Nouveau

Violation de données d'Equifax - Historique

Violation de données d'Equifax - Historique



We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

La sécurité des données est une préoccupation depuis l'avènement des ordinateurs et est devenue plus sérieuse depuis la croissance d'Internet et du Web. Bien qu'il y ait eu de nombreuses violations de données, la violation d'Equinox, qui possède une immense base de données sur les Américains, a cristallisé pour beaucoup à quel point les réseaux non sécurisés pouvaient être dangereux.


Pas moins de 145,5 millions de consommateurs américains ont été touchés par la violation colossale d'Equifax, et un nombre important de résidents britanniques et canadiens ont également été touchés, lorsque ces personnes ont été victimes du vol d'identité par cybercriminalité d'Equifax. Cette cybercriminalité a été enregistrée comme l'une des plus grandes violations de données de l'histoire.
2016 : alertes précoces sur les risques de sécurité
En décembre de cette année, un chercheur en sécurité chargé d'explorer les serveurs d'Equifax a découvert qu'un portail en ligne destiné à être exclusif aux seuls employés d'Equifax était en fait ouvert et disponible sur Internet en général. Ce portail des employés ne devait pas être le principal portail de données discuté dans la principale violation d'Equifax, mais c'était le début de problèmes de sécurité importants.
Mi-mai à juillet 2017 : l'attaque est menée
Des pirates criminels ont infiltré les serveurs de données d'Equifax. Cela a entraîné un accès non autorisé aux informations personnelles de près de 44% de la population américaine.
Cette faille de sécurité prouve la vulnérabilité des entreprises face aux cybermenaces. La technologie de la cybersécurité a dû évoluer afin de mieux répondre à ces menaces à la sécurité. Un exemple de ceci peut être vu avec le Supplément de réglementation des acquisitions fédérales pour la défense, qui est un ensemble de réglementations en matière de cybersécurité devant être imposées, ce qui signifie que les entrepreneurs et les fournisseurs doivent désormais toujours être conformes au DFARS.
7 septembre 2017 : La violation est annoncée publiquement
Ce n'est que des mois plus tard que le public a été informé de la violation de la sécurité. Cette annonce a confirmé que les informations d'identité exposées comprenaient des noms, des numéros de sécurité sociale, des dates de naissance, une adresse résidentielle et même des numéros de permis de conduire.
8 septembre 2017 : baisse des actions
Les actions d'Equifax chutent juste un jour après l'annonce de la violation, avec une chute de 13,7%.
11 septembre 2017 : un calendrier est demandé
Le président du Comité sénatorial des finances demande à Equifax de fournir un calendrier détaillé de la violation, ainsi que des détails concernant les efforts d'Equifax pour faire face à l'intrusion et limiter les dommages causés à ses consommateurs.
12 septembre 2017 : Congé des employés d'Equifax
La société annonce officiellement que deux de ses cadres supérieurs en sécurité informatique prennent leur retraite. Equifax perd également plus tard son offre de chef de l'information et de chef de la sécurité lorsqu'ils confirment qu'ils prennent leur retraite, avec effet immédiat.
Equifax présente également des excuses publiques aux États-Unis AUJOURD'HUI.
2 octobre 2017 : un rapport médico-légal est publié
Ce rapport, fourni par la société de sécurité informatique médico-légale Mediant, a révélé que 2,5 millions de personnes supplémentaires avaient été affectées par la violation. Equifax a publié les informations tirées du rapport.
3 octobre 2017 : l'ancien PDG témoigne
L'ancien PDG d'Equifax, Richard Smith, témoigne devant le sous-comité de la House Digital Commerce and Consumer Protection. Dans son témoignage, il admet que « des erreurs ont été commises ».
22 juillet 2019 : Un règlement est convenu
Equifax convient d'un règlement avec la Federal Trade Commission pour remédier aux dommages subis par les personnes concernées et offrir une réparation, ainsi que d'accepter d'apporter des changements organisationnels afin d'éviter de nouvelles violations de la sécurité à l'avenir. Le montant du règlement comprenait 300 millions de dollars pour l'indemnisation des victimes, 175 millions de dollars pour les États et territoires concernés et 100 millions de dollars d'amendes pour le CFPB.


Violation de données

UNE violation de données est la diffusion intentionnelle ou non intentionnelle d'informations sécurisées ou privées/confidentielles dans un environnement non fiable. D'autres termes pour ce phénomène comprennent divulgation involontaire d'informations, fuite de données, les fuites d'informations et aussi déversement de données. Les incidents vont d'attaques concertées par des chapeaux noirs ou des individus qui piratent pour une sorte de gain personnel, associés au crime organisé, à des militants politiques ou à des gouvernements nationaux à l'élimination négligente d'équipements informatiques usagés ou de supports de stockage de données et de sources non piratables.

