75 575 εκατομμύρια διακανονισμός Equifx περιγράφει τα βασικά στοιχεία της ασφάλειας για την επιχείρησή σας

Πιάστε το λογισμικό σας. Διαχωρίστε το δίκτυό σας. Παρακολουθήστε για όσους έχουν εμπλακεί. Σύμφωνα με τους εμπειρογνώμονες της τεχνολογίας, είναι τα βασικά στοιχεία της ασφάλειας για οποιαδήποτε επιχείρηση μεγέθους. Αλλά όταν είστε η βιομηχανία dev eco -fax – μια εταιρεία που περιέχει μια καταπληκτική ποσότητα εξαιρετικά εμπιστευτικών πληροφοριών για περισσότερα από 200 εκατομμύρια Αμερικανούς – είναι σχεδόν αδιανόητο να εφαρμόσει αυτές τις βασικές επιφυλάξεις στην πράξη. Ένα FTC, CFPB, και τουλάχιστον 575 εκατομμύρια δολάρια σε κρατικό διακανονισμό AG Οι καταναλωτές περιγράφουν τραυματισμό όταν οι εταιρείες αγνοούν τους κινδύνους ευαίσθητων δεδομένων (και πρόληψης). Διαβάστε για τα σημεία ασφαλείας για την επιχείρησή σας και τι μπορούν να κάνουν οι χρήστες για να πληρώσουν για τις απώλειές τους και να εγγραφούν για δωρεάν παρακολούθηση πιστωτικών.

Οι παραβιάσεις δεδομένων Aquifx υπήρξαν στους τίτλους, αλλά τι συνέβη πίσω από την οθόνη; Σύμφωνα με ΚαταγγελίαΤον Μάρτιο του 2017, οι εμπειρογνώμονες στον κυβερνοχώρο του οικολογικού προσωπικού και άλλων εταιρειών και άλλων εταιρειών ενός σημαντικού κινδύνου ασφάλειας σε λογισμικό ανοιχτού κώδικα που χρησιμοποιείται για την κατασκευή εφαρμογών Java Web. Η προειδοποίηση προειδοποίησε οποιονδήποτε χρησιμοποιεί την αδύναμη έκδοση του λογισμικού ότι θα μπορούσε να ενημερωθεί αμέσως στην έκδοση Free Patch. Ο Τύπος ανέφερε ότι οι χάκερ είχαν ήδη αρχίσει να εκμεταλλεύονται τον κίνδυνο.

Η ομάδα Security Equifx έλαβε την ειδοποίηση των ΗΠΑ-CRT στις 9 Μαρτίου 2017 και την έστειλε σε περισσότερους από 400 υπαλλήλους με οδηγίες ότι το προσωπικό του πληγέντος θα πρέπει να το διορθώσει εντός 48 ωρών, όπως οι ανάγκες της πολιτικής διαχείρισης της εταιρείας. Μέσα σε μια εβδομάδα, η Equifx πραγματοποίησε σάρωση με στόχο την εξεύρεση αδύναμων μορφών του υπόλοιπου λογισμικού στο δίκτυό του. Αλλά η σάρωση δεν ήταν στο έργο, το οποίο τελικά αποδείχθηκε καταστροφικό για τους καταναλωτές. Σύμφωνα με την καταγγελία, η εταιρεία χρησιμοποίησε έναν αυτόματο σαρωτή που απέτυχε να ανιχνεύσει ότι το αδύναμο λογισμικό ζει σε ένα μέρος του αυτοματοποιημένου συστήματος συνεντεύξεων καταναλωτών (ACIS) της εταιρείας. Η αγωγή φέρεται να μην ήταν γνωστή για την αδυναμία του “ανοιχτού mole” στο σύστημά του για μήνες.

