جديد

خرق Equifax DAta - التاريخ

خرق Equifax DAta - التاريخ


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

كان أمان البيانات مصدر قلق منذ ظهور أجهزة الكمبيوتر وأصبح أكثر خطورة منذ نمو الإنترنت والويب. في حين كان هناك العديد من خروقات البيانات ، فإن خرق Equinox الذي يحتوي على قاعدة بيانات هائلة عن الأمريكيين قد تبلور للعديد من مدى خطورة الشبكات غير الآمنة.


تأثر ما يصل إلى 145.5 مليون مستهلك أمريكي باختراق Equifax الهائل ، كما تأثر عدد كبير من المقيمين البريطانيين والكنديين ، عندما وجد هؤلاء الأفراد أنفسهم ضحية لسرقة الهوية من جرائم الإنترنت من Equifax. تم تسجيل هذه الجريمة الإلكترونية كواحدة من أكبر خروقات البيانات في التاريخ.
2016: التحذيرات المبكرة من المخاطر الأمنية
خلال شهر كانون الأول (ديسمبر) من هذا العام ، وجد باحث أمني مكلف بالتعمق في خوادم Equifax أن البوابة الإلكترونية المخصصة حصرية لموظفي Equifax كانت في الواقع مفتوحة ومتاحة للإنترنت بشكل عام. لم يكن من المفترض أن تكون بوابة الموظفين هذه بوابة البيانات الرئيسية التي تمت مناقشتها في خرق Equifax الأساسي ، ولكنها كانت بداية مشكلات أمنية كبيرة.
من منتصف مايو إلى يوليو 2017: تم تنفيذ الهجوم
اخترق المتسللون الإجراميون خوادم البيانات الخاصة بـ Equifax. أدى ذلك إلى الوصول غير المصرح به إلى المعلومات الشخصية لما يقرب من 44 ٪ من السكان الأمريكيين.
يثبت هذا الخرق الأمني ​​الثغرة الأمنية التي تواجهها الشركات فيما يتعلق بالتهديدات الإلكترونية. يجب أن تتطور تكنولوجيا الأمن السيبراني من أجل معالجة هذه التهديدات للأمن بشكل أفضل. يمكن رؤية مثال على ذلك في ملحق لائحة الاستحواذ الفيدرالية للدفاع ، وهو عبارة عن مجموعة من لوائح الأمن السيبراني المطلوب فرضها ، مما يعني أنه يجب أن يكون المقاولون والموردون الآن متوافقين دائمًا مع DFARS.
7 سبتمبر 2017: تم الإعلان عن الخرق علنًا
لم يتم إبلاغ الجمهور بالخرق الأمني ​​إلا بعد أشهر. وأكد هذا الإعلان أن معلومات الهوية التي تم الكشف عنها تضمنت الأسماء وأرقام الضمان الاجتماعي وتواريخ الميلاد والعنوان السكني وحتى أرقام رخصة القيادة.
8 سبتمبر 2017: انخفاض الأسهم
انخفضت أسهم Equifax بعد يوم واحد فقط من إعلان الاختراق ، مع انخفاض بنسبة 13.7٪.
11 سبتمبر 2017: تم طلب جدول زمني
يطلب رئيس لجنة الشؤون المالية في مجلس الشيوخ من شركة Equifax تقديم جدول زمني مفصل للخرق ، بالإضافة إلى تفاصيل تتعلق بجهود Equifax للتعامل مع التطفل والحد من الضرر الذي يلحق بمستهلكيه.
12 سبتمبر 2017: إجازة موظفي Equifax
أعلنت الشركة رسميًا عن تقاعد اثنين من كبار مسؤولي أمن الكمبيوتر. كما تفقد Equifax لاحقًا كبير مسؤولي المعلومات لديها وعرضها الأمني ​​الرئيسي عندما يؤكدون أنهم سيتقاعدون ، ساري المفعول على الفور.
تصدر Equifax أيضًا اعتذارًا عامًا في USA TODAY.
2 أكتوبر 2017: صدور تقرير الطب الشرعي
وكشف هذا التقرير ، الذي قدمته شركة Mediant لأمن الكمبيوتر الجنائي ، أن 2.5 مليون شخص إضافي قد تضرروا من الاختراق. أصدرت Equifax المعلومات التي تم الحصول عليها من التقرير.
3 أكتوبر 2017: الرئيس التنفيذي السابق يدلي بشهادته
الرئيس التنفيذي السابق لشركة Equifax ، ريتشارد سميث ، يدلي بشهادته أمام اللجنة الفرعية للتجارة الرقمية وحماية المستهلك في مجلس النواب. في شهادته ، اعترف "بارتكاب أخطاء".
22 يوليو 2019: تم الاتفاق على تسوية
توافق Equifax على تسوية مع لجنة التجارة الفيدرالية لمعالجة الأضرار التي لحقت بالأفراد المتضررين وتقديم تعويضات ، وكذلك الموافقة على إجراء تغييرات تنظيمية من أجل تجنب المزيد من الانتهاكات الأمنية في المستقبل. تضمن رقم التسوية 300 مليون دولار لتعويض الضحايا ، و 175 مليون دولار للولايات والأقاليم ذات الصلة ، و 100 مليون دولار كغرامات على CFPB.


خرق البيانات

أ خرق البيانات هو النشر المتعمد أو غير المتعمد لمعلومات آمنة أو خاصة / سرية إلى بيئة غير موثوق بها. تشمل المصطلحات الأخرى لهذه الظاهرة الكشف غير المقصود عن المعلومات, تسرب البيانات، تسرب المعلومات وأيضًا تسرب البيانات. تتراوح الحوادث من الهجمات المنسقة من قبل القبعات السوداء ، أو الأفراد الذين يقومون بالقرصنة لتحقيق نوع من المكاسب الشخصية ، المرتبطة بالجريمة المنظمة أو الناشط السياسي أو الحكومات الوطنية ، إلى التخلص غير المبالي من أجهزة الكمبيوتر المستخدمة أو وسائط تخزين البيانات والمصدر غير القابل للاختراق.