Définition : « Une violation de données est une violation de la sécurité dans laquelle des données sensibles, protégées ou confidentielles sont copiées, transmises, consultées, volées ou utilisées par une personne non autorisée à le faire. » [1] Les violations de données peuvent impliquer des informations financières telles que les détails des cartes de crédit et de débit, les coordonnées bancaires, les informations personnelles sur la santé (PHI), les informations personnellement identifiables (PII), les secrets commerciaux des entreprises ou la propriété intellectuelle. La plupart des violations de données impliquent des données non structurées surexposées et vulnérables – fichiers, documents et informations sensibles. [2]

Les violations de données peuvent être très coûteuses pour les organisations avec des coûts directs (remédiation, enquête, etc.) et des coûts indirects (atteinte à la réputation, fourniture de cybersécurité aux victimes de données compromises, etc.)

Selon l'organisation de consommateurs à but non lucratif Privacy Rights Clearinghouse, un total de 227 052 ​​199 dossiers individuels contenant des informations personnelles sensibles ont été impliqués dans des atteintes à la sécurité aux États-Unis entre janvier 2005 et mai 2008, à l'exclusion des incidents où des données sensibles n'étaient apparemment pas réellement exposées. [3]

De nombreuses juridictions ont adopté des lois sur la notification des violations de données, qui obligent une entreprise qui a fait l'objet d'une violation de données à informer ses clients et à prendre d'autres mesures pour remédier aux blessures éventuelles.


Comment la brèche d'Equifax s'est-elle produite?

Comme les accidents d'avion, les catastrophes majeures de l'infosec sont généralement le résultat de plusieurs défaillances. L'enquête sur les violations d'Equifax a mis en évidence un certain nombre de failles de sécurité qui ont permis aux attaquants d'entrer dans des systèmes soi-disant sécurisés et d'exfiltrer des téraoctets de données.

La majeure partie de la discussion dans cette section et la suivante provient de deux documents : un rapport détaillé du General Accounting Office des États-Unis et une analyse approfondie de Semaine d'affaires Bloomberg selon des sources au sein de l'enquête. Une image de haut niveau de la façon dont la violation de données d'Equifax s'est produite ressemble à ceci :

  • L'entreprise a d'abord été piratée via un portail Web de plaintes des consommateurs, les attaquants utilisant une vulnérabilité largement connue qui aurait dû être corrigée mais, en raison de défaillances des processus internes d'Equifax, ne l'a pas été.
  • Les attaquants ont pu se déplacer du portail Web vers d'autres serveurs car les systèmes n'étaient pas suffisamment segmentés les uns des autres, et ils ont pu trouver des noms d'utilisateur et des mots de passe stockés en texte brut qui leur ont ensuite permis d'accéder à d'autres systèmes.
  • Les attaquants ont retiré des données du réseau sous forme cryptée sans être détectées pendant des mois, car Equifax n'avait pas réussi à renouveler un certificat de cryptage sur l'un de ses outils de sécurité internes.
  • Equifax n'a rendu public la violation que plus d'un mois après avoir découvert que des ventes d'actions par des cadres supérieurs à cette époque avaient donné lieu à des accusations de délit d'initié.

Pour comprendre exactement comment toutes ces crises se sont croisées, regardons comment les événements se sont déroulés.


Résultats

En juillet 2019, les séances de médiation ont abouti au plus grand règlement de recours collectif pour violation de données de l'histoire. Le règlement global comprend plus de 505 millions de dollars pour la catégorie des consommateurs.

En vertu du règlement, les membres du groupe auront également droit à au moins quatre ans de surveillance du crédit à trois bureaux fournis par Experian (payés par Equifax), avec six années supplémentaires de surveillance du crédit à un bureau fournies par Equifax pour éviter tout préjudice futur. Alternativement, les membres du groupe pouvaient opter pour un paiement en espèces s'ils disposaient déjà d'une surveillance du crédit. Indépendamment de leur choix de surveillance de crédit ou de paiements en espèces, tous les membres du groupe bénéficieront également de sept ans d'accès aux services de restauration d'identité.

Hausfeld et son co-conseil ont également réussi à obtenir des engagements contraignants d'Equifax à mettre en œuvre des mesures de sécurité recommandées par des experts visant à sécuriser les informations sensibles, surveillées par un tiers indépendant et exécutoires devant les tribunaux, Equifax devant dépenser 1 milliard de dollars pour la sécurité des données. . Le règlement a été approuvé par le tribunal de district et fait actuellement l'objet d'un appel devant le onzième circuit.


