2017 Equifax-Datenschutzverletzung - 2017 Equifax data breach
Die Datenpanne bei Equifax ereignete sich zwischen Mai und Juli 2017 bei der amerikanischen Kreditauskunftei Equifax . Private Aufzeichnungen von 147,9 Millionen Amerikanern, zusammen mit 15,2 Millionen britischen Staatsbürgern und etwa 19.000 kanadischen Staatsbürgern wurden durch die Verletzung kompromittiert, was sie zu einer der größten Cyberkriminalität im Zusammenhang mit Identitätsdiebstahl macht. In einer Einigung mit der Federal Trade Commission der Vereinigten Staaten bot Equifax betroffenen Benutzern Vergleichsfonds und eine kostenlose Kreditüberwachung an.
Im Februar 2020 klagte die US-Regierung Mitglieder der Volksbefreiungsarmee Chinas an, sich im Rahmen eines massiven Raubüberfalls, der auch den Diebstahl von Geschäftsgeheimnissen umfasste, in Equifax gehackt und sensible Daten geplündert zu haben, obwohl die Kommunistische Partei Chinas diese Behauptungen bestritt.
Datenleck
Die Datenschutzverletzung bei Equifax erfolgte hauptsächlich durch einen Software-Exploit von Drittanbietern, der gepatcht wurde, den Equifax jedoch nicht auf seinen Servern aktualisiert hatte. Equifax hatte das Open-Source- Apache Struts als Website-Framework für Systeme zur Bearbeitung von Kreditstreitigkeiten von Verbrauchern verwendet. Ein wichtiger Sicherheitspatch für Apache Struts wurde am 7. März 2017 veröffentlicht, nachdem ein Sicherheits-Exploit gefunden wurde und alle Benutzer des Frameworks aufgefordert wurden, sofort zu aktualisieren. Sicherheitsexperten fanden eine unbekannte Hackergruppe, die versuchte, Websites zu finden, die Struts bereits am 10. März 2017 nicht aktualisiert hatten, um ein System zu finden, das ausgenutzt werden könnte.
Wie durch eine postmortale Analyse festgestellt wurde, begann der Verstoß bei Equifax am 12. Mai 2017, da Equifax seine Website für Kreditstreitigkeiten noch mit der neuen Version von Struts aktualisieren musste. Die Hacker nutzten den Exploit, um sich Zugang zu internen Servern im Firmennetzwerk von Equifax zu verschaffen. Zu den Informationen, die die Hacker zuerst abgerufen hatten, gehörten interne Zugangsdaten für Equifax-Mitarbeiter, die es den Hackern ermöglichten, die Kreditüberwachungsdatenbanken unter dem Deckmantel eines autorisierten Benutzers zu durchsuchen. Mit Verschlüsselung, um ihre Suche weiter zu maskieren, führten die Hacker mehr als 9000 Scans der Datenbanken durch, extrahierten Informationen in kleine temporäre Archive, die dann von den Equifax-Servern übertragen wurden, um eine Entdeckung zu vermeiden, und entfernten die temporären Archive nach Abschluss. Die Aktivitäten dauerten 76 Tage bis zum 29. Juli 2017, als Equifax den Verstoß entdeckte und anschließend bis zum 30. Juli 2017 den Exploit abschaltete. Mindestens 34 Server in zwanzig verschiedenen Ländern wurden zu verschiedenen Zeitpunkten während des Angriffs genutzt, was die Verfolgung der Täter erschwerte. Während das Versäumnis, Struts zu aktualisieren, ein wesentlicher Fehler war, fand die Analyse des Verstoßes weitere Fehler im System von Equifax, die das Auftreten des Verstoßes leicht machten, einschließlich des unsicheren Netzwerkdesigns, dem eine ausreichende Segmentierung fehlte, eine möglicherweise unzureichende Verschlüsselung personenbezogener Daten ( PII) und unwirksame Mechanismen zur Erkennung von Sicherheitsverletzungen .
