क्या मुझे हैक किया गया था? यह पता करें कि क्या इक्विफैक्स ब्रीच आपको प्रभावित करता है

इक्विफैक्स इंक (ईएफ़एक्स) ने 7 मई, 2017 को घोषणा की कि उसके 143 मिलियन ग्राहक मध्य-मई और जुलाई के बीच हुई हैक से प्रभावित थे। अगले सप्ताह में यह आंकड़ा 145.5 मिलियन तक पहुंच गया, फिर 1 मार्च, 2018 को 147.9 मिलियन हो गया, जब कंपनी ने कहा कि उसने 2.4 मिलियन अतिरिक्त पीड़ितों की पहचान की थी।

उसी दिन बाजार बंद होने के बाद, कंपनी ने चौथी तिमाही और पूरे साल के वित्तीय परिणामों की सूचना दी। कंपनी की चौथी तिमाही में राजस्व 5% सालाना-दर-वर्ष बढ़कर 838.5 मिलियन डॉलर हो गया। इस तिमाही में शुद्ध आय 40% सालाना आधार पर बढ़कर 172.3 मिलियन डॉलर हो गई। 2016 की तुलना में पूरे साल का राजस्व और मुनाफा भी बढ़ा: राजस्व 7% से 3.4 बिलियन डॉलर था, जबकि शुद्ध आय 20% बढ़कर 587.3 मिलियन डॉलर हो गई। कंपनी ने कहा कि चौथी तिमाही में हैक की कीमत 26.5 मिलियन डॉलर थी और पूरे वर्ष में 114.0 मिलियन डॉलर, बीमा भुगतान का शुद्ध। स्टॉक, जो एसएंडपी 500 के अनुरूप 1.3% बंद हुआ, लेखन के समय के बाद के कारोबार में 0.6% ऊपर है।

इक्विफैक्स के अनुसार 209, 000 ग्राहकों के क्रेडिट कार्ड नंबर उजागर किए गए थे, और 182, 000 अमेरिकी उपभोक्ताओं से संबंधित विवाद दस्तावेजों - जिनमें व्यक्तिगत जानकारी शामिल है - से समझौता किया गया था। ब्रिटिश उपभोक्ता भी उल्लंघन से प्रभावित थे; यह संभव है कि कुछ कनाडाई लोगों से समझौता किया गया था। वॉल स्ट्रीट जर्नल के अनुसार, एक अज्ञात स्रोत का हवाला देते हुए, ब्रीच में 10.9 मिलियन अमेरिकियों के ड्राइवर लाइसेंस डेटा चोरी हो गए।

कंपनी को 29 जुलाई से हमले के बारे में पता था, लेकिन जनता को सचेत करने के लिए एक महीने तक इंतजार किया। 20 सितंबर को यह बताया गया था कि इक्विफैक्स द्वारा अनुबंधित मैंडिएंट, फायरईई इंक (FEYE) सहायक कम से कम 10 मार्च को वापस तिथि का अनुमान लगाता है।

हमले के स्रोत के बारे में बहुत कम जानकारी है, जिसकी जांच एफबीआई द्वारा की जा रही है, लेकिन ब्लूमबर्ग के अनुसार, कार्मिक प्रबंधन और गान इंक के कार्यालय पर पहले के हमलों की समानता बताती है कि हमलावर राज्य प्रायोजित हो सकता है, शायद चीनी। ब्लैक मार्केट पर इक्विफैक्स ग्राहकों की जानकारी नहीं दिखाई गई है, यह भी पता चलता है कि हैकर्स केवल अपराधी नहीं थे। ब्लूमबर्ग ने यह भी बताया कि हमलावरों ने विशिष्ट व्यक्तियों को लक्षित किया, शायद उनकी संपत्ति या खुफिया मूल्य के कारण।

यह देखते हुए कि अमेरिका की वयस्क आबादी लगभग 250 मिलियन है, संभावना अच्छी है कि आप उल्लंघन से प्रभावित थे। यह भी संभव है कि आप पहले ही धोखाधड़ी का शिकार हो चुके हों, क्योंकि हमला लगभग छह महीने पहले शुरू हुआ था।