Ce que les employeurs devraient apprendre de la violation de la sécurité d'Equifax [MISE À JOUR]

La date était le 7 septembre 2017. C'est à ce moment qu'Equifax a révélé qu'entre les mois de mai et juillet 2017, des pirates sont entrés dans le réseau d'Equifax pour voler des informations privées sur ses consommateurs dans l'une des plus grandes violations de données de l'histoire des États-Unis. Ces informations comprenaient des informations d'identification personnelle telles que les noms et adresses, les numéros de téléphone, les numéros de sécurité sociale, les numéros de permis de conduire et plus de 200 000 numéros de carte de crédit de consommateurs américains. Le résultat a eu un impact énorme sur 145,5 millions d'Américains en octobre 2017.

Ce chiffre a augmenté la semaine dernière lorsqu'Equifax a déclaré que son analyse en cours des données volées lors de l'incident de l'année dernière a révélé qu'environ 2,4 millions de consommateurs américains supplémentaires se sont fait voler leur nom et des informations partielles sur leur permis de conduire. Ces consommateurs ne faisaient pas partie de la population affectée précédemment identifiée et discutée dans les divulgations antérieures de l'entreprise sur l'incident. Ces informations étaient partielles car, dans la grande majorité des cas, elles n'incluaient pas les adresses domiciliaires des consommateurs, ni les états de permis de conduire, les dates de délivrance ou d'expiration de leurs permis de conduire respectifs.

"Il ne s'agit pas de données volées récemment découvertes", a déclaré Paulino do Rego Barros, Jr., directeur général par intérim dans un communiqué de presse de l'entreprise. « Il s'agit de passer au crible les données volées précédemment identifiées, d'analyser d'autres informations dans nos bases de données qui n'ont pas été prises par les attaquants et d'établir des connexions qui nous ont permis d'identifier d'autres personnes. »

L'impact sur Equifax a été considérable. La société a déclaré publiquement avoir dépensé 87,5 millions de dollars dans l'enquête, notamment en offrant aux consommateurs concernés une année gratuite de surveillance du crédit. Des poursuites et des enquêtes du Congrès ont été lancées. Les activités des agences d'évaluation du crédit font l'objet d'un examen minutieux.

Plus important encore, les ramifications de la violation de l'une des trois principales agences d'évaluation du crédit du pays pourraient affecter les particuliers et les entreprises pour les décennies à venir.

Le plus triste, c'est que tout cela aurait pu être évité.

Deux mois avant l'attaque du pirate informatique, Equifax a été informée par l'US-CERT, la division de cybersécurité du département américain de la Sécurité intérieure, que le logiciel open source utilisé par Equifax pour concevoir ses applications Web était défectueux et était facilement accessible. Le service de sécurité d'Equifax aurait agi pour identifier et corriger le problème, mais cela n'a pas suffi à empêcher que les informations de centaines de millions d'Américains ne soient mises en danger.

À l'aube de 2018, les employeurs doivent se concentrer sur ce qu'ils doivent faire pour s'assurer qu'ils ne subissent pas une cyber-violation similaire. Bien que les ramifications nationales pour de nombreuses entreprises puissent être négligeables, l'effet sur nos clients et nos employés pourrait être important. Cela seul devrait faire de la cybersécurité une priorité absolue pour toute entreprise en 2018.

L'une des préoccupations de l'organisation concerne les données financières, et à juste titre. Cependant, la menace pour les données liées aux RH est tout aussi grande et pourrait avoir de graves impacts commerciaux.

Voici quelques éléments à considérer pour 2018 :

Effectuez un audit SOC 2 et assurez-vous que vos fournisseurs le sont également
Si vous n'avez pas effectué d'audit SOC 2, vous devriez le faire. Cela informe les clients sur les contrôles de l'organisation de services que votre organisation a mis en place pour démontrer que votre entreprise prend la cybersécurité au sérieux. Les rapports SOC 2 offrent aux entreprises la possibilité de dire à leurs clients comment ils abordent leurs efforts de cybersécurité. Les entreprises écrivent leurs propres contrôles en fonction des exigences, telles que la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et/ou la confidentialité, qui s'appliquent à leur entreprise. Ensuite, un audit SOC 2 est effectué, fournissant l'opinion de l'auditeur sur la manière dont les contrôles internes de l'organisation répondent aux exigences SOC 2. Le résultat final devrait être une opinion reconnue que le fournisseur de données peut être considéré comme une société d'hébergement sécurisée. Alors que les audits SOC 2 sont généralement axés sur les données financières, ces audits peuvent également être adaptés à d'autres données internes, telles que les données RH. Assurez-vous que toutes les données que votre entreprise cherche à protéger contre de telles cyberattaques sont traitées. Cela comprend un examen complet des mesures de sécurité, la correction immédiate de toute faille potentielle et la compréhension de ce qu'il faut faire face à une attaque.