التعريف: "خرق البيانات هو انتهاك أمني يتم فيه نسخ البيانات الحساسة أو المحمية أو السرية أو إرسالها أو عرضها أو سرقتها أو استخدامها من قبل فرد غير مصرح له بذلك." [1] قد تتضمن خروقات البيانات معلومات مالية مثل بطاقة الائتمان وتفاصيل بطاقة الخصم أو التفاصيل المصرفية أو المعلومات الصحية الشخصية (PHI) أو معلومات التعريف الشخصية (PII) أو الأسرار التجارية للشركات أو الملكية الفكرية. تتضمن معظم خروقات البيانات بيانات غير مهيكلة مكشوفة وعرضة للخطر - ملفات ووثائق ومعلومات حساسة. [2]

يمكن أن تكون انتهاكات البيانات مكلفة للغاية للمنظمات ذات التكاليف المباشرة (الإصلاح والتحقيق وما إلى ذلك) والتكاليف غير المباشرة (الأضرار التي تلحق بالسمعة ، وتوفير الأمن السيبراني لضحايا البيانات المخترقة ، وما إلى ذلك)

وفقًا لمنظمة المستهلك غير الهادفة للربح Privacy Rights Clearinghouse ، فإن ما مجموعه 227،052،199 سجلًا فرديًا تحتوي على معلومات شخصية حساسة قد تورطت في انتهاكات أمنية في الولايات المتحدة بين يناير 2005 ومايو 2008 ، باستثناء الحوادث التي يبدو أن البيانات الحساسة لم يتم كشفها فعليًا. [3]

أقرت العديد من الولايات القضائية قوانين الإخطار بخرق البيانات ، والتي تتطلب من الشركة التي تعرضت لخرق البيانات إبلاغ العملاء واتخاذ خطوات أخرى لعلاج الإصابات المحتملة.


كيف حدث خرق Equifax؟

مثل حوادث الطائرات ، عادة ما تكون كوارث تقنية المعلومات والاتصالات الكبرى نتيجة لإخفاقات متعددة. سلط التحقيق في خرق Equifax الضوء على عدد من الثغرات الأمنية التي سمحت للمهاجمين بإدخال أنظمة يفترض أنها آمنة وتسلل تيرابايت من البيانات.

تأتي معظم المناقشة في هذا القسم والقسم اللاحق من وثيقتين: تقرير مفصل من مكتب المحاسبة العامة بالولايات المتحدة ، وتحليل متعمق من بلومبرج بيزنس ويك بناء على مصادر داخل التحقيق. تبدو الصورة عالية المستوى لكيفية حدوث خرق بيانات Equifax كما يلي:

  • تم اختراق الشركة في البداية عبر بوابة إلكترونية لشكاوى المستهلكين ، حيث استخدم المهاجمون ثغرة أمنية معروفة على نطاق واسع كان من المفترض أن يتم تصحيحها ، ولكن بسبب الإخفاقات في العمليات الداخلية لـ Equifax ، لم يحدث ذلك.
  • تمكن المهاجمون من الانتقال من بوابة الويب إلى الخوادم الأخرى لأن الأنظمة لم تكن مجزأة بشكل كافٍ عن بعضها البعض ، وكانوا قادرين على العثور على أسماء المستخدمين وكلمات المرور المخزنة في نص عادي مما سمح لهم بعد ذلك بالوصول إلى أنظمة أخرى.
  • قام المهاجمون بسحب البيانات من الشبكة في شكل مشفر دون أن يتم اكتشافهم لعدة أشهر لأن Equifax فشل بشكل حاسم في تجديد شهادة تشفير على إحدى أدوات الأمان الداخلية الخاصة بهم.
  • لم تعلن شركة Equifax عن الانتهاك إلا بعد مرور أكثر من شهر على اكتشاف حدوثها ، أدت مبيعات الأسهم من قبل كبار المديرين التنفيذيين في هذا الوقت تقريبًا إلى اتهامات بالتداول من الداخل.

لفهم كيفية تقاطع كل هذه الأزمات بالضبط ، دعونا نلقي نظرة على كيفية تطور الأحداث.


النتائج

في يوليو 2019 ، أسفرت جلسات الوساطة عن أكبر تسوية دعوى جماعية لخرق البيانات في التاريخ. تشمل التسوية الشاملة أكثر من 505 مليون دولار لفئة المستهلك.

بموجب التسوية ، يحق لأعضاء الفصل أيضًا الحصول على أربع سنوات على الأقل من مراقبة ائتمان من ثلاثة مكاتب مقدمة من Experian (مدفوعة من قبل Equifax) ، مع ست سنوات إضافية من مراقبة ائتمان مكتب واحد مقدمة من Equifax لمنع حدوث ضرر في المستقبل. بدلاً من ذلك ، كان أعضاء الفصل الدراسي قادرين على اختيار الدفع النقدي إذا كان لديهم بالفعل مراقبة الائتمان. بغض النظر عن اختيارهم لمراقبة الائتمان أو المدفوعات النقدية ، سيحصل جميع أعضاء الفصل أيضًا على سبع سنوات من الوصول إلى خدمات استعادة الهوية.

نجح Hausfeld ومستشاره أيضًا في الحصول على تعهدات ملزمة من Equifax لتنفيذ تدابير أمنية موصى بها من قبل الخبراء تهدف إلى تأمين المعلومات الحساسة ، والتي تتم مراقبتها من قبل جهة خارجية مستقلة وقابلة للتنفيذ في المحكمة ، مع مطالبة Equifax بإنفاق مليار دولار على أمن البيانات . تمت الموافقة على التسوية من قبل محكمة المقاطعة وهي حاليًا قيد الاستئناف في الدائرة الحادية عشرة.