Zu den Informationen, auf die bei der Verletzung zugegriffen wurde, gehörten Vor- und Nachnamen, Sozialversicherungsnummern, Geburtsdaten, Adressen und in einigen Fällen die Führerscheinnummern von schätzungsweise 143 Millionen Amerikanern, basierend auf der Analyse von Equifax. Informationen über einen geschätzten Bereich von unter 400.000 bis zu 44 Millionen britischen Einwohnern sowie 8.000 kanadischen Einwohnern wurden ebenfalls kompromittiert. Weitere 11.670 Kanadier waren ebenfalls betroffen, wie Equifax später bekannt gab. Außerdem wurde auf Kreditkartennummern von ungefähr 209.000 US-Verbrauchern und auf bestimmte Streitbeilegungsdokumente mit personenbezogenen Daten von ungefähr 182.000 US-Verbrauchern zugegriffen.
Seit der ersten Offenlegung im September 2017 hat Equifax die Anzahl der Datensätze erweitert, auf die zugegriffen wurde. Sowohl im Oktober 2017 als auch im März 2018 berichtete Equifax, dass auf zusätzliche 2,5 bzw. 2,4 Millionen amerikanische Verbraucherdatensätze zugegriffen wurde, was einer Gesamtzahl von 147,9 Millionen entspricht. Equifax reduzierte seine Schätzung für die von der Datenschutzverletzung betroffenen britischen Verbraucher im Oktober 2017 auf 15,2 Millionen, von denen 693.665 sensible personenbezogene Daten offengelegt hatten. Equifax schätzte auch, dass die Zahl der bei dem Angriff verletzten Führerscheine auf 10 bis 11 Millionen beläuft.
Sicherheitsexperten erwarteten, dass die lukrativen privaten Daten aus der Sicherheitsverletzung umgedreht und auf Schwarzmärkten und im Dark Web verkauft würden , obwohl es seit Mai 2021 keine Anzeichen für einen Verkauf dieser Daten gab. Da die Daten in den ersten 17 Monaten nach dem Verstoß nicht sofort auftauchten, vermuteten Sicherheitsexperten, dass entweder die Hacker hinter dem Verstoß eine beträchtliche Zeit mit dem Verkauf der Informationen warteten, da es zu "heiß" wäre, diese zu verkaufen in der Nähe des Verstoßes war oder dass ein Nationalstaat hinter dem Verstoß steckte und die Daten auf nicht-finanzielle Weise, beispielsweise für Spionage, verwenden wollte.
Offenlegung und kurzfristige Antworten
Am 7. September 2017 gab Equifax den Verstoß und seinen Umfang bekannt, der über 140 Millionen Amerikaner betrifft. VentureBeat bezeichnete die Offenlegung von Daten von über 140 Millionen Kunden als „eine der größten Datenschutzverletzungen in der Geschichte“. Die Equifax-Aktie fiel im frühen Handel am Tag nach der Veröffentlichung des Verstoßes um 13%. Zahlreiche Medien rieten den Verbrauchern, eine Kreditsperre zu beantragen , um die Auswirkungen des Verstoßes zu verringern.
Am 10. September 2017, drei Tage nachdem Equifax den Verstoß aufgedeckt hatte, legte der Kongressabgeordnete Barry Loudermilk (R-GA), der von Equifax zweitausend Dollar an Wahlkampfmitteln erhalten hatte, dem US-Repräsentantenhaus einen Gesetzentwurf vor, der den Verbraucherschutz einschränken würde in Bezug auf die Kreditauskunfteien des Landes, einschließlich der möglichen Schäden in einem Capping Sammelklage Anzug auf $ 500.000 , unabhängig von der Klassengröße oder Höhe des Schadens. Der Gesetzentwurf würde auch alle Strafschadensersatzpflichten beseitigen . Nach Kritik von Verbraucherschützern stimmte Loudermilk zu, die Prüfung des Gesetzesentwurfs "bis zu einer vollständigen und vollständigen Untersuchung des Equifax-Verstoßes" zu verschieben.