Τα δεδομένα αποθηκεύτηκαν στην πύλη ACIS; Εάν ήσασταν “μόνοι στο σπίτι” αφού το κάνετε αυτό σε αυτό το πρόσωπο, ίσως είναι καιρός να είναι μια πύλη όπου η Aquifx συγκέντρωσε πληροφορίες σχετικά με τις διαφορές των καταναλωτών, συμπεριλαμβανομένων των πελατών που έχουν μεταφορτώσει έγγραφα. Επιπλέον, η Equifx χρησιμοποίησε αυτήν την πλατφόρμα για την κατάψυξη της πίστωσης των χρηστών, της προειδοποίησης για απάτη και ακόμη και της ελεύθερης ετήσιας πιστωτικής έκθεσης. Με αυτόν τον τρόπο, εκατομμύρια χρήστες μιλούν με την πύλη ACIS κάθε χρόνο. Καταγγελία Λεπτομέρειες περιγράφουν, αλλά αρκεί να πούμε ότι για το InfoCox για τους αριθμούς κοινωνικής ασφάλισης, τη γέννηση ημερομηνίας, τον αριθμό της πιστωτικής κάρτας, τις ημερομηνίες λήξης κ.ο.κ., τα δεδομένα ACIS ήταν εξοπλισμός Premo.

Οι καταναλωτές που κυνηγούσαν τραυματισμό ήταν το γεγονός ότι τα ACIs κατασκευάστηκαν αρχικά στη δεκαετία του 1980, και ακόμη και τα έγγραφα Eco -Fax στο σπίτι αναφέρονται σε αυτό ως “αρχαιολογία” και “αρχαία τεχνολογία”. Επιπλέον, η καταγγελία ισχυρίζεται ότι όταν η Eco -Fax έστειλε αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου σε περισσότερους από 400 υπαλλήλους που τους προειδοποίησαν για την ανάγκη για μια ενημερωμένη έκδοση κώδικα, η εταιρεία δεν ενημέρωσε το μέλος του προσωπικού που είναι υπεύθυνο για το τμήμα ACIS.

Η Equifx απέτυχε να ανακαλύψει την παράνομη απειλή για περισσότερο από τέσσερις μήνες. Στα τέλη Ιουλίου 2017, η ομάδα ασφαλείας της εταιρείας παρακολούθησε ύποπτη κυκλοφορία στην πύλη ACIS. Το μπλοκάρουν, αλλά την επόμενη μέρα εντόπισαν πρόσθετη απαράδεκτη κυκλοφορία. Ταυτόχρονα, όταν η Eco -Fax έβγαλε την πλατφόρμα και προσέλαβε έναν εγκληματολογικό σύμβουλο που καθόρισε αυτόν τον χάκερμικρό Είχε ήδη εκμεταλλευτεί τον κίνδυνο. Αλλά χειροτερεύει. Ο σύμβουλος διαπίστωσε ότι μία φορά στο σύστημα ACIS, οι εισβολείς κατάφεραν να έχουν πρόσβαση σε άλλα μέρη του δικτύου και περιείχαν επίσης ιδιαίτερα εμπιστευτικές πληροφορίες μέσω δεκάδων άσχετων βάσεων δεδομένων. Επιπλέον, είχαν πρόσβαση στον χώρο αποθήκευσης της βάσης δεδομένων ACIS, ο οποίος περιελάμβανε ένα απλό διαχειριστικό διαχειριστικό κείμενο, τα οποία κατέλαβαν ακόμη πιο ευαίσθητα δεδομένα. Σύμφωνα με την εγκληματολογική ανάλυση της Equifx, οι επιτιθέμενοι κατάφεραν να κλέψουν περίπου 147 εκατομμύρια ονόματα και ημερομηνία γέννησης, 145 εκατομμύρια αριθμούς κοινωνικής ασφάλισης και 209.000 αριθμούς πιστωτικών και χρεωστικών καρτών και ημερομηνίες λήξης.