ما الذي يجب أن يتعلمه أصحاب العمل من خرق Equifax الأمني ​​[تحديث]

كان التاريخ هو 7 سبتمبر 2017. وذلك عندما كشفت شركة Equifax أنه بين شهري مايو ويوليو من عام 2017 ، دخل المتسللون في شبكة Equifax لسرقة معلومات خاصة حول عملائها في واحدة من أكبر انتهاكات البيانات في تاريخ الولايات المتحدة. تضمنت هذه المعلومات معلومات التعريف الشخصية مثل الأسماء والعناوين وأرقام الهواتف وأرقام الضمان الاجتماعي وأرقام رخصة القيادة وأكثر من 200000 رقم بطاقة ائتمان للمستهلكين الأمريكيين. كانت النتيجة تأثيرًا هائلاً على 145.5 مليون أمريكي بحلول أكتوبر 2017.

ارتفع هذا الرقم الأسبوع الماضي عندما قالت شركة Equifax إن تحليلها المستمر للبيانات المسروقة في حادث العام الماضي كشف أن ما يقرب من 2.4 مليون مستهلك أمريكي آخر قد سُرقت أسماؤهم ومعلومات رخصة السائق الجزئي. لم يكن هؤلاء المستهلكون من السكان المتضررين الذين تم تحديدهم مسبقًا والتي تمت مناقشتها في الإفصاحات السابقة للشركة & # 8217s حول الحادث. كانت هذه المعلومات جزئية لأنها ، في الغالبية العظمى من الحالات ، لم تتضمن المستهلكين وعناوين منازلهم # 8217 ، أو حالات رخصة القيادة الخاصة بهم و # 8217s ، أو تواريخ الإصدار ، أو تواريخ انتهاء الصلاحية.

& # 8220 لا يتعلق هذا بالبيانات المسروقة المكتشفة حديثًا ، & # 8221 قال باولينو دو ريجو باروس الابن ، الرئيس التنفيذي المؤقت في بيان صحفي للشركة. & # 8220It & # 8217s حول غربلة البيانات المسروقة التي تم تحديدها مسبقًا ، وتحليل المعلومات الأخرى في قواعد البيانات الخاصة بنا والتي لم يتم أخذها من قبل المهاجمين ، وإجراء الاتصالات التي مكنتنا من تحديد أفراد إضافيين. & # 8221

كان التأثير على Equifax كبيرًا. سجلت الشركة تسجيلًا رسميًا قائلة إنها أنفقت 87.5 مليون دولار في التحقيق ، بما في ذلك تقديم مراقبة ائتمانية مجانية لمدة عام للمستهلكين المتأثرين. بدأت الدعاوى القضائية والتحقيقات في الكونغرس. تخضع أنشطة وكالات إعداد التقارير الائتمانية للتدقيق.

والأهم من ذلك ، أن تداعيات خرق إحدى أكبر ثلاث وكالات إعداد تقارير ائتمانية في البلاد يمكن أن تؤثر على الأفراد والشركات لعقود قادمة.

المحزن أنه كان من الممكن منع كل هذا.

قبل شهرين من هجوم المتسللين ، تم إبلاغ Equifax من قبل US-CERT ، قسم الأمن السيبراني بوزارة الأمن الداخلي الأمريكية ، بأن البرنامج مفتوح المصدر Equifax المستخدم لتصميم تطبيقات الويب الخاصة به كان معيبًا ويمكن الوصول إليه بسهولة. وبحسب ما ورد تصرف قسم الأمن في Equifax لتحديد المشكلة وتصحيحها ، لكن لم يكن ذلك كافيًا للحفاظ على المعلومات لمئات الملايين من الأمريكيين من التعرض للخطر.

مع دخولنا عام 2018 ، يجب أن يركز أصحاب العمل على ما ينبغي عليهم فعله لضمان عدم تعرضهم لخرق إلكتروني مماثل. في حين أن التداعيات الوطنية للعديد من الشركات قد تكون ضئيلة ، إلا أن التأثير على عملائنا وموظفينا قد يكون كبيرًا. يجب أن يجعل هذا وحده الأمن السيبراني أولوية قصوى لأي عمل تجاري في عام 2018.

أحد اهتمامات المنظمة يتعلق بالبيانات المالية ، وهي محقة في ذلك. ومع ذلك ، فإن التهديد الذي تتعرض له البيانات المتعلقة بالموارد البشرية كبير جدًا ويمكن أن يكون له تأثيرات خطيرة على الأعمال.

فيما يلي بعض العناصر التي يجب وضعها في الاعتبار لعام 2018:

قم بإجراء تدقيق SOC 2 ، وتأكد من أن البائعين لديك كذلك
إذا لم تكن قد أجريت تدقيق SOC 2 ، فيجب أن تفعل ذلك. يُعلم هذا العملاء بالتحكم في منظمة الخدمة التي تتحكم بها مؤسستك لإثبات أن عملك يأخذ الأمن السيبراني على محمل الجد. توفر تقارير SOC 2 للشركات القدرة على إخبار عملائها بكيفية معالجة جهودهم في مجال الأمن السيبراني. تكتب الشركات عناصر التحكم الخاصة بها بناءً على المتطلبات ، مثل الأمان والتوافر و / أو تكامل المعالجة و / أو السرية و / أو الخصوصية ، التي تنطبق على أعمالها. ثم يتم الانتهاء من تدقيق SOC 2 ، مما يوفر رأي المدقق حول كيفية تعامل الضوابط الداخلية للمؤسسة مع متطلبات SOC 2. يجب أن تكون النتيجة النهائية هي الرأي المعترف به بأنه يمكن الوثوق بمزود البيانات كشركة استضافة آمنة. بينما تركز عمليات تدقيق SOC 2 عادةً على البيانات المالية ، يمكن أيضًا تصميم عمليات التدقيق هذه وفقًا للبيانات الداخلية الأخرى ، مثل بيانات الموارد البشرية. تأكد من معالجة جميع البيانات التي تسعى شركتك لحمايتها من مثل هذه الهجمات الإلكترونية. يتضمن ذلك مراجعة كاملة للإجراءات الأمنية ، وتصحيح أي عيوب محتملة على الفور ، وفهم ما يجب القيام به في مواجهة أي هجوم.