Assurez-vous que vous utilisez des fournisseurs protégés
Chaque organisation doit examiner ses fournisseurs ayant accès à des informations sensibles pour voir s'ils ont également effectué des audits SOC 2. Cela démontrera leur engagement à protéger vos données. Par exemple, les informations sur les employés stockées numériquement dans le cadre des régimes de retraite constituent une menace de cybersécurité possible pour le participant et les bénéficiaires du régime. Effectuez une évaluation de l'étendue des mesures de sécurité des données mises en œuvre par le promoteur de votre régime. Assurez-vous que les contrats avec les fournisseurs de services du plan traitent pleinement de la sécurité des données et prévoient des indemnités appropriées pour le plan, les participants au plan et les bénéficiaires du plan en cas de perte due à une violation de la sécurité.

Collectez uniquement les données dont vous avez besoin
Au fur et à mesure que votre entreprise recueille des informations pour les processus d'embauche, ne demandez que ce qui est nécessaire. Si vous n'avez pas vraiment besoin des données, ne les demandez pas. Par exemple, il a déjà été indiqué dans le cadre des mandats de la Commission pour l'égalité des chances en matière d'emploi que les rapports de crédit ne sont nécessaires que pour des rôles spécifiques. De nombreux États et certaines municipalités interdisent de poser des questions sur le salaire ou les condamnations antérieures. Par conséquent, les employeurs doivent déterminer quelles informations sont proposées dans le cadre des vérifications des antécédents des fournisseurs tiers et si elles sont nécessaires pour le processus d'embauche. Les informations collectées et stockées sur les ordinateurs de l'entreprise ou dans le cloud peuvent potentiellement être compromises. N'ajoutez pas au problème potentiel en stockant des informations qui ne sont pas nécessaires.


Quelques mots sur la violation d'Equifax

Comme vous l'avez peut-être entendu, Equifax, l'un des trois principaux bureaux de crédit, a subi une violation massive de données. Les pirates ont accédé aux noms des personnes, aux numéros de sécurité sociale, aux dates de naissance, aux adresses et, dans certains cas, aux numéros de permis de conduire. Ils ont également volé les numéros de carte de crédit d'environ 209 000 personnes et contesté des documents contenant des informations d'identification personnelles pour environ 182 000 personnes.

En tant que l'une des trois sociétés nationales d'évaluation du crédit qui suivent et évaluent les antécédents financiers des consommateurs américains, Equifax reçoit des données sur les prêts, les remboursements de prêts et les cartes de crédit, ainsi que des informations sur tout, des paiements de pension alimentaire pour enfants aux limites de crédit, les paiements de loyer et de services publics, les adresses et les antécédents de l'employeur, qui sont tous pris en compte dans les cotes de crédit.

Contrairement à d'autres violations de données, toutes les personnes touchées par la violation d'Equifax peuvent ne pas savoir qu'elles sont des clients de l'entreprise. Equifax obtient ses données des sociétés émettrices de cartes de crédit, des banques, des détaillants et des prêteurs qui rendent compte de l'activité de crédit des particuliers aux agences d'évaluation du crédit, ainsi qu'en achetant des dossiers publics. Étant donné qu'Equifax est une agence d'évaluation du crédit, nous comprenons que vous ne serez pas nécessairement informé si vous avez été touché par la violation.

Equifax a créé un site de sécurité spécial, https://www.equifaxsecurity2017.com, pour vérifier votre impact potentiel. Faites défiler vers le bas de la page et cliquez sur « Impact potentiel », entrez des informations personnelles et le site vous dira si vous avez été affecté. Assurez-vous que vous êtes sur un réseau sécurisé (pas un réseau Wi-Fi public) lorsque vous soumettez des données sensibles sur Internet. Nous comprenons qu'Equifax offre un an de surveillance gratuite du crédit et d'autres services, que vos informations aient été divulguées ou non. Notez que l'inscription aux services de surveillance gratuits expirera le 21 novembre 2017.

Voici quelques idées et ressources utiles que vous voudrez peut-être envisager pour vous tenir informé et vous aider à atténuer les risques et à vous protéger à l'avenir :


Introduction

Equifax est une société mondiale de données, d'analyse et de technologie qui fournit des rapports de crédit à d'autres institutions et le siège social d'Equifax est situé à Atlanta, en Géorgie. Le PDG est Mark Begor et le responsable de la sécurité de l'information est Jamil Farshchi (Equifax, 2019a).

Viper est un moyen rapide et facile de vérifier votre travail pour le plagiat. Le système de numérisation en ligne compare votre travail à plus de 5 milliards de sources en ligne en quelques secondes.