Am 15. September veröffentlichte Equifax eine Erklärung, in der die sofortigen Abgänge und Ersetzungen seines Chief Information Officer und Chief Security Officer angekündigt wurden. Die Erklärung enthielt stichpunktartige Details des Einbruchs, seine möglichen Folgen für die Verbraucher und die Reaktion des Unternehmens. Das Unternehmen sagte, es habe am 2. August die Cybersicherheitsfirma Mandiant beauftragt, den Einbruch intern zu untersuchen. In der Erklärung wurde nicht angegeben, wann die US-Regierungsbehörden über den Verstoß informiert wurden, obwohl sie behauptete, dass "das Unternehmen bei seinen Ermittlungen weiterhin eng mit dem FBI zusammenarbeitet".
Am 28. September tun neue Equifax CEO Paulino Rego Barros Jr. auf die Kritik von Equifax reagierte mit dem Versprechen , dass das Unternehmen würde, ab Anfang 2018 ermöglichen „alle Verbraucher die Möglichkeit , den Zugang zu ihren persönlichen Steuern Kreditdaten “, und dass dieser Dienst würde "für das Leben kostenlos angeboten werden".
Am 26. Oktober ernannte Equifax Scott A. McGregor , den Technologievorstand, in seinen Vorstand. Bei der Ankündigung der Änderung verwies der Vorstandsvorsitzende McGregors „umfassende Erfahrung in den Bereichen Datensicherheit, Cybersicherheit, Informationstechnologie und Risikomanagement“. Das Wall Street Journal berichtete, dass er dem Technologieausschuss des Vorstands beigetreten sei, der unter anderem die Aufsicht über die Cybersicherheit hat.
Rechtsstreitigkeiten
In den Tagen nach Bekanntwerden des Verstoßes wurden zahlreiche Klagen gegen Equifax eingereicht. In einer Klage hat die Anwaltskanzlei Geragos & Geragos angekündigt, Schadenersatz in Höhe von bis zu 70 Milliarden US-Dollar zu verlangen , was die größte Sammelklage in der Geschichte der USA wäre. Seit Oktober 2017 haben Hunderte von Verbrauchern Equifax wegen des Datenschutzverstoßes verklagt, wobei einige Fälle von geringfügigen Forderungen über 9.000 US-Dollar, einschließlich tatsächlicher Schäden, zukünftiger Schäden, Angst, Überwachungsgebühren und Strafschadensersatz, gewonnen haben.
Im September 2017 genehmigte Richard Cordray , damals Direktor des Consumer Financial Protection Bureau (CFPB), eine Untersuchung der Datenschutzverletzung im Namen betroffener Verbraucher. Im November 2017 wurde jedoch von Reuters berichtet , dass Mick Mulvaney , der Haushaltschef von Präsident Donald Trump, der von Trump ernannt wurde, um Cordray zu ersetzen, die Untersuchung "zurückgezogen" habe, zusammen mit Cordrays Plänen für Tests vor Ort wie Equifax Daten schützt. Die CFPB lehnte auch die Bankenaufsichtsbehörden der Federal Reserve Bank , der Federal Deposit Insurance Corporation und des Office of the Comptroller of the Currency ab, die anboten, bei Vor-Ort-Prüfungen von Kreditauskunfteien zu helfen. Senatorin Elizabeth Warren , die im Februar 2018 einen Bericht über die Equifax-Verletzung veröffentlichte, kritisierte Mulvaneys Handlungen und erklärte: „Wir enthüllen diesen Bericht, während Mick Mulvaney die Untersuchung der Verbraucherbehörde zum Equifax-Verstoß tötet. Mick Mulvaney schießt einen weiteren Mittelfinger auf Verbraucher."