تأكد من أنك تستخدم بائعين محميين
يجب على كل مؤسسة أن تنظر إلى مورديها الذين لديهم إمكانية الوصول إلى المعلومات الحساسة لمعرفة ما إذا كانوا قد أجروا أيضًا عمليات تدقيق SOC 2. سيظهر هذا التزامهم بحماية بياناتك. على سبيل المثال ، معلومات الموظف المخزنة رقميًا كجزء من خطط التقاعد تمثل تهديدًا محتملاً للأمن السيبراني لكل من المشتركين في الخطة والمستفيدين منها. قم بإجراء تقييم لمدى إجراءات أمان البيانات التي ينفذها راعي خطتك. تأكد من أن العقود المبرمة مع عقود مزود خدمة الخطة تتناول أمان البيانات بشكل كامل وتوفر التعويضات المناسبة للخطة والمشاركين في الخطة والمستفيدين من الخطة في حالة الخسارة بسبب خرق أمني.

اجمع البيانات التي تحتاجها فقط
عندما تقوم شركتك بجمع المعلومات لعمليات التوظيف ، اطلب فقط ما هو ضروري. إذا لم تكن بحاجة إلى البيانات فعليًا ، فلا تطلبها. على سبيل المثال ، تم بالفعل ذكره في إطار لجنة تكافؤ فرص العمل التي تنص على أن التقارير الائتمانية ضرورية فقط لأدوار محددة. تحظر العديد من الولايات وبعض البلديات طرح أسئلة حول الراتب أو الإدانات السابقة. نتيجة لذلك ، يحتاج أصحاب العمل إلى النظر في المعلومات التي يتم تقديمها كجزء من عمليات التحقق من الخلفية من البائعين الخارجيين ، وما إذا كانت ضرورية لعملية التوظيف. من المحتمل أن يتم اختراق المعلومات التي يتم جمعها وتخزينها على أجهزة كمبيوتر الشركة أو في السحابة. لا تضيف إلى المشكلة المحتملة عن طريق تخزين المعلومات غير الضرورية.


بضع كلمات حول خرق Equifax

كما قد تكون سمعت ، تعرض Equifax ، أحد مكاتب الائتمان الرئيسية الثلاثة ، لخرق هائل للبيانات. تمكن المتسللون من الوصول إلى أسماء الأشخاص وأرقام الضمان الاجتماعي وتواريخ الميلاد والعناوين ، وفي بعض الحالات ، أرقام رخصة القيادة. كما قاموا بسرقة أرقام بطاقات ائتمان لنحو 209000 شخص واعتراضوا على المستندات مع معلومات التعريف الشخصية لنحو 182000 شخص.

باعتبارها واحدة من ثلاث شركات لإعداد التقارير الائتمانية على مستوى البلاد والتي تتعقب وتصنف التاريخ المالي للمستهلكين الأمريكيين ، يتم تزويد Equifax ببيانات حول القروض ومدفوعات القروض وبطاقات الائتمان ، بالإضافة إلى معلومات حول كل شيء بدءًا من مدفوعات إعالة الطفل وحدود الائتمان والمفقودة مدفوعات الإيجار والمرافق والعناوين وتاريخ صاحب العمل ، وكلها عوامل تؤثر في درجات الائتمان.

على عكس خروقات البيانات الأخرى ، قد لا يدرك جميع الأشخاص المتأثرين بخرق Equifax أنهم عملاء للشركة. تحصل Equifax على بياناتها من شركات بطاقات الائتمان والبنوك وتجار التجزئة والمقرضين الذين يقدمون تقارير عن النشاط الائتماني للأفراد إلى وكالات تقارير الائتمان ، وكذلك عن طريق شراء السجلات العامة. نظرًا لأن Equifax هي وكالة تقارير ائتمانية ، فإننا نتفهم أنه قد لا يتم إخطارك بالضرورة إذا تأثرت بالخرق.

أنشأت Equifax موقع أمان خاصًا ، https://www.equifaxsecurity2017.com ، للتحقق من تأثيرك المحتمل. قم بالتمرير إلى أسفل الصفحة وانقر على "التأثير المحتمل" ، وأدخل بعض المعلومات الشخصية وسيخبرك الموقع إذا كنت قد تأثرت. تأكد من أنك متصل بشبكة آمنة (ليست شبكة wi-fi عامة) عند إرسال بيانات حساسة عبر الإنترنت. نحن نتفهم أن Equifax تقدم عامًا واحدًا من المراقبة المجانية للائتمان والخدمات الأخرى ، سواء تم الكشف عن معلوماتك أم لا. لاحظ أن التسجيل في خدمات المراقبة المجانية سينتهي في 21 نوفمبر 2017.

فيما يلي بعض الأفكار والموارد المفيدة التي قد ترغب في أخذها في الاعتبار لتظل على اطلاع دائم وتساعدك على التخفيف من المخاطر وحماية نفسك للمضي قدمًا:


مقدمة

Equifax هي شركة بيانات وتحليلات وتقنيات عالمية تقدم تقارير ائتمانية لمؤسسات أخرى ويقع المقر الرئيسي لشركة Equifax في أتلانتا ، جورجيا. الرئيس التنفيذي هو مارك بيغور ومدير أمن المعلومات هو جميل فرششي (Equifax، 2019a).

