O assentamento de Equifax de US $ 575 milhões ilustra o básico de segurança para o seu negócio

Patch seu software. Segmentar sua rede. Monitore para invasores. Segundo especialistas em tecnologia, esses são básicos de segurança para empresas de qualquer tamanho. Mas quando você é a gigante da indústria Equifax – uma empresa de posse de quantidades impressionantes de informações altamente confidenciais sobre mais de 200 milhões de americanos – é quase impensável não implementar essas proteções fundamentais. Um acordo FTC, CFPB e AG do estado de pelo menos US $ 575 milhões ilustra a lesão aos consumidores quando as empresas ignoram ameaças razoavelmente previsíveis (e evitáveis) a dados sensíveis. Continue lendo dicas de segurança para o seu negócio e o que os consumidores podem fazer para obter compensação por suas perdas e inscreva -se no monitoramento gratuito de crédito.

A violação de dados da Equifax esteve nas manchetes, mas o que aconteceu nos bastidores? De acordo com o reclamaçãoEm março de 2017, a US-Cert-os especialistas em cibernética da Homeland Security-alertou a Equifax e outras empresas sobre uma vulnerabilidade crítica de segurança em software de código aberto usado para criar aplicativos da Web Java. O alerta alertou qualquer pessoa que use uma versão vulnerável do software para atualizá -lo imediatamente para uma versão de remendada gratuita. Não demorou muito para que a imprensa relatasse que os hackers já haviam começado a explorar a vulnerabilidade.

A equipe de segurança da Equifax recebeu o alerta do US-Cert em 9 de março de 2017 e o enviou a mais de 400 funcionários com instruções que os funcionários responsáveis ​​pelo software afetado devem corrigi-lo dentro de 48 horas, conforme exigido pela política de gerenciamento de patches da empresa. Dentro de uma semana, a Equifax realizou uma varredura destinada a procurar formas vulneráveis ​​do software que permanece em sua rede. Mas o Scan Equifax conduzido não estava à altura da tarefa, o que acabou sendo devastador para os consumidores. De acordo com a denúncia, a empresa usou um scanner automático configurado incorretamente que não detectou que o software vulnerável estava vivo e bem em uma parte do sistema de entrevista automatizado (ACIs) da empresa. O processo alega que a Equifax não detectou a vulnerabilidade de “gergelim aberto” em seu sistema por meses.

Quão sensível foram os dados armazenados no portal da ACIS? Se já faz um tempo desde que você fez esse grito prático de “Home Alone”, agora pode ser o momento, porque era o portal em que a Equifax coletou informações sobre disputas de consumidores, incluindo a documentação enviada pelos consumidores. Além disso, a Equifax usou essa plataforma para congelamentos de crédito ao consumidor, alertas de fraude e até solicitações para um relatório de crédito anual gratuito. Assim, milhões de consumidores interagiram com o portal da ACIS todos os anos. O reclamação descreve os detalhes, mas basta dizer que, para os Infocrooks, procurando números de previdência social, datas de nascimento, números de cartão de crédito, datas de validade e similares, os dados sobre a ACIs foram o material primo de grau A.

Compondo a lesão aos consumidores foi o fato de que as ACIs foram originalmente construídas na década de 1980 e até documentos internos da Equifax se referiam a ele como “arcaico” e “tecnologia antiquada”. Além disso, a denúncia alega que, quando a Equifax enviou esse email para mais de 400 de seus funcionários, alertando -os sobre a necessidade do patch, a empresa não alertou o membro da equipe responsável pela parte da ACIS com a vulnerabilidade.

Equifax não conseguiu descobrir a vulnerabilidade não patched por mais de quatro meses. No final de julho de 2017, a equipe de segurança da empresa viu tráfego suspeito no portal da ACIS. Eles o bloquearam, mas identificaram tráfego questionável adicional no dia seguinte. Foi quando Equifax pegou a plataforma offline e contratou um consultor forense que determinou que o hackers já havia explorado a vulnerabilidade. Mas fica pior. O consultor descobriu que, uma vez dentro do sistema ACIS, os invasores puderam obter acesso a outras partes da rede e vasculhar dezenas de bancos de dados não relacionados também contendo informações altamente confidenciais. Além disso, eles acessaram um espaço de armazenamento conectado aos bancos de dados da ACIS que incluíam credenciais administrativas armazenadas em texto simples, que eles costumavam obter dados ainda mais sensíveis. De acordo com a análise forense da Equifax, os invasores foram capazes de roubar (entre outras coisas) aproximadamente 147 milhões de nomes e datas de nascimento, 145 milhões de números de previdência social e 209.000 números de cartão de crédito e débitos e datas de vencimento.