Am 22. Juli 2019 stimmte Equifax einer Einigung mit der Federal Trade Commission (FTC), CFPB, 48 US-Bundesstaaten, Washington, DC und Puerto Rico zu, um Schäden an betroffenen Personen zu mindern und organisatorische Änderungen vorzunehmen, um ähnliche Verstöße in Zukunft zu vermeiden . Die Gesamtkosten des Vergleichs umfassten 300 Millionen US-Dollar für einen Opferentschädigungsfonds, 175 Millionen US-Dollar für die Staaten und Territorien in der Vereinbarung und 100 Millionen US-Dollar für die CFPB an Geldstrafen. Im Juli 2019 veröffentlichte die FTC auf der Website EquifaxBreachSettlement.com Informationen darüber, wie betroffene Personen eine Klage gegen den Opferentschädigungsfonds einreichen können .
Täter
Das Justizministerium der Vereinigten Staaten gab am 10. Februar 2020 bekannt, dass es vier Angehörige des chinesischen Militärs wegen neun Anklagen im Zusammenhang mit dem Hack angeklagt hat, obwohl es keine zusätzlichen Beweise dafür gibt, dass China die Daten des Hacks seitdem verwendet hat. Die chinesische Regierung bestritt, dass die vier Angeklagten an dem Hack beteiligt waren.
Kritik
Nach der Ankündigung des Verstoßes von Mai bis Juli 2017 stießen die Maßnahmen von Equifax auf weit verbreitete Kritik. Equifax gab nicht sofort bekannt, ob PINs und andere sensible Informationen kompromittiert wurden, und erklärte auch nicht die Verzögerung zwischen der Entdeckung des Verstoßes im Juli und der öffentlichen Ankündigung Anfang September. Equifax gab an, dass die Verzögerung auf die Zeit zurückzuführen sei, die erforderlich sei, um den Umfang des Einbruchs zu ermitteln, und die große Menge an betroffenen personenbezogenen Daten.
Es wurde auch bekannt, dass drei Führungskräfte von Equifax Tage nach der Entdeckung des Verstoßes durch Equifax, jedoch mehr als einen Monat vor der Veröffentlichung des Verstoßes, fast 1,8 Millionen US-Dollar ihres persönlichen Besitzes an Unternehmensaktien verkauften. Das Unternehmen sagte, die Führungskräfte, darunter der Finanzvorstand John Gamble, "hatten zum Zeitpunkt des Verkaufs ihrer Aktien keine Kenntnis von einem Einbruch". Am 18. September berichtete Bloomberg , dass das US-Justizministerium eine Untersuchung eingeleitet habe, um festzustellen, ob gegen Insiderhandelsgesetze verstoßen worden sei. "Wie Bloomberg feststellt, waren diese Transaktionen keine vorgeplanten Geschäfte und fanden am 2. August statt, drei Tage nachdem das Unternehmen von dem Hack erfuhr."
Bei der öffentlichen Aufdeckung des Eindringens in seine Systeme bot Equifax eine Website (https://www.equifaxsecurity2017.com) an, auf der Verbraucher erfahren konnten, ob sie Opfer der Sicherheitsverletzung wurden. Sicherheitsexperten stellten schnell fest, dass die Website viele Gemeinsamkeiten mit einer Phishing- Website aufwies: Sie wurde nicht auf einer bei Equifax registrierten Domain gehostet, hatte eine fehlerhafte TLS-Implementierung und lief auf WordPress, das im Allgemeinen als nicht für Hochsicherheit geeignet angesehen wird Anwendungen. Diese Probleme führten dazu, dass Open DNS es als Phishing-Site einstufte und den Zugriff blockierte. Darüber hinaus mussten Bürger, die die Equifax-Website nutzen wollten, um zu erfahren, ob ihre Daten kompromittiert wurden, ihren Nachnamen und die sechsstellige Sozialversicherungsnummer angeben.
Die Website, die eingerichtet wurde, um zu überprüfen, ob die personenbezogenen Daten einer Person verletzt wurden (trustedidpremier.com), wurde von Sicherheitsexperten und anderen festgelegt, um scheinbar zufällige Ergebnisse anstelle von genauen Informationen zurückzugeben. Wie bei https://www.equifaxsecurity2017.com wurde auch diese Website wie eine Phishing-Website registriert und aufgebaut und von mehreren Webbrowsern als solche gekennzeichnet.