Viper هي طريقة سريعة وسهلة للتحقق من السرقة الأدبية في عملك. يطابق نظام الفحص عبر الإنترنت عملك مع أكثر من 5 مليارات مصدر عبر الإنترنت في غضون ثوانٍ.

في 7 سبتمبر 2019 ، أعلنت شركة Equifax أن المتسللين سرقوا البيانات المالية الشخصية من حوالي 150 مليون شخص. حادثة الأمن السيبراني هذه هي واحدة من أكبر الحوادث في التاريخ. وفقًا لـ (Harmer، 2017) ، تمكن اللصوص من الوصول إلى البيانات الشخصية مثل أرقام الضمان الاجتماعي والأسماء الكاملة وتواريخ الميلاد والعناوين لـ 150 مليون عميل Equifax في جميع أنحاء الولايات المتحدة (Ng & amp Musil ، 2017). حدث الوصول غير القانوني إلى البيانات من منتصف مايو حتى يوليو 2017. تم اكتشاف خرق الأمن السيبراني في 29 يوليو 2017 ، لكن المتسللين تمكنوا من الوصول الكامل إلى البيانات الشخصية من منتصف مايو حتى نهاية يوليو 2017. أشارت الشركة إلى أن مجرمي الإنترنت يكسبون الوصول إلى الملفات عبر ثغرة أمنية في تطبيق موقع الويب (Harmer ، 2017).

تاريخ وخلفية Equifax

Equifax Inc. هي شركة تقارير ائتمانية تأسست في أتلانتا ، جورجيا ، في عام 1899 وهي حاليًا واحدة من ثلاث شركات رائدة في إعداد التقارير الائتمانية. بحلول العشرينات من القرن الماضي ، توسعت شركة Equifax ولديها مكاتب في جميع أنحاء الولايات المتحدة وكندا. بحلول الستينيات ، كانت Equifax واحدة من مكاتب الائتمان الرئيسية في البلاد التي تتمثل مسؤولياتها في تحديد الجدارة الائتمانية وتقديم معلومات عن الدخل وملايين المواطنين الأمريكيين والكنديين Equifax (2019a). قامت Equifax بجمع وتحليل البيانات لأكثر من 820 مليون مستهلك وأكثر من 91 مليون شركة حول العالم. الرئيس التنفيذي الحالي لـ Equifax هو مارك بيغور ، وكان يشغل منصب الرئيس التنفيذي منذ 16 أبريل 2018 ، تولى بيجور المسؤولية لريتشارد سميث الذي تقاعد بعد الاختراق الهائل للبيانات في عام 2017. شغل ريتشارد منصب رئيس مجلس الإدارة والرئيس التنفيذي من 2005 إلى 2017.

أصبح Equifax ناجحًا للغاية في إطار عالم سميث ، وقام بتحويل Equifax إلى واحدة من أنجح شركات خدمات جمع البيانات وتحليل البيانات بقيمة صافية بلغت 14.9 مليار دولار أمريكي اعتبارًا من 3 مايو 2019 (Macrotrends ، 2019). ومع ذلك ، أدرك سميث أهمية البيانات الحساسة التي تجمعها شركته والمخاطر المحتملة على الشواطئ إذا لم يتم التحكم في المتسللين. استثمر سميث الملايين في الأمن السيبراني للتخفيف من الخسارة المحتملة للبيانات للمتسللين. ومع ذلك ، بدأ Equifax في مواجهة مشكلات أمان البيانات بعد استقالة CSO ، وغادر العديد من كبار موظفي الأمن السيبراني Equifax في عام 2013.

حدثت إحدى الخروقات الأمنية الكبرى في الشركة في عام 2017 ، في هجوم إلكتروني صارخ ، سرق شخص ما معلومات شخصية حساسة من أكثر من 150 مليون شخص ، أي ما يقرب من نصف سكان الولايات المتحدة ، وشملت المعلومات أرقام الضمان الاجتماعي ، وأرقام رخصة القيادة ، والمعلومات. من نزاعات الائتمان والتفاصيل الشخصية الأخرى (Ng & amp Musil ، 2017).

ملخص

تم اختراق Equifax وهي وكالة عالمية للإبلاغ الائتماني في عام 2017 وسرق المتسللون البيانات المالية الشخصية من حوالي 150 مليون شخص. حادثة الأمن السيبراني هذه هي واحدة من أكبر الحوادث في التاريخ. وفقًا لـ (Harmer، 2017) ، تمكن اللصوص من الوصول إلى البيانات الشخصية مثل أرقام الضمان الاجتماعي والأسماء الكاملة وتواريخ الميلاد والعناوين لـ 150 مليون عميل Equifax في جميع أنحاء الولايات المتحدة (Ng & amp Musil ، 2017).

تركز دراسة الحالة هذه على ماذا ولماذا ومن وكيف وتقترح منعًا محتملاً للخرق واستجابة Equifax لخرق الأمن السيبراني وتلخص الأخطاء التي تم ارتكابها ولكن في الغالب تتعلق بالفشل في استخدام ممارسات الأمان المعترف بها والافتقار إلى الضوابط الداخلية والمراجعات الأمنية المنتظمة.