Le 7 septembre 2019, Equifax a annoncé que des pirates informatiques ont volé les données financières personnelles d'environ 150 millions de personnes. Cet incident de cybersécurité est l'un des plus importants de l'histoire. Selon (Harmer, 2017), les voleurs avaient accès aux données personnelles telles que les numéros de sécurité sociale, les noms complets, les dates de naissance et les adresses de 150 millions de clients d'Equifax aux États-Unis (Ng & Musil, 2017). L'accès illégal aux données s'est produit de la mi-mai à juillet 2017. La violation de la cybersécurité a été découverte le 29 juillet 2017, mais les pirates ont eu un accès complet aux données personnelles de la mi-mai à la fin juillet 2017. La société a indiqué que les cybercriminels gagnent accès aux fichiers via une vulnérabilité d'application de site Web (Harmer, 2017).

Historique et antécédents d'Equifax

Equifax Inc. est une société d'évaluation du crédit fondée à Atlanta, GA, en 1899 et est actuellement l'une des trois principales sociétés d'évaluation du crédit. Dans les années 1920, Equifax s'agrandit et possédait des bureaux à travers les États-Unis et le Canada. Dans les années 1960, Equifax était l'un des principaux bureaux de crédit du pays dont les responsabilités sont de déterminer la solvabilité et de fournir des informations sur les revenus et de millions de citoyens américains et canadiens Equifax (2019a). Equifax a collecté et analysé des données pour plus de 820 millions de consommateurs et plus de 91 millions d'entreprises à travers le monde. L'actuel PDG d'Equifax est Mark Begor et occupe le poste de directeur général depuis le 16 avril 2018, Begor a succédé à Richard Smith, qui a pris sa retraite après la violation massive des données en 2017. Richard a été président-directeur général de 2005 à 2017.

Equifax a connu un grand succès sous le royaume de Smith, et il a transformé Equifax en l'une des sociétés de services de collecte et d'analyse de données les plus performantes avec une valeur nette de 14,9 milliards de dollars au 3 mai 2019 (Macrotrends, 2019). Cependant, Smith a compris l'importance des données sensibles que son entreprise collectait et le risque potentiel pour les plages si les pirates n'étaient pas contrôlés. Smith a investi des millions dans la cybersécurité pour atténuer la perte potentielle de données pour les pirates. Cependant, Equifax a commencé à faire face à des problèmes de sécurité des données après la démission de son CSO, et plusieurs autres employés de haut niveau en cybersécurité ont quitté Equifax en 2013.

L'une des principales failles de sécurité s'est produite dans l'entreprise en 2017, lors d'une cyberattaque effrontée, quelqu'un avait volé des informations personnelles sensibles à plus de 150 millions de personnes, soit près de la moitié de la population des États-Unis. Les informations comprenaient des numéros de sécurité sociale, des numéros de permis de conduire, des informations des litiges de crédit et d'autres données personnelles (Ng & Musil, 2017).

Sommaire

Equifax, une agence mondiale d'évaluation du crédit, a été violée en 2017 et des pirates ont volé les données financières personnelles d'environ 150 millions de personnes. Cet incident de cybersécurité est l'un des plus importants de l'histoire. Selon (Harmer, 2017), les voleurs avaient accès aux données personnelles telles que les numéros de sécurité sociale, les noms complets, les dates de naissance et les adresses de 150 millions de clients d'Equifax aux États-Unis (Ng & Musil, 2017).

Cette étude de cas se concentre sur Quoi, Pourquoi, Qui, Comment et suggère la prévention possible de la violation et la réponse d'Equifax à la violation de la cybersécurité et résume les erreurs commises, mais principalement liées à un manquement à l'utilisation de pratiques de sécurité reconnues et à un manque de contrôles internes. et des examens de sécurité réguliers.

Qu'est ce qui ne s'est pas bien passé?

Selon le Government Accountability Office des États-Unis, Equifax a signalé qu'en mars 2017, des individus non identifiés ont exposé une vulnérabilité dans Apache Struts s'exécutant sur le site Web du portail de litige en ligne d'Equifax et que les pirates ont pu accéder au système de données d'Equifax (GAO, 2018). En mai 2017, les attaquants ont commencé à exploiter la vulnérabilité et à extraire des données contenant des informations privées des systèmes d'information d'Equifax. Selon Equifax, les attaquants ont utilisé plusieurs techniques pour cacher leur exploit des systèmes Equifax et les requêtes de base de données qu'ils ont effectuées. Le 29 juillet 2017, les pirates ont exploité la vulnérabilité impliquée dans Apache Struts Web Framework, leur donnant la capacité d'exécuter des commandes sur tous les systèmes de base de données et de réseau affectés par Equifax (GAO, 2018)

De la mi-mai au 29 juillet 2017, les pirates ont eu un accès illégal aux bases de données de rapports de crédit d'Equifax dans lesquelles ils avaient accès à plus de 150 millions d'informations personnellement identifiables sur des personnes aux États-Unis et au Canada. Cependant, Equifax a attendu un total de six semaines pour divulguer la violation au public le 7 septembre 2017, et a déclaré que la violation de la cybersécurité était l'une des plus importantes de l'histoire. Selon Berghel (2017), des pirates informatiques ont exploité une vulnérabilité d'application de site Web et ont récupéré les noms, dates de naissance, adresses, numéros de sécurité sociale, permis de conduire et numéros de carte de crédit des clients d'Equifax (Harmer, 2017). À ce jour, il n'y a actuellement aucune preuve d'activité non autorisée sur les principales bases de données de crédit à la consommation ou commerciales (Symanovich, 2018).