O reclamação Alega que várias ações da Equifax-e falhas em agir-levaram a violações da Lei da FTC e a regra de salvaguardas da Bliley Gramm-Bliley, que exige que as instituições financeiras implementem e mantenham um programa abrangente de segurança da informação. Por exemplo:

  • Equifax não verificou para garantir que os funcionários seguissem o processo de patch;
  • A Equifax não conseguiu detectar que um patch era necessário porque a empresa usou uma varredura automatizada que não foi configurada corretamente para verificar todos os lugares que poderiam estar usando o software vulnerável;
  • A Equifax não conseguiu segmentar sua rede para limitar a quantidade de dados sensíveis que um invasor poderia roubar;
  • Credenciais e senhas de administrador armazenadas da Equifax em arquivos de texto simples desprotegidos;
  • A Equifax não atualizou os certificados de segurança que haviam expirado 10 meses antes; e
  • A Equifax não detectou intrusões em sistemas “legados” como o ACIS.

A denúncia cita aqueles como fatores que contribuíram para uma violação das informações pessoais dos consumidores de proporções maciças.

O povoado Exige que a Equifax pague pelo menos US $ 300 milhões a um fundo que fornecerá aos consumidores afetados serviços de monitoramento de crédito, compensarão pessoas que compraram serviços de monitoramento de crédito ou identidade da Equifax e reembolsar os consumidores por despesas diretas incorridas como resultado do 2017 violação de dados. A Equifax somará US $ 125 milhões a mais ao fundo se o pagamento inicial não for suficiente para compensar os consumidores por suas perdas. A Equifax também pagará US $ 175 milhões a 48 estados, o Distrito de Columbia e Porto Rico e uma penalidade civil de US $ 100 milhões ao CFPB. (A FTC não tem autoridade legal para obter multas civis em um caso como este.)

Remédios financeiros são apenas parte do acordo. De acordong – entre outras coisas – que:

  • Equifax deve coAvaliações anuais do cenário de riscos de segurança interna e externa, implemente salvaguardas para resolvê -los e testar a eficácia dessas salvaguardas;
  • Equifax deve aSSure que os prestadores de serviços têm acesso a informações pessoais armazenadas pelo Equifax também implementam programas de segurança apropriados; e
  • Equifax deve gET Certificações anuais do Conselho de Administração da Equifax, dizendo, com efeito: “Sim, atesto que a empresa está cumprindo a exigência do pedido de um programa de segurança de informação apropriado”.

O acordo da Equifax é um estudo sobre como os erros básicos de segurança podem ter consequências impressionantes. Aqui estão algumas dicas que outras empresas podem tirar do caso – e não precisamos procurar conselhos longe. As citações são todas do folheto da FTC, comece com segurança.

“Atualize e patch software de terceiros.” As empresas devem tratar um aviso de segurança da US-Cert com a máxima seriedade. A política de gerenciamento de patches de 48 horas da Equifax pode ter parecido bem no papel, mas o papel não pode consertar uma vulnerabilidade crítica de software. Obviamente, você deve dizer à sua equipe de TI para implementar patches e correções apropriados. Mas você também precisa de um sistema de cinto e suspensão para garantir que sua empresa siga efetivamente.

“Garanta a configuração adequada.” Não há nada inerentemente errado em usar uma varredura de vulnerabilidade automatizada, mas se não estiver configurada para saber para onde procurar, é apenas mais uma coleção de zeros e um. A denúncia alega que a Equifax agravou o problema por não manter um inventário preciso de quais sistemas executam qual software – uma prática fundamental que facilitaria encontrar a vulnerabilidade na plataforma da ACIS.

“Monitore a atividade em sua rede.” Quem está chegando e o que está saindo? É isso que uma ferramenta eficaz de detecção de intrusões pergunta quando sente a atividade não autorizada. Um sistema eficaz de detecção de intrusão poderia ter ajudado a Equifax a detectar a vulnerabilidade mais cedo, reduzindo assim o número de consumidores afetados.

“Segmento da sua rede.” A idéia por trás dos compartimentos estanques dos navios é que, mesmo que uma parte da estrutura sofra danos, toda a embarcação não diminuirá. Segmentar sua rede – armazenando dados confidenciais em locais seguros separados no seu sistema – pode ter um efeito de atenuação semelhante. Mesmo que um invasor se transforme em uma parte do seu sistema, uma rede segmentada adequadamente pode ajudar a impedir que um OOPS de dados se transforme em um OMG de pleno direito.

A FTC tem mais conselhos de segurança para as empresas. Você é um consumidor afetado pela violação do Equifax? Visite ftc.gov/equifax (também disponível em espanhol) para obter informações sobre como se inscrever em compensação.

Source link

Photo of Rui Manuel Oliveira

Rui Manuel Oliveira

Artigos Relacionados

Como convencer meu esquecido pai de 77 anos, é hora de assumir suas finanças? O psicoterapeuta do dinheiro Vicky Reynal responde

5 Maio 2025

Banco do Reino Unido, Trump Tarifas sobre o efeito dos medos no crescimento preparado para reduzir as taxas | Taxas de juros

5 Maio 2025

Por que você não deve confiar em tudo o que lê sobre o trabalho de ‘cama’ dos EUA | Sinais de genes

4 Maio 2025

Jeff Prestridge: Inspirado pelo esquadrão da polícia!, Como um diretor da empresa virou as mesas em um fraudador infeliz

4 Maio 2025
Botão Voltar ao Topo