Baru

Pelanggaran Data Equifax - Sejarah

Pelanggaran Data Equifax - Sejarah


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

Keamanan data telah menjadi perhatian sejak munculnya komputer dan menjadi lebih serius sejak pertumbuhan internet dan web. Meskipun ada banyak pelanggaran data, pelanggaran Equinox yang memiliki database besar tentang orang Amerika mengkristal bagi banyak orang betapa berbahayanya jaringan tidak aman.


Sebanyak 145,5 juta konsumen Amerika terkena dampak pelanggaran kolosal Equifax, dan sejumlah besar penduduk Inggris dan Kanada juga terpengaruh, ketika orang-orang ini menjadi korban pencurian identitas kejahatan dunia maya Equifax. Kejahatan dunia maya ini tercatat sebagai salah satu pembobolan data terbesar dalam sejarah.
2016: Peringatan Dini Risiko Keamanan
Selama bulan Desember tahun ini, seorang peneliti keamanan yang ditugaskan untuk menyelidiki server Equifax menemukan bahwa portal online yang dimaksudkan untuk eksklusif hanya untuk karyawan Equifax sebenarnya terbuka dan tersedia untuk internet umum. Portal karyawan ini tidak menjadi portal data utama yang dibahas dalam pelanggaran Equifax utama, tetapi ini adalah awal dari masalah keamanan yang signifikan.
Pertengahan Mei hingga Juli 2017: Serangan Dilakukan
Peretas kriminal menyusup ke server data Equifax. Hal ini mengakibatkan akses tidak sah ke informasi pribadi hampir 44% dari populasi Amerika.
Pelanggaran keamanan ini membuktikan kerentanan yang dihadapi perusahaan dalam hal ancaman dunia maya. Teknologi keamanan siber harus berkembang untuk mengatasi ancaman keamanan ini dengan lebih baik. Contohnya dapat dilihat dengan Suplemen Peraturan Akuisisi Federal Pertahanan, yang merupakan seperangkat peraturan keamanan siber yang harus diterapkan, yang berarti kontraktor dan pemasok sekarang harus selalu mematuhi DFARS.
7 September 2017: Pelanggaran Diumumkan ke Publik
Tidak sampai berbulan-bulan kemudian publik diberitahu tentang pelanggaran keamanan. Pengumuman ini menegaskan bahwa informasi identitas yang terungkap termasuk nama, nomor Jaminan Sosial, tanggal lahir, alamat tempat tinggal dan bahkan nomor SIM.
8 September 2017: Penurunan Saham
Saham Equifax turun hanya sehari setelah pengumuman pelanggaran, dengan penurunan 13,7%.
11 September 2017: Timeline Diminta
Ketua Komite Senat Keuangan meminta Equifax untuk memberikan rincian waktu pelanggaran, serta rincian mengenai upaya Equifax untuk menangani intrusi dan membatasi kerusakan pada konsumennya.
12 September 2017: Karyawan Equifax Cuti
Perusahaan secara resmi mengumumkan bahwa dua eksekutif keamanan komputer seniornya pensiun. Equifax juga kemudian kehilangan chief information officer dan chief security offer ketika mereka mengonfirmasi bahwa mereka pensiun, efektif segera.
Equifax juga mengeluarkan permintaan maaf publik di USA TODAY.
2 Oktober 2017: Laporan Forensik Dikeluarkan
Laporan ini, yang disediakan oleh perusahaan keamanan komputer forensik Mediant, mengungkapkan bahwa 2,5 juta orang tambahan telah terpengaruh oleh pelanggaran tersebut. Equifax merilis informasi yang diperoleh dari laporan tersebut.
3 Oktober 2017: Mantan CEO Bersaksi
Mantan CEO Equifax Richard Smith bersaksi di depan subkomite Perdagangan Digital dan Perlindungan Konsumen House. Dalam kesaksiannya, dia mengakui bahwa “kesalahan telah dibuat.”
22 Juli 2019: Penyelesaian Disetujui
Equifax menyetujui penyelesaian dengan Komisi Perdagangan Federal untuk mengatasi kerusakan yang diderita oleh individu yang terkena dampak dan menawarkan reparasi, serta setuju untuk membuat perubahan organisasi untuk menghindari pelanggaran keamanan lebih lanjut di masa depan. Angka penyelesaian termasuk $300 juta untuk kompensasi korban, $175 juta untuk negara bagian dan teritori yang relevan, dan denda $100 juta untuk CFPB.


Pelanggaran data

A pelanggaran data adalah pelepasan informasi aman atau pribadi/rahasia yang disengaja atau tidak disengaja ke lingkungan yang tidak tepercaya. Istilah lain untuk fenomena ini termasuk pengungkapan informasi yang tidak disengaja, kebocoran data, kebocoran informasi dan juga tumpahan data. Insiden berkisar dari serangan bersama oleh topi hitam, atau individu yang meretas untuk beberapa jenis keuntungan pribadi, terkait dengan kejahatan terorganisir, aktivis politik atau pemerintah nasional hingga pembuangan peralatan komputer bekas atau media penyimpanan data dan sumber yang tidak dapat diretas secara sembarangan.