Die Trusted ID Premier-Website enthielt Nutzungsbedingungen vom 6. September 2017 (dem Tag bevor Equifax die Sicherheitsverletzung bekanntgab), die eine Schiedsklausel mit einem Verzicht auf Sammelklagen enthielten . Anwälte sagten, dass die Schiedsklausel mehrdeutig sei und Verbraucher, die sie akzeptierten, dazu zwingen könnten, Ansprüche im Zusammenhang mit dem Cybersicherheitsvorfall zu schlichten. Laut Polly Mosendz und Shahien Nasiripour "befürchten einige, dass sie allein durch die Verwendung einer Equifax-Website, um zu überprüfen, ob ihre Informationen kompromittiert wurden, an ein Schiedsverfahren gebunden sind". Die Website equifax.com hat separate Nutzungsbedingungen mit einer Schiedsklausel und einem Verzicht auf Sammelklagen, aber laut Brian Fung von The Washington Post "ist es unklar, ob dies für das Kreditüberwachungsprogramm gilt". Der New Yorker Generalstaatsanwalt Eric Schneiderman forderte Equifax auf, die Schiedsklausel aufzuheben. Als Reaktion auf Bedenken im Zusammenhang mit Schiedsverfahren gab Equifax am 8. September eine Erklärung ab, in der es heißt, dass „wir als Reaktion auf Verbraucheranfragen klargestellt haben, dass die Schiedsklausel und der Verzicht auf Sammelklagen, die in den Nutzungsbedingungen von Equifax und TrustedID Premier enthalten sind, nicht gelten zu diesem Cybersicherheitsvorfall". Joel Winston, ein Anwalt für Datenschutz, argumentierte, dass die Ankündigung, die Schiedsklausel abzulehnen, "nichts bedeutet", weil die Nutzungsbedingungen angeben, dass es sich um die "gesamte Vereinbarung" zwischen den Parteien handelt. Die Schiedsklausel wurde später aus equifaxsecurity2017.com entfernt und die Nutzungsbedingungen von equifax.com wurden am 12. September dahingehend geändert, dass sie nicht für www.equifaxsecurity2017.com, www.trustedidpremier.com oder www.trustedid.com gelten und Ansprüche, die sich aus diesen Websites oder der Sicherheitsverletzung ergeben, von einem Schiedsverfahren auszuschließen.
Als Reaktion auf die anhaltende öffentliche Empörung gab Equifax am 12. September bekannt, dass sie "für die nächsten 30 Tage auf alle Gebühren für die Sicherheitssperre verzichten".
Equifax wurde von Sicherheitsexperten dafür kritisiert, dass es einen neuen Domainnamen für den Site-Namen registriert hat, anstatt eine Subdomain von zu verwenden equifax.com. Am 20. September wurde berichtet, dass Equifax in mindestens acht separaten Tweets irrtümlicherweise auf eine inoffizielle „gefälschte“ Website statt auf ihre eigene Website zur Meldung von Sicherheitsverletzungen verlinkt hatte , was unwissentlich dazu beitrug , die gemeldeten 200.000 Zugriffe auf die Nachahmungsseite zu lenken. Ein Software-Ingenieur namens Nick Sweeting erstellte die nicht autorisierte Equifax-Website, um zu demonstrieren, wie die offizielle Website leicht mit einer Phishing- Site verwechselt werden kann. Sweetings Website war für Besucher offen, dass es nicht offiziell war, aber Besuchern, die vertrauliche Informationen eingegeben hatten, sagte sie: „Sie haben sich gerade reingelegt! Dies ist [ sic ] keine sichere Website! Tweeten Sie an @equifax, um sie dazu zu bringen, sie in equifax zu ändern. com vor Tausenden von Menschen verlieren [ sic ] ihre Informationen auf Phishing - Seiten!“ Equifax entschuldigte sich für die "Verwirrung" und löschte die Tweets, die auf diese Seite verlinken.