ماذا حصل؟

وفقًا لمكتب المساءلة التابع للحكومة الأمريكية ، أفاد Equifax أنه في مارس 2017 ، كشف أفراد مجهولون عن ثغرة أمنية في Apache Struts التي تعمل على موقع بوابة النزاع عبر الإنترنت لشركة Equifax ، وتمكن المتسللون من الوصول إلى نظام بيانات Equifax (GAO ، 2018). في مايو 2017 ، بدأ المهاجمون في استغلال الثغرة الأمنية وبدأوا في استخراج البيانات التي تحتوي على معلومات خاصة من أنظمة معلومات Equifax. وفقًا لـ Equifax ، استخدم المهاجمون عدة تقنيات لإخفاء استغلالهم لأنظمة Equifax واستعلامات قاعدة البيانات التي أجروها. في 29 يوليو 2017 ، استغل المتسللون الثغرة الأمنية المتضمنة في Apache Struts Web Framework ، مما منحهم القدرة على تنفيذ الأوامر على جميع قواعد البيانات وأنظمة الشبكة المتأثرة بـ Equifax (GAO ، 2018)

من منتصف مايو حتى 29 يوليو 2017 ، كان للقراصنة وصول غير قانوني إلى قواعد بيانات تقارير ائتمان Equifax التي تمكنوا من خلالها من الوصول إلى أكثر من 150 مليون من معلومات التعريف الشخصية لأشخاص في الولايات المتحدة وكندا. ومع ذلك ، انتظرت Equifax ما مجموعه ستة أسابيع للكشف عن الخرق للجمهور في 7 سبتمبر 2017 ، وذكرت أن خرق الأمن السيبراني كان من أكبر الخرق في التاريخ. وفقًا لـ Berghel (2017) ، استغل المتسللون ثغرة أمنية في تطبيق موقع الويب ، واسترد المتسللون الأسماء وتواريخ الميلاد والعناوين وأرقام الضمان الاجتماعي ورخصة القيادة وأرقام بطاقات الائتمان من عملاء Equifax (Harmer ، 2017). اعتبارًا من اليوم ، لا يوجد حاليًا أي دليل على وجود نشاط غير مصرح به في قواعد بيانات تقارير الائتمان الاستهلاكية أو التجارية الأساسية (Symanovich ، 2018).

ملخص

يؤكد تقرير GAO لعام 2017 أن خادم ويب واحدًا به برنامج قديم أدى إلى الاختراق ، والذي اختفى لمدة 76 يومًا. قام المتسللون بأكثر من 9000 استفسار في قاعدة البيانات عندما لم تتم رؤيتها بسبب فشل شهادة أمان منتهية الصلاحية للحفاظ على تحديث نظام فحص بيانات الشبكة وفقًا لـ (Whittaker، 2019 GAO، 2018). لم يعمل نظام فحص بيانات الشبكة لأكثر من عشرة أشهر قبل أن يلاحظ الموظفون ذلك. علاوة على ذلك ، تمكن المتسللون من الوصول إلى أكثر من 48 قاعدة بيانات تحتوي على بيانات اعتماد غير مشفرة استخدموها للوصول إلى قواعد بيانات داخلية أخرى (Krebs، 2019 Whittaker، 2019 GAO، 2018).

لماذا حدث ذلك؟

استغل المتسللون ثغرة أمنية في تطبيق موقع الويب ، وسرق المتسللون الأسماء وأرقام الضمان الاجتماعي وتواريخ الميلاد والعناوين وأرقام بطاقات الائتمان من عملاء Equifax Berghel (2017). اعتبارًا من اليوم ، لا يوجد حاليًا أي دليل على وجود نشاط غير مصرح به في قواعد بيانات تقارير الائتمان الاستهلاكية أو التجارية الأساسية (Symanovich ، 2018).

كان الإجماع الرئيسي هو أن بيانات Equifax سُرقت ليتم بيعها على شبكة الويب المظلمة وفقًا لـ Fleishman ، (2018). تتكون شبكة الويب المظلمة من عدة آلاف من مواقع الويب التي يتم إخفاء عناوين IP الخاصة بها ، ويتم استخدام الويب المظلم بشكل واضح للسوق السوداء تحت الأرض. للسماح للمجرمين بشراء وبيع وتداول بيانات بطاقات الائتمان والمعلومات الشخصية والمواد الإباحية المتعلقة بالأطفال (فليشمان ، 2018).

وفقًا لـ Fazzini ، (2019) النظرية الأكثر منطقية هي أن الاختراق بدأ مع متسلل منخفض المستوى ربما يكون قد اكتشف الثغرة الأمنية ولكنه لم يكن على دراية كافية لاستخراج كمية كبيرة من البيانات. من المرجح أن يكون هذا المخترق قد شارك أو باع معلومات حول الثغرة الأمنية للمتسللين الأكثر نجاحًا الذين ربما كان ارتباطهم بالحكومة الروسية أو الصينية (Fazzini، 2019).

ملخص

خلصت لجنة الرقابة في مجلس النواب إلى أن الممارسات والسياسات الأمنية في Equifax كانت غير مرضية وأن أنظمتها كانت قديمة مع خادم Apache Struts غير المصحح والذي كان عمره أكثر من خمس سنوات. وجدت اللجنة أنه إذا تم اتخاذ تدابير أمنية بسيطة ضرورية فقط مثل تصحيح الأنظمة الضعيفة ، فإن هذا الإجراء كان سيمنع اختراقها الضخم للبيانات في عام 2017. لحسن الحظ ، لا يوجد دليل على وجود نشاط غير مصرح به على قواعد بيانات تقارير الائتمان الاستهلاكية أو التجارية ، وهناك لم تكن هناك أي محاولة لبيع البيانات على شبكة الويب المظلمة (Symanovich ، 2018 Fleishman ، 2018).

من كان المسؤول؟

وفقًا للمدير التنفيذي ، أشار ريتشارد سميث في لجنة الطاقة والتجارة بمجلس النواب إلى أن فنيًا واحدًا في تكنولوجيا المعلومات كان على خطأ لأنه لم يقم بتحديث التصحيح المطلوب لبرنامج تطبيق الويب الضعيف (كريبس ، 2019). ومع ذلك ، وفقًا لكريبس (2019) ، حددت Equifax عدة عوامل سهلت وصول المتسللين إلى شبكتها واستخراج المعلومات من قواعد بياناتها. هذه العوامل الأربعة الرئيسية هي (أ) نقص التعريف ، (ب) الكشف ، (ج) التجزئة ، (د) حوكمة البيانات (Fazzini، 2019 GAO، 2018).