अटलांटा स्थित इक्विफ़ैक्स, तीन बड़ी उपभोक्ता क्रेडिट रिपोर्टिंग एजेंसियों में से एक - अन्य दो हैं एक्सपीरियन पीएलसी (लंदन: ईएक्सपीएन) और ट्रांसयूनियन (टीआरयू) - सोशल सिक्योरिटी नंबर, क्रेडिट कार्ड नंबर, ड्राइवर लाइसेंस नंबर, किराया और उपयोगिता सहित डेटा एकत्र करता है। भुगतान जानकारी और जनसांख्यिकीय डेटा। क्योंकि इक्विफैक्स का मॉडल मुख्य रूप से व्यापार-से-व्यवसाय है, इसलिए इसके कई ग्राहक इस बात से अनजान हैं कि उनका डेटा फर्म द्वारा संग्रहीत किया गया है। वित्तीय और क्रेडिट प्रणाली से पूरी तरह से बचने के अलावा, इक्विफैक्स द्वारा संग्रहीत व्यक्तिगत डेटा से बाहर निकलने का कोई सीधा रास्ता नहीं है। ( इतिहास में 5 सबसे बड़े क्रेडिट कार्ड डेटा हैक्स भी देखें । )

अगर आप प्रभावित थे तो कैसे जांच करें

इक्विफैक्स ने एक साइट स्थापित की है जहां आप जांच सकते हैं कि क्या आपकी जानकारी को आपके अंतिम नाम और आपके सामाजिक सुरक्षा नंबर के अंतिम छह अंक देकर समझौता किया गया था। यह साइट तीव्र आलोचना का विषय रही है, और हमने इसकी सुरक्षा से संबंधित प्रश्नों के कारण लिंक को हटा दिया है। इसे WordPress, एक ऑफ-द-शेल्फ ब्लॉगिंग प्लेटफॉर्म का उपयोग करके स्थापित किया गया था। इसे इक्विफैक्स की मुख्य साइट पर एक अलग डोमेन में रखा गया है। कंपनी ने समान URL दर्ज करने की उपेक्षा की, जिसका उपयोग फ़िशिंग हमलों के लिए किया जा सकता था; एक सफेद टोपी हैकर ने एक बिंदु को साबित करने के लिए ऐसी ही एक साइट स्थापित की, और एक आधिकारिक इक्विफैक्स खाते ने नकली साइट के लिंक को ट्वीट किया। एक से ज्यादा बार।

इक्विफेक्स ने ग्राहकों को प्रभावित या प्रभावित नहीं करने की पेशकश की - निम्नलिखित सेवाएं, जिन्हें यह ट्रस्टेडिड प्रीमियर कहते हैं: इक्विफैक्स क्रेडिट रिपोर्ट की प्रतियां, क्रेडिट निगरानी और तीनों प्रमुख क्रेडिट ब्यूरो के लिए स्वचालित अलर्ट, आपकी इक्विटी क्रेडिट रिपोर्ट में तीसरे पक्ष की पहुंच को अवरुद्ध करने की क्षमता। (अपवादों के साथ), सामाजिक सुरक्षा संख्या की निगरानी, ​​और पहचान की चोरी बीमा में $ 1 मिलियन। आवेदन करने की अंतिम तिथि 21 नवंबर, 2017 थी।

कंपनी का कहना है कि ये सभी सेवाएं नि: शुल्क हैं, लेकिन क्रेडिट फ़ाइल पर सुरक्षा फ्रीज रखना शुरू में मुफ्त नहीं था - कम से कम सभी के लिए नहीं। जब मैंने 8 सितंबर को इक्विफैक्स क्रेडिट फ़ाइल को फ्रीज करने की कोशिश की, तो कंपनी की साइट ने कहा कि इस सेवा की लागत $ 3.00 होगी और भुगतान को संसाधित करने के लिए क्रेडिट कार्ड की जानकारी मांगी जाएगी।