Sommaire

Le rapport GAO 2017 confirme qu'un seul serveur Web avec un logiciel obsolète a conduit à la violation, qui a été cachée pendant 76 jours. Selon (Whittaker, 2019 GAO, 2018), les pirates ont effectué plus de 9 000 requêtes de base de données qui, lorsqu'elles n'étaient pas visibles en raison de l'échec d'un certificat de sécurité expiré, ont permis de maintenir à jour un système d'inspection des données du réseau. Le système d'inspection des données du réseau n'avait pas fonctionné depuis plus de dix mois avant que le personnel ne s'en aperçoive. De plus, les pirates avaient accédé à plus de 48 bases de données contenant des informations d'identification non cryptées qu'ils utilisaient pour accéder à d'autres bases de données internes (Krebs, 2019 Whittaker, 2019 GAO, 2018).

Pourquoi est-ce arrivé?

Les pirates ont exploité une vulnérabilité d'application de site Web et ont volé les noms, les numéros de sécurité sociale, les dates de naissance, les adresses et les numéros de carte de crédit des clients d'Equifax Berghel (2017). À ce jour, il n'y a actuellement aucune preuve d'activité non autorisée sur les principales bases de données de crédit à la consommation ou commerciales (Symanovich, 2018).

Le principal consensus était que les données d'Equifax avaient été volées pour être vendues sur le Dark Web selon Fleishman (2018). Le Dark Web se compose de plusieurs milliers de sites Web dont les adresses IP sont cachées, et le Dark Web est très visiblement utilisé pour le marché noir clandestin. Permettre aux criminels d'acheter, de vendre et d'échanger des données de carte de crédit, des informations personnelles et de la pornographie juvénile (Fleishman, 2018).

Selon Fazzini (2019), la théorie la plus plausible est que la violation a commencé avec un pirate informatique de bas niveau qui a peut-être trouvé la vulnérabilité mais n'était pas suffisamment informé pour extraire une grande quantité de données. Ce pirate informatique a très probablement partagé ou vendu des informations sur la vulnérabilité de sécurité à des pirates informatiques plus accomplis dont l'affiliation était probablement avec le gouvernement russe ou chinois (Fazzini, 2019).

Sommaire

Un comité de surveillance interne a conclu que les pratiques et politiques de sécurité d'Equifax étaient insatisfaisantes et que ses systèmes étaient obsolètes avec un serveur Apache Struts non corrigé qui avait plus de cinq ans. Le comité a constaté que si de simples mesures de sécurité nécessaires étaient prises, telles que la correction des systèmes vulnérables, cette action aurait empêché sa violation massive de données en 2017. Heureusement, il n'y a aucune preuve d'activité non autorisée sur les bases de données de crédit à la consommation ou commerciales, et là n'a eu aucune tentative de vendre les données sur le Dark Web (Symanovich, 2018 Fleishman, 2018).

Qui était responsable ?

Selon le PDG, Richard Smith, d'un comité de la Chambre de l'énergie et du commerce, a indiqué qu'un seul technicien informatique était en faute car il n'avait pas mis à jour le correctif requis pour le logiciel d'application Web vulnérable (Krebs, 2019). Cependant, selon Krebs, (2019) Equifax a identifié plusieurs facteurs qui avaient facilité l'accès des pirates à son réseau et l'extraction d'informations de ses bases de données. Ces quatre principaux facteurs sont (a) le manque d'identification, (b) la détection, (c) la segmentation et (d) la gouvernance des données (Fazzini, 2019 GAO, 2018).