كان السبب الأكثر وضوحًا لحدوث الخرق هو أن Equifax لم يتمكن من تحديد خادم Apache Struts غير المصحح حيث حدث الاختراق. السبب الثاني هو أن Equifax لم يتمكن من اكتشاف قدرة المتسللين على الاتصال بالخادم وتصفية البيانات بسبب الشهادة الرقمية منتهية الصلاحية لبرنامج المسح الشبكي الذي كان الغرض الوحيد منه هو اكتشاف حركة المرور الضارة (GAO، 2018 Berghel، 2017). علاوة على ذلك ، افتقر خادم قاعدة البيانات المخترق إلى التجزئة المناسبة التي سمحت للقراصنة بالوصول بسهولة إلى قواعد البيانات الأخرى داخل شبكة Equifax (Fazzini ، 2019). كان العامل المساهم الأخير هو عدم وجود حوكمة البيانات الكافية مع قواعد تخزين البيانات الخاصة. تم استرداد العديد من أسماء المستخدمين وكلمات المرور من قبل المتسللين الذين لديهم إمكانية الوصول إلى بيانات الاعتماد غير المشفرة التي سمحت للمتطفلين بتشغيل استعلامات المزيد من قاعدة البيانات (GAO، 2018 Berghel، 2017)

ملخص

بينما حاول الرئيس التنفيذي السابق إلقاء اللوم ، فإن تحليل البيانات يظهر أن مجموعة من العوامل المتعددة ساهمت في أسوأ خرق في التاريخ الحديث. وجدت اللجنة أنه إذا تم اتخاذ تدابير أمنية بسيطة ضرورية فقط مثل تصحيح الأنظمة الضعيفة ، فإن هذا الإجراء كان سيمنع اختراق البيانات الهائل في عام 2017.

كيف نمنع حدوث مثل هذا الخرق في المستقبل؟

على وجه التحديد ، سمح عدم وجود قيود على تكرار استعلامات قاعدة البيانات للمهاجمين بتنفيذ ما يقرب من 9000 استفسار من هذا القبيل - أكثر بكثير مما هو مطلوب للعمليات العادية.

ربما نهج أكثر شمولاً لدمج الممارسات الآمنة في تطوير التطبيقات ونشرها.

مثل استخدام Security DevOps ، قد يكون هذا قد حدد ثغرة Apache قبل استغلالها. بدلا من ذلك ، لن يعمل شيء. ربما لم يكن بإمكان أي أدوات أو استراتيجيات أمنية متوفرة في هذه المرحلة أن تمنع الخرق. لا يوجد نظام لأمن المنزل سوف يمنع السطو العزم ، والأمن السيبراني هو معركة مستمرة مع المجرمين ، ولا توجد رصاصة أمنية سحرية للمنظمات.

إذا كانت منظمة بمستوى مسؤولية الأمن السيبراني التي يجب على Equifax اتباعها لا يمكنها الحفاظ على أمان البيانات ، فما الأمل الذي تمتلكه المنظمات الأقل وعيًا بالأمن؟ حتى إذا كان لا يمكن منع الاختراق ، نأمل أن يتم تقليل التأثير الكلي بطرق لإبطاء الهجوم.

ملخص

صراحة ، صرح مسؤولو Equifax أنه تم تنفيذ تدابير الإصلاح على مستوى النظام لمعالجة العوامل التي أدت إلى الخرق. على سبيل المثال ، للعمل على معالجة المخاوف المتعلقة بتحديد الخوادم الضعيفة ، ورد أن Equifax تنفذ عملية إدارة جديدة لتحديد الثغرات الأمنية في البرامج وتصحيحها وتأكيد معالجة الثغرات الأمنية. أيضًا ، للمساعدة في ضمان عدم إعاقة اكتشاف النشاط الضار في المستقبل ، قال مسؤولو Equifax إنهم طوروا سياسات جديدة لحماية البيانات والتطبيقات وطبقوا أدوات جديدة للمراقبة المستمرة لحركة مرور الشبكة. علاوة على ذلك ، لتحسين التجزئة بين الأجهزة التي لا تحتاج إلى الاتصال ، صرح مسؤولو Equifax أنهم طبقوا ضوابط إضافية لمراقبة الاتصالات على الحدود الخارجية لشبكات الشركة وإضافة قيود على حركة المرور بين الخوادم الداخلية. أخيرًا ، للمساعدة في معالجة قضايا حوكمة البيانات ، قال المسؤولون إنهم ينفذون إطارًا جديدًا للضوابط الأمنية وضوابط أكثر صرامة للوصول إلى أنظمة وتطبيقات وشبكات محددة.

بالإضافة إلى هذه الإجراءات ، صرحت Equifax أنها طبقت أداة أمان نقطة النهاية جديدة لاكتشاف التكوينات الخاطئة ، وتقييم المؤشرات المحتملة للاختراق ، وإخطار مسؤولي النظام تلقائيًا بالثغرات الأمنية المحددة. علاوة على ذلك ، أفاد مسؤولو Equifax أن الشركة نفذت هيكلًا إداريًا جديدًا لنشر الوعي بالمخاطر بانتظام إلى مجلس إدارة Equifax والإدارة العليا. يتطلب الهيكل الجديد أن يقدم رئيس أمن المعلومات في الشركة تقاريره مباشرة إلى الرئيس التنفيذي. 29 قال المسؤولون إن هذا من شأنه أن يسمح بمزيد من الوضوح لمخاطر الأمن السيبراني على مستويات الإدارة العليا.

استنتاج

كانت التنبؤات التي أعقبت الخرق هي أن المنظمين وغضب المستهلك من شأنه أن يفرض تغييرات كبيرة على صناعة التقارير الائتمانية. وبدلاً من ذلك ، لم يحدث أي شيء تقريبًا منذ الانتهاك غير المسبوق. تلقى سهم Equifax ضربة أولية ، لكنه تعافى في الغالب. واصلت تلقي عقود حكومية كبيرة.