Www.freeze.equifax.com (सितंबर 8, 2017 को 11:46 बजे EDT) से एक स्क्रीन हड़पने।

एक न्यूयॉर्क निवासी के रूप में, मैं अपने एक्सपेरियन फ़ाइल पर मुफ्त में फ्रीज लगाने में सक्षम था। TransUnion की साइट शुरू में अनुरोध को संसाधित करने में असमर्थ थी - संभवतः ट्रैफ़िक में वृद्धि का एक लक्षण - लेकिन बाद में मुझे फ्रीज़ को फ्रीज़ करने की अनुमति दी।

ईमेल के एक बयान में, इक्विफैक्स के प्रवक्ता ने इनवेस्टोपेडिया ऑन 14 सितंबर को बताया कि फर्म क्रेडिट फ़ाइलों को फ्रीज करने के लिए सभी शुल्क माफ कर रही है और स्वचालित रूप से उन ग्राहकों को वापस कर रही है जिन्होंने हैक को सार्वजनिक किए जाने के बाद ऐसा करने के लिए भुगतान किया था। एक नई चिंता - और सुरक्षा में स्पष्ट चूक - अब उन पिनों के आसपास उत्पन्न हो गई है जो कंपनी ने उन ग्राहकों को जारी किए हैं जिन्होंने अपनी क्रेडिट रिपोर्ट को फ्रीज कर दिया था। ये पिन, जो ग्राहकों को क्रेडिट रिपोर्ट को अनफ्रीज करने की अनुमति देते हैं, आसानी से पहचाने जाने वाले पैटर्न का पालन करते हैं। प्रवक्ता ने कहा कि इन दोषपूर्ण पिन वाले ग्राहकों को लाइव एजेंट से बात करने के लिए 866-349-5191 पर कॉल करना होगा।

यदि आपको हैक की सूचना देने के बाद पिन मिला है, तो आप दोषपूर्ण लोगों में से एक हो सकते हैं। इसे तय करना आसान नहीं है। 15 सितंबर की सुबह लाइन पर बारह कॉलों में आठ व्यस्त संकेत और कुल मौन के चार उदाहरण मिले।

ट्रस्टीड प्रीमियर सेवाएं इक्विफैक्स सूचियां केवल एक वर्ष के लिए नि: शुल्क हैं। इक्विफेक्स के एक प्रवक्ता ने इन्वेस्टोपेडिया को बताया कि कंपनी क्रेडिट कार्ड की जानकारी नहीं मांग रही है जब ग्राहक सेवा के लिए साइन अप करते हैं और कंपनी स्वचालित रूप से इसे नवीनीकृत नहीं करेगी या शुल्क नहीं लेगी। क्रेडिट मॉनिटरिंग के लिए इक्विफैक्स की मानक दर $ 17 प्रति माह है।

क्या करें यदि आप प्रभावित थे

NerdWallet के एक निजी वित्त लेखक लिज़ वेस्टन के पास इक्विफैक्स ब्रीच से प्रभावित लोगों के लिए निम्नलिखित सलाह है, जिसे उन्होंने एक ईमेल में इन्वेस्टोपेडिया के साथ साझा किया था: "इक्विफैक्स पीड़ितों तक पहुंच जाएगा और उन्हें क्रेडिट मॉनिटरिंग की पेशकश करेगा। पीड़ितों को यह सुनिश्चित करना चाहिए। निगरानी के लिए सहमत होना उन्हें मुकदमों या सड़क के नीचे अन्य कार्यों में शामिल होने से नहीं रोकता है। "

प्रारंभ में, ट्रस्टीड प्रीमियर के सेवा पृष्ठ (संग्रहीत संस्करण) की शर्तों ने वास्तव में उपयोगकर्ताओं को इक्विफेक्स के खिलाफ एक क्लास एक्शन सूट में शामिल होने के लिए उनके अधिकार को माफ करने की आवश्यकता की: "मध्यस्थता के लिए अपने दावों को प्रस्तुत करने की सहमति देकर, आप अपना अधिकार लाने या भाग लेने का अधिकार छोड़ देंगे। किसी भी वर्ग कार्रवाई (चाहे एक नामित वादी या एक वर्ग के सदस्य के रूप में) या किसी भी वर्ग कार्रवाई पुरस्कार में साझा करने के लिए, जिसमें वर्ग के दावे शामिल हैं, जहां एक वर्ग अभी तक प्रमाणित नहीं हुआ है, भले ही तथ्य और परिस्थितियां जिस पर दावे पहले से ही घटित हों या अस्तित्व में है। " एक बैकलैश के बाद, कंपनी के FAQ पृष्ठ को यह कहने के लिए अपडेट किया गया था कि क्लॉज ट्रस्टीड प्रीमियर सेवा पर लागू होता है, हैक नहीं। 12 सितंबर की सुबह तक, सेवा की शर्तों में एक मध्यस्थता खंड शामिल नहीं है।

