Zakelijk

575 miljoen Equfax -schikking geeft de basisprincipes van de beveiliging weer voor uw bedrijf

Photo of Britt van den Heuvel Britt van den Heuvel20 maart 2025
6 5 minutes read


Patch uw software. Uw netwerksectie. Gecontroleerd op indringers. Volgens technologie -experts zijn ze fundamenteel voor elke bedrijfsactiviteiten. Wanneer u echter een industriële gigantische Equiphax bent – een organisatie die wordt bezet door meer dan 200 miljoen Amerikanen – is het bijna onvoorstelbaar om deze basisbescherming niet te implementeren. Een FTC, CFPB en minimaal $ 575 miljoen staatsregeling Wanneer agentschappen de dreiging van redelijk verwachte (en te voorkomen) voor gevoelige gegevens negeren, geven ze de verwondingen van klanten weer. Lees voor de beveiligingstips voor uw bedrijf en klanten om hun verlies te vergoeden en zich aan te melden voor gratis krediet.

Equfax -gegevens staan ​​in de titel, maar wat gebeurde er achter het scherm? Overeenkomstig KlachtIn maart 2017 waarschuwden de cyberdeskundigen van de VS-Cert-Homeland Security Equfax en andere bedrijven voor een kritische beveiligingszwakte van open-source software die wordt gebruikt om webtoepassingen te maken. De waarschuwing gebruikte een zwakke versie van iemand die onmiddellijk werd gewaarschuwd om bij te werken naar een gratis patch -versie. De pers meldde dat de hackers al waren begonnen met het exploiteren van de zwakte.

Het beschermingsteam van Equfax ontving op 9 maart 2017 een US-SIRT-alert en stuurde deze naar meer dan 400 werknemers met instructies dat het personeel dat verantwoordelijk is voor de getroffen software binnen 48 uur zou moeten zijn, zoals nodig is door het Patches Management-beleid van het bedrijf. Binnen een week scande Equfax een scan om de zwakke vormen van de software op zijn netwerk te doorzoeken. De scan beheerd door de scan niet afhankelijk van de taak, die uiteindelijk destructief voor de klanten bleek. Volgens de klacht heeft het bedrijf een onjuist geconfigureerde automatische scanner gebruikt die niet kon identificeren dat de zwakke software leefde en het geautomatiseerde klantinterviewsysteem (ACIS) van het bedrijf goed was in een deel. De zaak beweert dat Ekofax al maanden niet in staat is geweest om “open sesam” op zijn systeem te detecteren.

Hoe gevoelig waren gegevens opgeslagen in de ACIS -portal? Als u deze hand tegenover “Home Alone” kon onder ogen zien, kan het nu tijd zijn omdat het tijd kan zijn omdat het de portal was waar Icufax informatie verzamelde over consumentengeschillen met documentatie die door consumenten werd geüpload. Ook gebruikt de Equfax -klant het platform voor verzoeken om krediet, fraudewaarschuwing en zelfs een gratis kredietrapport voor een gratis kredietrapport. Aldus namen miljoenen klanten elk jaar contact op met de ACIS -portal. De Klacht Overzicht van de omtrek van de specificatie, maar het is voldoende om te zeggen dat het sofinummer, geboortedatum, creditcardnummer, vervaldatum en de gegevenscijfer van het gegevenscijfer gerelateerd aan Infocruit.

De combinatie van consumentenletsels is het feit dat ACIS oorspronkelijk werd gebouwd in de jaren 1980 en zelfs interne Equipx -documenten werden “archeologisch” en “oude technologie” genoemd. Bovendien wordt de klacht beweerd dat toen Ekofax meer dan 400 werknemers waarschuwde voor de noodzaak van de patch, het bedrijf de leden van de ACIS -partners die verantwoordelijk zijn voor zwakte niet waarschuwden.

Equfax heeft niet meer dan vier maanden ruwe zwakke punten ontdekt. Tegen het einde van juli 2017 identificeerde het beveiligingsteam van het bedrijf verdacht verkeer op de ACIS -portal. Ze blokkeerden het, maar de volgende dag identificeerde hij extra twijfelachtig verkeer. Toen Equfax het platform offline haalde en een forensisch consultant benoemde die deze hacker had bepaaldS De zwakte werd al gebruikt. Maar het wordt erger. De consultants realiseerden zich dat de aanvallers eenmaal binnen het ACIS -systeem toegang konden krijgen tot andere delen van het netwerk en in staat waren om extreem vertrouwelijke informatie te doen via tientallen relatiesdatabases. Bovendien hebben ze toegang tot een opslagruimte die is aangesloten op de ACIS -database, zodat de in eenvoudige tekst van de administratieve certificaten werd opgenomen, die ze meer gevoelige gegevens hebben bewoond. Volgens de forensische analyse van Equfax konden de aanvallers ongeveer 147 miljoen namen en geboortedatum, 145 miljoen sofi -nummers en 209.000 creditcard- en debetkaartnummers en vervaldatums stelen.