Definisi: "Pelanggaran data adalah pelanggaran keamanan di mana data sensitif, dilindungi, atau rahasia disalin, dikirim, dilihat, dicuri, atau digunakan oleh individu yang tidak berwenang untuk melakukannya." [1] Pelanggaran data dapat melibatkan informasi keuangan seperti detail kartu kredit & kartu debit, detail bank, informasi kesehatan pribadi (PHI), informasi pengenal pribadi (PII), rahasia dagang perusahaan atau kekayaan intelektual. Sebagian besar pelanggaran data melibatkan data tidak terstruktur yang terlalu terbuka dan rentan – file, dokumen, dan informasi sensitif. [2]

Pelanggaran data bisa sangat mahal bagi organisasi dengan biaya langsung (perbaikan, investigasi, dll) dan biaya tidak langsung (kerusakan reputasi, memberikan keamanan siber kepada korban data yang disusupi, dll.)

Menurut organisasi konsumen nirlaba Privacy Rights Clearinghouse, total 227.052.199 catatan individu yang berisi informasi pribadi sensitif terlibat dalam pelanggaran keamanan di Amerika Serikat antara Januari 2005 dan Mei 2008, tidak termasuk insiden di mana data sensitif tampaknya tidak benar-benar terungkap. [3]

Banyak yurisdiksi telah meloloskan undang-undang pemberitahuan pelanggaran data, yang mengharuskan perusahaan yang mengalami pelanggaran data untuk memberi tahu pelanggan dan mengambil langkah lain untuk memulihkan kemungkinan cedera.


Bagaimana pelanggaran Equifax terjadi?

Seperti kecelakaan pesawat, bencana infosec besar biasanya merupakan hasil dari beberapa kegagalan. Investigasi pelanggaran Equifax menyoroti sejumlah penyimpangan keamanan yang memungkinkan penyerang memasuki sistem yang dianggap aman dan mengekstrak terabyte data.

Sebagian besar diskusi di bagian ini dan yang berikutnya berasal dari dua dokumen: Laporan terperinci dari Kantor Akuntan Umum AS, dan analisis mendalam dari Bloomberg Businessweek berdasarkan sumber dalam penyelidikan. Gambaran tingkat atas tentang bagaimana pelanggaran data Equifax terjadi terlihat seperti ini:

  • Perusahaan ini awalnya diretas melalui portal web keluhan konsumen, dengan penyerang menggunakan kerentanan yang diketahui secara luas yang seharusnya ditambal tetapi, karena kegagalan dalam proses internal Equifax, tidak.
  • Penyerang dapat berpindah dari portal web ke server lain karena sistem tidak cukup tersegmentasi satu sama lain, dan mereka dapat menemukan nama pengguna dan kata sandi yang disimpan dalam teks biasa yang kemudian memungkinkan mereka untuk mengakses sistem lebih lanjut.
  • Para penyerang menarik data keluar dari jaringan dalam bentuk terenkripsi yang tidak terdeteksi selama berbulan-bulan karena Equifax gagal memperbarui sertifikat enkripsi pada salah satu alat keamanan internal mereka.
  • Equifax tidak mempublikasikan pelanggaran tersebut sampai lebih dari sebulan setelah mereka menemukan bahwa telah terjadi penjualan saham oleh eksekutif puncak sekitar waktu ini menimbulkan tuduhan perdagangan orang dalam.

Untuk memahami bagaimana tepatnya semua krisis ini berpotongan, mari kita lihat bagaimana peristiwa itu terjadi.


Hasil

Pada Juli 2019, sesi mediasi menghasilkan penyelesaian tindakan kelas pelanggaran data terbesar dalam sejarah. Penyelesaian komprehensif mencakup lebih dari $ 505 juta untuk kelas konsumen.

Di bawah penyelesaian, anggota kelas juga akan berhak untuk setidaknya empat tahun pemantauan kredit tiga biro yang disediakan oleh Experian (dibayar oleh Equifax), dengan tambahan enam tahun pemantauan kredit satu biro yang disediakan oleh Equifax untuk mencegah kerugian di masa depan. Sebagai alternatif, anggota kelas dapat memilih pembayaran tunai jika mereka sudah memiliki pemantauan kredit. Terlepas dari pilihan pemantauan kredit atau pembayaran tunai, semua anggota Kelas juga akan menerima akses tujuh tahun ke layanan pemulihan identitas.