لاحظ اتحاد المستهلك ، ناشرو تقارير المستهلك ، في افتتاحية على موقعه اليوم ، "يظل الأمريكيون إلى حد كبير في الظلام بشأن ممارسات صناعة التقارير الائتمانية - وبشكل أكثر عمومية ، غير قادرين إلى حد كبير على التحكم في استخدام معلوماتهم الشخصية. لقد عانت Equifax نفسها من عواقب طفيفة وتواصل القيام بأعمال تجارية بشكل أو بآخر كما كان من قبل ".

في الختام ، فإن أفضل مسار عمل للاتحاد الأوروبي هو تنفيذ نهج لقانون المنافسة يتضمن مفاهيم معينة لحماية البيانات. سيكون هذا النهج المتكامل بمثابة مكمل للهيئات القائمة والقوية بالفعل لقانون المنافسة وحماية البيانات في الاتحاد الأوروبي ، وسيوفر طبقة أخرى من الحماية لكل من المستهلكين والشركات. إذا تم تنفيذه بشكل صحيح ، يمكن أن يقلل من خطر إلحاق الضرر بأحداث خرق البيانات للمستهلكين ، ويقلل من مخاطر العقوبات التي تواجهها الشركات الكبيرة التي تتحكم في كميات كبيرة من بيانات المستهلك الضعيفة. يعتبر النهج المتكامل هو الأمثل نظرًا لتكلفة تنفيذه المنخفضة نسبيًا مع تقديم مكاسب كبيرة لجميع الأطراف المعنية: المستهلكين ومجتمع الأعمال والحكومة. نقطة الاتصال الرئيسية بين الشركات والحكومة حيث يمكن استخدام هذا النهج هي أثناء عملية مراجعة الاندماج. بالإضافة إلى ذلك ، سيكون للمحاكم خيار مراجعة سياسات حماية البيانات الخاصة بالشركات الخاضعة للمراجعة وأخذها في الاعتبار نتيجة للتحديات المانعة للمنافسة ، كما كان الحال مع Asnef-Equifax. (التماير ، 2018)

الفصل 2 الجزء الثاني التنازل

مقدمة

أكمل وحدة Big Machine Learning في Linux Academy ، بما في ذلك التمرين والاختبار القصير ، ثم أكمل الاختبار التدريبي لـ Google Cloud. خذ لقطات شاشة للتحقق من الإكمال والنتائج.

Google Cloud Big Table

متطلبات التعيين

Option #1: Cloud Breach of U.S. Company/Google Cloud (Linux Academy)

Part 1: Identify a significant cloud breach of a U.S. company. Produce an 8-10 page critical evaluation of your chosen breach, review and analyze the breach along the following dimensions: a. what went wrong? ب. Why did it occur? ج. Who was responsible? د. How could it have been prevented? What could be done to stop such an event from happening in the future?

Part 2: Complete the Big Machine Learning module in Linux Academy, including the Exercise, Quiz, and then complete the Practice Exam for Google Cloud. Take screenshots to verify completion and scores.

Compile Part 1 and Part 2 into a single Word document and submit by the posted due date. Review the rubric below for specific grading criteria.


عمل

Hausfeld filed a complaint on behalf of consumers harmed by the breach, and the firm was appointed by the US district court in Georgia to the Plaintiffs’ Steering Committee for the nationwide consumer class action.

As a member of the Steering Committee, Hausfeld took the lead in coordinating the complex 50-state plaintiff discovery and successfully shepherded the case through Equifax’s motion to dismiss. As part of the settlement committee, Hausfeld took a leading role in the extensive mediation sessions with Equifax, federal regulators, and state attorneys general, which ultimately brought the case to a successful resolution for the consumer class.


Special Guest

Assaf Dahan

Head of Threat Hunting at Cybereason Japan.

Assaf Dahan has more than 13 years of offensive and defensive cybersecurity experience. As Cybereason’s lead security researcher in Tokyo his areas of focus include the Japanese threat landscape and fileless malware. Prior to joining Cybereason, Dahan led Ernst and Young’s Red Team in Israel and developed penetration testing methodologies. He’s an alumnus of the Israeli Intelligence Corps’ Unit 8200.


Same difference

Lawmakers are still waiting for some action to be taken against Equifax.

While the Bureau of Consumer Financial Protection and the Federal Trade Commission have opened investigations into Equifax's breach, neither of them have taken any actions.

Warren and Cummings said they've sent a letter to both agencies asking if they "intend to hold Equifax accountable."

Under the bill that Warren and Sen. Mark Warner, a Democrat from Virginia, are looking to pass, Equifax would have paid at least $1.5 billion in penalties for the breach. So far, the company has paid nothing in fines to the government.

Equifax argues that it's going through a complete shift to make sure a breach like 2017's never happens again. An Equifax spokesperson said the company has spent $200 million on cybersecurity over the last year. Its new CISO, Jamil Farshchi, has had experience cleaning up messes: He was called in after Home Depot suffered its own major breach in 2014.

"In the past year, we have undertaken a host of security, operational and technological improvements," an Equifax spokesperson said.

For affected consumers and many in Congress, those improvements haven't yet hit the mark.

Originally published Sept. 6 at 9:00 p.m. PT.
Updated Sept. 7 at 4:54 a.m. PT: Added details about the Equifax breach.

Security: Stay up-to-date on the latest in breaches, hacks, fixes and all those cybersecurity issues that keep you up at night.

Blockchain Decoded: CNET looks at the tech powering bitcoin -- and soon, too, a myriad services that will change your life.


شاهد الفيديو: How to File an EQUIFAX DATA BREACH Claim Complaint - Tutorial (كانون الثاني 2023).

Video, Sitemap-Video, Sitemap-Videos