De Klacht Er wordt beweerd dat een aantal activiteiten van Equfax en het niet-nalaten van werk-FTC-wetgeving en dorpsblauwe sephords werden geschonden, waarvoor financiële instellingen moeten worden geïmplementeerd en onderhouden in een breed informatiebeschermingsprogramma. Bijvoorbeeld:

  • Na het patchingproces testten werknemers niet Equfax om te bevestigen;
  • Equfax heeft niet vastgesteld dat een patch nodig was omdat het bedrijf een automatische scan gebruikte die niet correct was geconfigureerd om alle plaatsen te verifiëren die de zwakke software konden gebruiken;
  • Ekofax slaagde er niet in zijn netwerk te segenen om te beperken hoe de aanvaller gevoelige gegevens kon stelen;
  • Beheerdersreferenties en wachtwoorden opgeslagen in Equfax op beschermde platte bestanden;
  • ICUFAX heeft 10 maanden geleden niet bij het bijwerken van verlopen beveiligingscertificaten; En
  • Equfax kon infiltratie niet detecteren in het “overerving” -systeem zoals ACIS.

De klacht noemde hen de reden die bijdraagt ​​aan de schending van de persoonlijke informatie van de enorme verhouding van de klant.

De Schikking Equfax vereist dat een fonds ten minste $ 300 miljoen betaalt dat kredietklanten zal leveren aan kredietmonitoringdiensten, zal mensen compenseren die krediet- of identiteitsobservatiediensten van EquFax hebben gekocht en klanten betaalt voor zakuitgaven als gevolg van de gegevensovertreding van 2017. Als Equiofax niet voldoende is om het verlies van klanten te betalen, zal het fonds tot $ 125 miljoen toevoegen aan het fonds. In Ecufax 48 staten zullen Colombia en Puerto ook een boete van $ 100 miljoen burger betalen aan het district en het CFPB -district. (FTC heeft niet de wettelijke autoriteit om een ​​burgerlijke boete te krijgen in dit nationale geval))

Financiële remedies zijn slechts een deel van de schikking. Volgens de bestelling moet Equfax de vereisten van een breed gegevensbeschermingsprogramma toepassenNg – onder andere – het::

  • Equfax is het verloop van de cursusJaarlijkse beoordeling van het interne en externe beschermingsrisico, past bescherming toe om ze op te lossen en de effectiviteit van die bescherming te onderzoeken;
  • Equfax is natuurlijk eenLeveranciers van services, inclusief toegang tot persoonlijke informatie die is opgeslagen door Equfax, passen passende beveiligingsprogramma’s toe; En
  • Equfax is natuurlijk gHet ET -jaarlijkse certificaat van de raad van bestuur van ICUFAX zegt: “Ja, ik bewij dat het bedrijf voldoet aan de vereisten voor het juiste bevel van het programma voor informatiebescherming.”

Een studie van hoe de ICOUFAX -nederzetting een prachtig gevolg kan zijn van misstops voor basisbescherming. Hier zijn een paar tips die andere bedrijven uit de zaak kunnen nemen – en we hoeven niet meer te zien voor ons advies. Alle citaten beginnen met de FTC -brochure, met bescherming.

“Update en patch de software van derden.” Bedrijven moeten zeer serieus worden behandeld vanuit de US-Cert. Het 48 uur van het beleid van Equfax kan er op papier goed uitzien, maar papier kan geen cruciale zwakke software -softwares patchen. Natuurlijk moet uw IT -team worden gevraagd om geschikte patches en fixes toe te passen. U hebt echter ook een riem-en-sindersysteem nodig om ervoor te zorgen dat uw bedrijf effectief volgt.

“Bevestig de juiste configuratie.” Er is niets mis met het gebruik van een automatische zwaktescan, maar als het niet is ingesteld om te weten waar het te zien, is het een andere verzameling nul en nul. De klacht beweert dat Ecufax het probleem gecompliceerder heeft gemaakt door de juiste lijst niet bij te houden van wat Ekofax had uitgevoerd – een basispraktijk die zwakte maakte in het ACIS -platform.

“Observeer activiteiten op uw netwerk.” Wie komt eraan en wat komt er uit? Het vraagt ​​wanneer een effectieve inbraakdetectieapparatuur de ongeautoriseerde activiteit voelt. Een effectief systeem van inbraakdetectie kan helpen om EquipX zeer binnenkort te detecteren, waardoor het aantal beschadigde klanten wordt verminderd.

“Uw netwerksectie.” Het idee achter de waterdichte Bogies van de schepen is dat als een deel van de structuur schade aanhoudt, het hele schip er niet onder zal zijn. Uw netwerk delen – Gevoelige gegevens opslaan in een afzonderlijke beschermde plaats op uw systeem – soortgelijke verzachtende kan van invloed zijn. Zelfs als een aanvaller zich in een deel van uw systeem verbergt, kan een geschikt categorienetwerk helpen voorkomen dat gegevens OPH een volledige OMG worden.

Er zijn meer beveiligingssuggesties voor FTC -bedrijven. Bent u een klant beschadigd door de Equipx -inbreuk? Zie ftc.gov/equifax (ook beschikbaar in het Spaans) voor informatie over het aanvragen van compensatie.



Bronlink

Photo of Britt van den Heuvel Britt van den Heuvel20 maart 2025
6 5 minutes read
Photo of Britt van den Heuvel

Britt van den Heuvel

Related Articles

Klimaatverandering virus, nieuwe studie tonen aan dat kan toenemen

16 maart 2025

Meta gaat high fashion met haar nieuwe Coperney Smart Sunglasses

10 maart 2025

Consumentengezondheidsinformatie: (extreem) beheren met zorg

13 maart 2025

Zakelijke kansen en kredietreparatieschandaal op hun sporen: groeicog en de beste geest om de klachten van FTC tegen te kennen

10 maart 2025
© Copyright 2025, All Rights Reserved  
Back to top button