वेस्टन का कहना है कि प्रभावित ग्राहकों को अपनी क्रेडिट रिपोर्ट को तीनों प्रमुख ब्यूरो में जमा करने पर विचार करना चाहिए। जैसा कि ऊपर उल्लेख किया गया है, क्रेडिट ब्यूरो उस फ्रीज को शुरू करने के लिए शुल्क ले सकता है। आपसे क्रेडिट चेक (सेलफोन सेवा के लिए आवेदन करने के लिए, उदाहरण के लिए) की आवश्यकता होने पर आपसे खातों को हटाने का भी आरोप लगाया जा सकता है। ये शुल्क आम तौर पर $ 10 से कम होते हैं, लेकिन वे जोड़ सकते हैं। वेस्टन ने नोट किया कि एक अन्य विकल्प तीन क्रेडिट ब्यूरो में आपकी क्रेडिट रिपोर्ट पर धोखाधड़ी की चेतावनी देना है। (अधिक जानकारी के लिए, पहचान की चोरी से कैसे पुनर्प्राप्त करें देखें।)

इक्विफैक्स द्वारा प्रायोजित अन्य क्रेडिट-मॉनिटरिंग सेवाएं भी उपलब्ध नहीं हैं। आइडेंटिटी थेफ्ट प्रोटेक्शन सर्विसेज: वर्थ होने ">

इक्विफैक्स का जवाब

इक्विफैक्स के तत्कालीन अध्यक्ष और सीईओ, रिचर्ड स्मिथ ने हैक के बाद कहा कि यह "स्पष्ट रूप से हमारी कंपनी के लिए एक निराशाजनक घटना थी, और एक यह कि हम कौन हैं और क्या करते हैं, के दिल पर हमला करता है।" उन्होंने 26 सितंबर को कदम रखा और 2017 के लिए कोई बोनस नहीं मिलेगा। उनके जाने के बाद मुख्य सुरक्षा अधिकारी सुसान मौलदीन और 14 सितंबर को मुख्य सूचना अधिकारी डेविड वेबब।

कुछ दिनों बाद कंपनी ने हैक को आंतरिक रूप से उजागर किया - और इससे पहले कि ब्रीच सार्वजनिक करने के लिए सामने आया था - इक्विफैक्स के मुख्य वित्तीय अधिकारी जॉन गैंबल, वर्कफोर्स सॉल्यूशंस के अपने अध्यक्ष रोडोल्फो प्लोडर, और इसके यूएस प्रेसिडेंट सॉल्यूशंस के अध्यक्ष जोसेफ लेट्रान ने अपने इक्विफैक्स शेयर बेचे। इक्विफैक्स ने एक बयान में कहा कि अधिकारियों ने ब्रीच के बारे में पता नहीं किया जब उन्होंने अपना स्टॉक बेचा। गैम्बल, प्लोडर और लॉगरन ने सामूहिक रूप से बिक्री से लगभग $ 1.8 मिलियन कमाए।

28 फरवरी तक, इक्विफैक्स का स्टॉक सेप्ट 7 पर अपने करीबी से 20.1% गिर गया (हैक की घोषणा से पहले) $ 113.00 था। कई देरी के बाद, इक्विफैक्स का कहना है कि यह 1 मार्च को बंद होने के बाद चौथी तिमाही की आय की रिपोर्ट करेगा।