Καταγγελία Υποστηρίχθηκε ότι διάφορα μέτρα οικολογικού κοινού και αποτυχίας εφαρμογής της παραβίασης του νόμου FTC και λόγω των κανόνων των Gram Lich Billy Safe Guards, στους οποίους πρέπει να ασκηθούν και να διατηρηθούν τα χρηματοπιστωτικά ιδρύματα. Για παράδειγμα:

• Η Equifx δεν έλεγξε για να εξασφαλίσει ότι οι εργαζόμενοι ακολουθούν τη διαδικασία επιδιόρθωσης.
• Η Equifx απέτυχε να ανιχνεύσει ένα έμπλαστρο επειδή η εταιρεία χρησιμοποίησε μια αυτοματοποιημένη σάρωση που δεν δημιουργήθηκε σωστά για να ελέγξει όλα τα μέρη που θα μπορούσαν να χρησιμοποιήσουν αδύναμο λογισμικό.
• Η Equifx απέτυχε να διαχωρίσει το δίκτυό του για να περιορίσει τον τρόπο με τον οποίο θα μπορούσε να κλέψει τα ευαίσθητα δεδομένα που θα μπορούσε να κλέψει ο εισβολέας.
• Equifix Αποθηκευμένα πιστοποιητικά διαχειριστή και κωδικούς πρόσβασης σε αρχεία απλού κειμένου χωρίς προστασία.
• Το Equifx απέτυχε να ενημερώσει το πιστοποιητικό ασφαλείας, το οποίο έληξε πριν από 10 μήνες. Και
• Το Equifx δεν ανίχνευσε την παρέμβαση στα συστήματα “κληρονομιάς” όπως το ACIS.

Η καταγγελία ανέφερε παράγοντες που διαδραμάτισαν ζωτικό ρόλο στην παραβίαση των προσωπικών πληροφοριών των καταναλωτών σε μεγάλο αριθμό αναλογιών.

Επίλυση Ένα ταμείο πρέπει να πληρώσει τουλάχιστον 300 εκατομμύρια που θα παρέχουν υπηρεσίες παρακολούθησης πιστώσεων στους πληγέντες χρήστες, θα αντισταθμίσουν όσους αγοράζουν υπηρεσίες παρακολούθησης πίστωσης ή αναγνώρισης από το Eco -Fax και θα πληρώσουν τους χρήστες για έξοδα από τσέπες που προκύπτουν από παραβίαση δεδομένων 2017. Εάν η αρχική πληρωμή δεν είναι αρκετή για να αντισταθμίσει τις ζημίες τους στους καταναλωτές, τότε το Ταμείο Equifx θα αυξήσει τα εκατομμύρια σε 125 εκατομμύρια. Το Equifx θα πληρώσει επίσης 100 εκατομμύρια έως 100 εκατομμύρια δολάρια έως 48 κράτη, την Κολούμπια και το Πουέρτο Ρίκο και το CFPB. (Η FTC δεν έχει νομική εξουσία να αποκτά αστικά πρόστιμα σε μια τέτοια περίπτωση.)

Η οικονομική θεραπεία είναι μόνο ένα μέρος του οικισμού. Σύμφωνα με τη σειρά, η Equifx πρέπει να επιβάλλει την ανάγκη για ένα ολοκληρωμένο πρόγραμμα ασφάλειας πληροφοριώνNG – εκτός από άλλα πράγματα – αυτοί:

• Το Equifx πρέπει να είναι ένα πρέπει να μοιράζεταιΕτήσιες ανασκοπήσεις εσωτερικών και εξωτερικών κινδύνων ασφαλείας, εφαρμόζουν μέτρα ασφαλείας για την αντιμετώπισή τους και εξετάζουν την αποτελεσματικότητα αυτών των προστατευτικών μέτρων.
• Απαιτείται ισορροπίαΟι προμηθευτές με πρόσβαση σε προσωπικές πληροφορίες που αποθηκεύονται από την EquIFX επιβάλλουν επίσης τα κατάλληλα προγράμματα ασφαλείας. Και
• Equifix must g“Στην πραγματικότητα,” Ναι, επιβεβαιώνω ότι η εταιρεία συμμορφώνεται με την ανάγκη για ένα κατάλληλο πρόγραμμα ασφάλειας πληροφοριών “, λέει τα ετήσια πιστοποιητικά του διοικητικού συμβουλίου της Equifx.