La raison la plus évidente pour laquelle la violation s'est produite est qu'Equifax n'a pas pu identifier le serveur Apache Struts non corrigé où la violation s'est produite. La deuxième raison était qu'Equifax ne pouvait pas détecter la capacité des pirates à se connecter au serveur et l'exfiltration des données en raison d'un certificat numérique expiré vers un logiciel d'analyse réseau dont le seul but était de détecter le trafic malveillant (GAO, 2018 Berghel, 2017). De plus, le serveur de base de données piraté manquait de segmentation appropriée qui permettait aux pirates d'accéder facilement à d'autres bases de données au sein du réseau Equifax (Fazzini, 2019). Le dernier facteur contributif était le manque de gouvernance adéquate des données avec des règles sur le stockage des données privées. De nombreux noms d'utilisateur et mots de passe ont été récupérés par les pirates ayant accès à des informations d'identification non cryptées qui ont permis aux intrus d'exécuter des requêtes plus de base de données (GAO, 2018 Berghel, 2017)

Sommaire

Alors que l'ancien PDG a essayé de blâmer, toute la plage sur un seul technicien informatique, l'analyse des données montre qu'une combinaison de plusieurs facteurs a contribué à la pire violation de l'histoire moderne. Le comité a constaté que si de simples mesures de sécurité nécessaires étaient prises, telles que la correction des systèmes vulnérables, cette action aurait empêché sa violation massive de données en 2017.

Comment éviter qu'une telle violation ne se reproduise à l'avenir ?

Plus précisément, l'absence de restrictions sur la fréquence des requêtes de base de données a permis aux attaquants d'exécuter environ 9 000 requêtes de ce type, bien plus que ce qui serait nécessaire pour des opérations normales.

Peut-être une approche plus complète pour intégrer des pratiques sécurisées dans le développement et le déploiement de ses applications.

Comme l'utilisation de Security DevOps, cela peut avoir identifié la vulnérabilité Apache avant qu'elle ne soit exploitée. Sinon, rien ne fonctionnera. Il est possible qu'aucun outil ou stratégie de sécurité disponible à ce stade n'ait pu empêcher la violation. Aucun système de sécurité domestique n'empêchera un cambrioleur déterminé d'entrer, la cybersécurité est une bataille permanente avec les criminels et il n'y a pas de solution miracle pour la sécurité des organisations.

Si une organisation avec le niveau de responsabilité en matière de cybersécurité qu'Equifax doit suivre ne peut pas protéger les données, alors quel espoir ont les organisations moins soucieuses de la sécurité ? Même si une violation ne peut pas être évitée, l'impact global peut, espérons-le, être minimisé grâce à des moyens de ralentir l'attaque.

Sommaire

Explicitement, les responsables d'Equifax ont déclaré que des mesures correctives au niveau du système ont été mises en œuvre pour remédier aux facteurs qui ont conduit à la violation. Par exemple, pour répondre aux préoccupations concernant l'identification des serveurs vulnérables, Equifax aurait mis en œuvre un nouveau processus de gestion pour identifier et corriger les vulnérabilités logicielles et confirmer que les vulnérabilités ont été corrigées. De plus, pour garantir que la détection d'activités malveillantes ne soit pas entravée à l'avenir, les responsables d'Equifax ont déclaré avoir élaboré de nouvelles politiques pour protéger les données et les applications et mis en place de nouveaux outils pour une surveillance continue du trafic réseau. De plus, pour améliorer la segmentation entre les appareils qui n'ont pas besoin de communiquer, les responsables d'Equifax ont déclaré avoir mis en place des contrôles supplémentaires pour surveiller les communications à la limite extérieure des réseaux de l'entreprise et ajouté des restrictions sur le trafic entre les serveurs internes. Enfin, pour aider à résoudre les problèmes de gouvernance des données, les responsables ont déclaré qu'ils mettaient en œuvre un nouveau cadre de contrôles de sécurité et des contrôles plus stricts pour accéder à des systèmes, applications et réseaux spécifiques.

En plus de ces mesures, Equifax a déclaré avoir mis en œuvre un nouvel outil de sécurité des terminaux pour détecter les erreurs de configuration, évaluer les indications potentielles de compromission et informer automatiquement les administrateurs système des vulnérabilités identifiées. De plus, les responsables d'Equifax ont signalé que l'entreprise avait mis en place une nouvelle structure de gouvernance pour communiquer régulièrement la sensibilisation aux risques au conseil d'administration et à la haute direction d'Equifax. La nouvelle structure exige que le directeur de la sécurité de l'information de l'entreprise relève directement du directeur général.29 Les responsables ont déclaré que cela devrait permettre une plus grande visibilité des risques de cybersécurité aux plus hauts niveaux de la direction.

Conclusion

Les prédictions à la suite de la violation étaient que les régulateurs et l'indignation des consommateurs forceraient des changements importants dans l'industrie de l'évaluation du crédit. Au lieu de cela, presque rien de substantiel ne s'est produit depuis la violation sans précédent. L'action d'Equifax a subi un premier coup, mais elle s'est surtout redressée. Elle a continué à recevoir d'importants contrats gouvernementaux.