मुकदमों को शुरू होने दें

रॉयटर्स ने 11 सितंबर को बताया कि 30 से अधिक मुकदमों - उनमें से कई पर वर्ग कार्रवाई की मांग की गई है - अमेरिकी अदालतों में इक्विफैक्स के खिलाफ दायर की गई है। प्रतिभूति कानून के कई आरोप उल्लंघन; दूसरों ने उन ग्राहकों पर महंगा सेवाओं के ट्रस्टेडआईडी पर आरोप लगाया जो डेटा उल्लंघन से प्रभावित थे। पांच यूटा निवासियों ने ग्राहकों के संवेदनशील डेटा की सुरक्षा में विफलता के लिए अमेरिकी जिला न्यायालय में कंपनी पर मुकदमा दायर किया है। यह सूट $ 5 बिलियन के मौद्रिक नुकसान और सख्त उद्योग मानकों को लागू करना चाहता है।

कुछ प्रभावित ग्राहक इक्विफैक्स से सहारा लेने में कम पारंपरिक मार्ग अपना रहे हैं। DoNotPay चैटबॉट राज्य के छोटे दावों की अदालतों में शिकायत दर्ज करने में सहायता प्रदान करता है, जहां अधिकतम दंड $ 2, 500 से $ 25, 000 तक होता है। वेज के अनुसार, बॉट केवल मुकदमे के लिए कागजी कार्रवाई उत्पन्न कर सकता है, न कि वास्तव में इसे दायर कर सकता है या अदालत में पेश कर सकता है।

एफबीआई और अटलांटा स्थित अमेरिकी अटॉर्नी जॉन हॉर्न ने 18 सितंबर को ब्रीच की आपराधिक जांच की घोषणा की। उपभोक्ता वित्तीय संरक्षण ब्यूरो और 34 राज्य अटॉर्नी जनरल पूछताछ कर रहे हैं।

श्री स्मिथ वाशिंगटन जाते हैं

3 अक्टूबर को पूर्व सीईओ रिचर्ड स्मिथ ने हाउस डिजिटल कॉमर्स एंड कंज्यूमर प्रोटेक्शन उपसमिति के समक्ष गवाही दी। उन्होंने उपभोक्ता डेटा की सुरक्षा के लिए इक्विफैक्स की विफलता के लिए कई बार माफी मांगी और ब्रीच और इक्विफैक्स की प्रतिक्रिया से संबंधित कई मुद्दों के बारे में सवालों का सामना किया। गवाही के बाद कंपनी के शेयर में तेजी आई, लेकिन हैक का खुलासा होने से पहले इसके स्तर में गिरावट दर्ज की गई।

विवादास्पद मध्यस्थता खंड के बारे में सवालों के जवाब में, जिसे शुरू में ट्रस्टेडिड प्रीमियर की सेवा की शर्तों में शामिल किया गया था, स्मिथ ने कहा कि "बॉयलरप्लेट" खंड को कभी भी उल्लंघन पर लागू करने का इरादा नहीं था और इसके समावेश को "गलती" कहा। वह अन्य समान सेवाओं को संचालित करने वाली समान धाराओं को नहीं कहेंगे, जिन्हें उन्होंने "मानक" कहा है।

संदिग्ध रूप से समयबद्ध कार्यकारी स्टॉक की बिक्री भी जांच के दायरे में आई: इलिनोइस डेमोक्रेट के रेप जान स्कैकोव्स्की ने कहा, बिक्री "गंध परीक्षण पास नहीं करता है, " लेकिन स्मिथ औसतन, "मेरे ज्ञान का सबसे अच्छा करने के लिए, वे इस बारे में नहीं जानते थे" समय पर उल्लंघन।

स्मिथ ने उल्लंघन को मानवीय त्रुटि और एक तकनीकी विफलता के परिणाम के रूप में वर्णित किया: अपाचे स्ट्रट्स सॉफ़्टवेयर को पैच करने के लिए सुनिश्चित करने वाला व्यक्ति - जिसके पास सार्वजनिक रूप से ज्ञात भेद्यता थी हमलावरों ने शोषण किया - ऐसा करने में विफल रहा, और एक स्कैनर जो होगा उस त्रुटि की कंपनी भी सतर्क विफल रही।