Ο διακανονισμός Equifx είναι μια μελέτη για το πώς τα βασικά αναμνηστικά ασφαλείας μπορούν να παράγουν εκπληκτικά αποτελέσματα. Υπάρχουν κάποια σημεία εδώ που μπορούν να πάρουν άλλες εταιρείες από αυτήν την υπόθεση – και δεν έπρεπε να βρούμε περισσότερο για συμβουλές. Οι τιμές προέρχονται από το φυλλάδιο FTC, ξεκινήστε με την ασφάλεια.

“Ενημέρωση και patch τρίτο λογισμικό Party.” Οι εταιρείες πρέπει να αντιμετωπίζουν πολύ σοβαρά τις προειδοποιήσεις ασφαλείας. Η πολιτική διαχείρισης του Patch 48 του Eco Fax μπορεί να φαίνεται καλή σε χαρτί, αλλά το χαρτί δεν μπορεί να επιδιορθώσει την αδυναμία ενός σημαντικού λογισμικού. Φυσικά, θα πρέπει να ζητήσετε από την ομάδα πληροφορικής σας να επιβάλει τα κατάλληλα μπαλώματα και μεταρρυθμίσεις. Αλλά χρειάζεστε επίσης μια ζώνη και ύποπτο σύστημα για να διασφαλίσετε ότι η εταιρεία σας ακολουθεί αποτελεσματικά.

“Βεβαιωθείτε ότι η κατάλληλη ρύθμιση.” Δεν υπάρχει τίποτα κακό με τη χρήση μιας αυτόματης ανίχνευσης κινδύνου, αλλά αν δεν έχει οριστεί να ξέρει πού να δει πού να δει, είναι απλώς ένας άλλος συνδυασμός μηδέν και ανθρώπων. Η καταγγελία ισχυρίζεται ότι το Equifx έχει θέσει το ζήτημα, χωρίς να διατηρεί το σωστό απόθεμα του λογισμικού που λειτουργούσε το σύστημα – μια βασική άσκηση που διευκολύνει την πλατφόρμα ACIS για να βρει κίνδυνο.

“Παρακολούθηση της δραστηριότητας στο δίκτυό σας.” Ποιος έρχεται και τι συμβαίνει; Μια αποτελεσματική συσκευή ανίχνευσης παρέμβασης ρωτά πότε αισθάνεται μη εξουσιοδοτημένη δραστηριότητα. Ένα αποτελεσματικό σύστημα ανίχνευσης παρέμβασης μπορεί να βοηθήσει την Ecross να ανιχνεύσει σύντομα τον κίνδυνο, μειώνοντας έτσι τον αριθμό των προσβεβλημένων χρηστών.

“Κατηγορία του δικτύου σας.” Η ιδέα πίσω από τα σφιχτά διαμερίσματα του πλοίου είναι ότι ακόμη και αν ένα τμήμα αυτής της δομής διατηρεί τη ζημιά, ολόκληρο το σκάφος δεν θα μειωθεί. Διαχωρισμός του δικτύου σας – Η αποθήκευση ευαίσθητων δεδομένων σε ξεχωριστές ασφαλείς θέσεις στο σύστημά σας – μια παρόμοια μείωση μπορεί να είναι αποτελεσματική. Ακόμη και αν ο επιτιθέμενος κρύβεται σε ένα μέρος του συστήματός σας, τα σωστά διαιρεμένα δεδομένα δικτύου μπορούν να βοηθήσουν στην αποτροπή της πλήρους μετατραπίας του OOP σε OMG.

Η FTC έχει περισσότερες συμβουλές για την ασφάλεια για τις επιχειρήσεις. Επηρεάζεστε από παραβίαση του Equifx; Δείτε το ftc.gov/equifax (επίσης διαθέσιμο στα ισπανικά) για πληροφορίες σχετικά με τον τρόπο υποβολής αίτησης για αποζημίωση.