Consumer Union, éditeur de Consumer Reports, a noté dans un éditorial sur son site aujourd'hui, « Les Américains restent largement dans l'ignorance des pratiques de l'industrie de l'évaluation du crédit et, plus généralement, largement incapables de contrôler l'utilisation de leurs informations personnelles. Equifax elle-même a subi des conséquences minimes et continue de faire des affaires plus ou moins comme avant. »

En conclusion, la meilleure ligne de conduite pour l'UE est de mettre en œuvre une approche du droit de la concurrence qui intègre certains concepts de protection des données. Cette approche intégrée servirait de complément aux organes déjà existants et solides du droit de la concurrence et de la protection des données dans l'UE, et fournirait une autre couche de protection pour les consommateurs et les entreprises. S'il est mis en œuvre correctement, il pourrait réduire le risque de dommages causés aux consommateurs par les violations de données et le risque de sanctions encourues par les grandes entreprises contrôlant de grandes quantités de données de consommateurs vulnérables. L'approche intégrée est optimale en raison de son coût de mise en œuvre relativement faible tout en offrant des gains importants à toutes les parties intéressées : les consommateurs, le milieu des affaires et le gouvernement. Le principal point de contact entre les entreprises et le gouvernement où cette approche peut être utilisée est pendant le processus d'examen des fusions. En outre, les tribunaux auraient la possibilité d'examiner et de prendre en considération les politiques de protection des données des entreprises faisant l'objet d'un examen à la suite de contestations anticoncurrentielles, comme ce fut le cas avec Asnef-Equifax. (Altmayer, 2018)

CHAPITRE 2 Deuxième partie Mission

Introduction

Terminez le module Big Machine Learning dans Linux Academy, y compris l'exercice, le quiz, puis passez l'examen pratique pour Google Cloud. Prenez des captures d'écran pour vérifier l'achèvement et les scores.

Grande table Google Cloud

Exigences d'affectation

Option #1: Cloud Breach of U.S. Company/Google Cloud (Linux Academy)

Part 1: Identify a significant cloud breach of a U.S. company. Produce an 8-10 page critical evaluation of your chosen breach, review and analyze the breach along the following dimensions: a. what went wrong? b. Why did it occur? c. Who was responsible? ré. How could it have been prevented? What could be done to stop such an event from happening in the future?

Part 2: Complete the Big Machine Learning module in Linux Academy, including the Exercise, Quiz, and then complete the Practice Exam for Google Cloud. Take screenshots to verify completion and scores.

Compile Part 1 and Part 2 into a single Word document and submit by the posted due date. Review the rubric below for specific grading criteria.


Action

Hausfeld filed a complaint on behalf of consumers harmed by the breach, and the firm was appointed by the US district court in Georgia to the Plaintiffs’ Steering Committee for the nationwide consumer class action.

As a member of the Steering Committee, Hausfeld took the lead in coordinating the complex 50-state plaintiff discovery and successfully shepherded the case through Equifax’s motion to dismiss. As part of the settlement committee, Hausfeld took a leading role in the extensive mediation sessions with Equifax, federal regulators, and state attorneys general, which ultimately brought the case to a successful resolution for the consumer class.


Special Guest

Assaf Dahan

Head of Threat Hunting at Cybereason Japan.

Assaf Dahan has more than 13 years of offensive and defensive cybersecurity experience. As Cybereason’s lead security researcher in Tokyo his areas of focus include the Japanese threat landscape and fileless malware. Prior to joining Cybereason, Dahan led Ernst and Young’s Red Team in Israel and developed penetration testing methodologies. He’s an alumnus of the Israeli Intelligence Corps’ Unit 8200.


Same difference

Lawmakers are still waiting for some action to be taken against Equifax.

While the Bureau of Consumer Financial Protection and the Federal Trade Commission have opened investigations into Equifax's breach, neither of them have taken any actions.

Warren and Cummings said they've sent a letter to both agencies asking if they "intend to hold Equifax accountable."

Under the bill that Warren and Sen. Mark Warner, a Democrat from Virginia, are looking to pass, Equifax would have paid at least $1.5 billion in penalties for the breach. So far, the company has paid nothing in fines to the government.

Equifax argues that it's going through a complete shift to make sure a breach like 2017's never happens again. An Equifax spokesperson said the company has spent $200 million on cybersecurity over the last year. Its new CISO, Jamil Farshchi, has had experience cleaning up messes: He was called in after Home Depot suffered its own major breach in 2014.

"In the past year, we have undertaken a host of security, operational and technological improvements," an Equifax spokesperson said.

For affected consumers and many in Congress, those improvements haven't yet hit the mark.

Originally published Sept. 6 at 9:00 p.m. TP.
Updated Sept. 7 at 4:54 a.m. PT: Added details about the Equifax breach.

Security: Stay up-to-date on the latest in breaches, hacks, fixes and all those cybersecurity issues that keep you up at night.

Blockchain Decoded: CNET looks at the tech powering bitcoin -- and soon, too, a myriad services that will change your life.


Video, Sitemap-Video, Sitemap-Videos