संकट के लिए कंपनी की व्यापक प्रतिक्रिया भी आलोचना के लिए आई: एक संदिग्ध URL के साथ एक वर्डप्रेस साइट की स्थापना करना, समान डोमेन (और यहां तक ​​कि उन डोमेन में से एक को ग्राहकों को निर्देशित करना) को विफल करने के लिए, पर्याप्त रूप से स्टाफ कॉल सेंटर में विफल, और आम तौर पर निर्माण यह धारणा कि कंपनी - जो संवेदनशील डेटा एकत्र करने, सुरक्षित करने और बेचने के लिए मौजूद है - अपने डेटाबेस पर साइबर हमले के लिए पूरी तरह से तैयार नहीं थी। ओक्लाहोमा रिपब्लिकन के प्रतिनिधि मार्कवेने मुलिन ने स्मिथ को कहा कि उनकी प्रतिक्रिया फायर अलार्म को खींचने जैसी होनी चाहिए: "यह तुरंत जगह में चला जाता है।" स्मिथ ने जवाब दिया कि उनकी टीम ने "प्रोटोकॉल का पालन किया।" कई प्रतिनिधियों ने उल्लेख किया कि स्मिथ ने एक "विशाल अवसर" और "बड़े पैमाने पर बढ़ते व्यापार" के रूप में धोखाधड़ी का वर्णन करते हुए एक भाषण दिया था - अगस्त में - जब उन्हें उल्लंघन के बारे में पता था।

स्मिथ ने हमले के स्रोत के बारे में सवालों के जवाब देने से इनकार कर दिया, जिसमें यह भी शामिल है कि क्या यह एक राज्य अभिनेता हो सकता है। उन्होंने बस इतना कहा कि एफबीआई एक जांच कर रही है। उन्होंने अपने कार्यकाल के दौरान साइबर सुरक्षा में इक्विफेक्स के निवेशों का बचाव करते हुए कहा कि जब वह बारह साल पहले आए थे, तो डेटा संरक्षण में व्यावहारिक रूप से कोई निवेश नहीं था। कंपनी ने एक चौथाई बिलियन डॉलर खर्च किए और कंपनी के डेटा को सुरक्षित करने के लिए 225-व्यक्ति टीम को काम पर रखा, स्मिथ ने कहा, साइबर स्पेस में कंपनी के आईटी बजट के उद्योग-मानक 10-14% का निवेश।

कुछ प्रतिनिधियों ने संकेत दिया कि उल्लंघन ने ऋण-निगरानी उद्योग और उपभोक्ताओं के अधिकारों की भूमिका के बारे में मौलिक प्रश्न खोले हैं। "क्या होगा अगर मैं हमारे इक्विफेक्स को चुनना चाहता हूं?" शहाकोव्स्की ने पूछा। स्मिथ ने उत्तर दिया, "क्रेडिट रिपोर्टिंग एजेंसियों की भूमिका के बारे में व्यापक चर्चा की आवश्यकता है।" रेप। टोनको, एक न्यूयॉर्क डेमोक्रेट, ने भावना को प्रतिध्वनित किया, यह इंगित करते हुए कि वह वास्तव में "ग्राहक" नहीं है, इक्विफेक्स के साथ व्यापार करने के लिए कभी नहीं चुना। "इस कंपनी को क्यों जारी रखने की अनुमति है?" उसने पूछा। विभिन्न बिंदुओं पर, स्मिथ ने पहचान साबित करने के तरीके के रूप में सामाजिक सुरक्षा संख्याओं के मूल्य पर सवाल उठाया और "उपभोक्ता को शक्ति वापस" देने के लिए अस्पष्ट संदर्भ दिए।

दिन का सबसे बड़ा सवाल कैलिफोर्निया के डेमोक्रेट डोरिस मात्सुई से आया: "क्या मैं अपना डेटा खुद कर सकता हूं?" स्मिथ जवाब नहीं दे सके। (यह भी देखें, ब्लॉकचेन आपको बना सकता है - समान नहीं - आपके डेटा का स्वामी। )