Согласно выводам внутреннего расследования Equifax, хакеры использовали уязвимость на американском сайте компании, чтобы получить доступ к ее файлам. Злоумышленники использовали его с середины мая до июля. Сама же компания узнала об утечке 29 июля и с тех пор не увидела доказательств неавторизированной активности в своих системах. 

Помимо общих данных, хакерам также удалось получить номера кредитных карт 209 000 потребителей и документы с персональной информацией, использованной в спорах, для 182 000 людей. Но наличие в распоряжении злоумышленников полных имен, номеров социального страхования, дат рождения и домашних адресов уже позволяет им выдавать себя за жертв перед кредиторами, страховыми компаниями и поставщиками услуг. 

Такой огромный массив данных о 44% населения США (если вычесть детей и людей без кредитной истории, процент становится еще больше) может оказаться не только у хакеров, желающих заработать, но через черный рынок в руках спецслужб вражеских государств. Более половины американцев в течение ближайших лет могут столкнуться со значительным риском мошенничества. “В шкале от 1 до 10, в плане риска для потребителей это 10”, – прокомментировал The New York Times аналитик Gartner.

При этом, к реакции Equifax на инцидент уже есть множество претензий. Хотя компания наняла для расследования стороннюю фирму в сфере кибербезопасности, об утечке данных умалчивали пять недель. О ней все же знало ФБР, которое отслеживало ситуацию. 

По данным Bloomberg, прежде чем публично объявить о взломе, три топ-менеджера Equifax продали акций компании на $1,8 млн. Среди них был и главный финансист фирмы. Но в Equifax заявляют, что на момент продажи (спустя три дня после обнаружения взлома 29 июля) менеджеры не знали об инциденте.

Чтобы граждане проверили, затронула ли их утечка, в компании запустили веб-сайт equifaxsecurity2017.com. Но выяснилось, что и у него множество проблем. ArsTechnica пишет, что он использует стоковую версию WordPress, которая никак не соответствует enterprise-уровню безопасности. При этом у пользователей запрашивают их фамилию и последние четыре цифры номера соцстрахования. Домен сайта не зарегистрирован на Equifax, при этом его формат выглядит так, как будто это фишинговый сайт.

Еще один способ узнать затронула ли данные человека утечка – позвонить на “специальную горячую линию”. Журналист TechCrunch попытался дозвониться, но трижды после длительного ожидания там лишь вешали трубку. Пользователи, которые смогли дозвониться, утверждают, что операторы не могут помочь и лишь направляют людей на сайт. 

Недавно у популярного сериала Mr.Robot, где хакеры зашифровывают данные крупнейшей корпорации о долгах граждан, вышел трейлер третьего сезона. Ситуация с Equifax выглядит как его продолжение. 

Напомним, что в прошлом году стало известно о двух крупных утечках данных пользователей Yahoo – на 500 млн и миллиард пользователей. Также всплыли данные 100 млн аккаунтов “ВКонтакте”, которые оказались результатом взлома сайта в 2011-2013 годах. Но все эти утечки обнародовали лишь незначительную информацию и пользователях и в большинстве случаев необходимо было лишь сменить пароль к сервису.