar-benar mengajukan atau muncul di pengadilan, menurut Verge.
FBI dan Jaksa Penuntut AS yang bermarkas di Atlanta John Horn mengumumkan penyelidikan kriminal atas pelanggaran tersebut pada 18 September. Biro Perlindungan Keuangan Konsumen dan 34 jaksa agung negara bagian sedang melakukan penyelidikan.
Tn. Smith Pergi ke Washington
Pada 3 Oktober, mantan CEO Richard Smith bersaksi di depan subkomite Digital Commerce dan Perlindungan Konsumen House. Dia berkali-kali meminta maaf atas kegagalan Equifax untuk melindungi data konsumen dan menghadapi pertanyaan tentang berbagai masalah yang terkait dengan pelanggaran dan respons Equifax. Saham perusahaan naik mengikuti kesaksian, tetapi tetap jauh di bawah level yang diperdagangkan sebelum peretasan diungkapkan.
Menanggapi pertanyaan mengenai klausa arbitrase kontroversial yang awalnya termasuk dalam ketentuan layanan Premier TrustedID, Smith mengatakan klausa "boilerplate" tidak pernah dimaksudkan untuk diterapkan pada pelanggaran dan menyebut penyertaannya sebagai "kesalahan." Dia tidak akan mengatakan hal yang sama tentang klausa serupa yang mengatur layanan Equifax lainnya, yang dia sebut "standar."
Penjualan saham eksekutif yang mencurigakan waktunya juga datang di bawah pengawasan: Rep. Jan Schakowsky, seorang Demokrat Illinois, mengatakan penjualan "tidak lulus uji bau, " tetapi Smith rata-rata, "sejauh yang saya tahu, mereka tidak tahu" tentang pelanggaran pada saat itu.
Smith menggambarkan pelanggaran itu sebagai akibat dari kesalahan manusia dan kegagalan teknologi: orang yang bertugas memastikan untuk menambal perangkat lunak Apache Struts - yang memiliki kerentanan yang diketahui publik yang dieksploitasi para penyerang - gagal melakukannya, dan sebuah pemindai yang akan memiliki memberi tahu perusahaan tentang kesalahan itu juga gagal.
Respons menggapai-gapai perusahaan untuk krisis juga datang untuk kritik: membuat situs WordPress dengan URL yang mencurigakan, gagal untuk mengamankan domain yang sama (dan bahkan mengarahkan pelanggan ke salah satu domain), gagal untuk staf call center yang memadai, dan umumnya membuat kesan bahwa perusahaan - yang ada untuk mengumpulkan, mengamankan dan menjual data sensitif - sama sekali tidak siap untuk serangan cyber pada basis datanya. Rep. Markwayne Mullin, seorang Republikan Oklahoma, mengatakan kepada Smith bahwa tanggapannya seharusnya seperti menarik alarm kebakaran: "segera diberlakukan." Smith menjawab bahwa timnya "mengikuti protokol." Beberapa perwakilan menyebutkan bahwa Smith memberikan pidato yang menggambarkan penipuan sebagai "peluang besar" dan "bisnis besar yang sedang tumbuh" pada Agustus - setelah dia tahu tentang pelanggaran tersebut.
Smith menolak untuk menjawab pertanyaan tentang sumber serangan, termasuk apakah itu mungkin aktor negara. Dia mengatakan secara sederhana bahwa FBI sedang melakukan penyelidikan. Dia membela investasi Equifax dalam cybersecurity selama masa jabatannya, dengan mengatakan bahwa ketika dia tiba dua belas tahun yang lalu, praktis tidak ada investasi dalam perlindungan data. Perusahaan menghabiskan seperempat miliar dolar dan menyewa tim yang terdiri dari 225 orang untuk mengamankan data perusahaan, kata Smith, menginvestasikan 10-14% standar TI industri untuk anggaran TI di cybersecurity.
Beberapa Perwakilan mengindikasikan bahwa pelanggaran tersebut telah membuka pertanyaan mendasar tentang peran industri pemantau kredit dan hak-hak konsumen. "Bagaimana jika aku ingin memilih Equifax kita?" Schakowski bertanya. Smith menjawab, "itu membutuhkan diskusi yang lebih luas tentang peran agen pelaporan kredit." Rep. Tonko, seorang Demokrat New York, menggemakan sentimen tersebut, menunjukkan bahwa ia sebenarnya bukan "pelanggan, " karena tidak pernah memilih untuk melakukan bisnis dengan Equifax. "Mengapa perusahaan ini dibiarkan terus ada?" Dia bertanya. Di berbagai titik, Smith mempertanyakan nilai nomor Jaminan Sosial sebagai cara untuk membuktikan identitas dan membuat referensi samar untuk memberikan "kekuatan kembali kepada konsumen."
Pertanyaan terbesar hari itu datang dari Demokrat California Doris Matsui: "Apakah saya memiliki data saya?" Smith tidak bisa menjawab. (Lihat juga, Blockchain Bisa Membuat Anda - Bukan Equifax - Pemilik Data Anda. )