Hausfeld dan rekan penasihatnya juga berhasil mendapatkan komitmen yang mengikat dari Equifax untuk menerapkan langkah-langkah keamanan yang direkomendasikan ahli yang diarahkan untuk mengamankan informasi sensitif, dipantau oleh pihak ketiga yang independen dan dapat ditegakkan di Pengadilan, dengan Equifax diharuskan menghabiskan $1 miliar untuk keamanan data . Penyelesaian itu disetujui oleh pengadilan distrik dan saat ini sedang menunggu banding di Sirkuit Kesebelas.


Apa yang Harus Dipelajari Pengusaha dari Pelanggaran Keamanan Equifax [UPDATE]

Tanggalnya adalah 7 September 2017. Saat itulah Equifax mengungkapkan bahwa, antara bulan Mei dan Juli 2017, peretas masuk ke jaringan Equifax untuk mencuri informasi pribadi tentang konsumennya dalam salah satu pelanggaran data terbesar dalam sejarah AS. Informasi ini termasuk informasi identifikasi pribadi seperti nama dan alamat, nomor telepon, nomor jaminan sosial, nomor SIM, dan lebih dari 200.000 nomor kartu kredit konsumen Amerika. Hasilnya adalah dampak besar bagi 145,5 juta orang Amerika yang mengejutkan pada Oktober 2017.

Angka itu meningkat minggu lalu ketika Equifax mengatakan analisis data yang dicuri dalam insiden tahun lalu mengungkapkan bahwa sekitar 2,4 juta konsumen AS lainnya telah dicuri nama dan sebagian informasi SIM mereka. Konsumen ini tidak termasuk dalam populasi terkena dampak yang diidentifikasi sebelumnya yang dibahas dalam pengungkapan sebelumnya perusahaan tentang insiden tersebut. Informasi ini sebagian karena, dalam sebagian besar kasus, tidak menyertakan alamat rumah konsumen, atau status SIM masing-masing, tanggal penerbitan, atau tanggal kedaluwarsa.

“Ini bukan tentang data curian yang baru ditemukan,” kata Paulino do Rego Barros, Jr., Chief Executive Officer Interim dalam siaran pers perusahaan. “Ini tentang menyaring data curian yang diidentifikasi sebelumnya, menganalisis informasi lain dalam basis data kami yang tidak diambil oleh penyerang, dan membuat koneksi yang memungkinkan kami mengidentifikasi individu tambahan.”

Dampaknya pada Equifax cukup besar. Perusahaan telah mencatat dengan mengatakan bahwa mereka telah menghabiskan $87,5 juta dalam penyelidikan, termasuk menawarkan kepada konsumen yang terkena dampak pemantauan kredit senilai satu tahun gratis. Tuntutan hukum dan investigasi Kongres telah diluncurkan. Kegiatan lembaga pelaporan kredit sedang diteliti.

Bahkan lebih signifikan, konsekuensi dari pelanggaran salah satu dari tiga agen pelaporan kredit teratas di negara itu dapat mempengaruhi individu dan bisnis selama beberapa dekade mendatang.

Yang menyedihkan adalah bahwa ini semua bisa dicegah.

Dua bulan sebelum serangan peretas, Equifax diberitahu oleh US-CERT, divisi keamanan siber dari Departemen Keamanan Dalam Negeri AS, bahwa perangkat lunak sumber terbuka yang digunakan Equifax untuk merancang aplikasi webnya cacat dan dapat diakses dengan mudah. Departemen keamanan Equifax dilaporkan bertindak untuk mengidentifikasi dan memperbaiki masalah, tetapi itu tidak cukup untuk menjaga informasi bagi ratusan juta orang Amerika agar tidak berisiko.

Memasuki tahun 2018, pengusaha harus fokus pada apa yang harus mereka lakukan untuk memastikan mereka tidak mengalami pelanggaran cyber serupa. Meskipun konsekuensi nasional bagi banyak bisnis mungkin dapat diabaikan, pengaruhnya terhadap pelanggan dan karyawan kita bisa menjadi signifikan. Itu saja seharusnya menjadikan keamanan siber sebagai prioritas utama untuk bisnis apa pun di tahun 2018.

Salah satu perhatian organisasi adalah tentang data keuangan, dan memang demikian. Namun, ancaman terhadap data terkait SDM sama besarnya dan dapat memiliki dampak bisnis yang serius.

Berikut adalah beberapa hal yang perlu dipertimbangkan untuk 2018:

Lakukan Audit SOC 2, dan Pastikan Vendor Anda Juga
Jika Anda belum melakukan audit SOC 2, Anda harus melakukannya. Ini memberi tahu pelanggan tentang kontrol organisasi layanan apa yang dimiliki organisasi Anda untuk menunjukkan bahwa bisnis Anda menganggap serius keamanan siber. Laporan SOC 2 memberi bisnis kemampuan untuk memberi tahu pelanggan mereka bagaimana mereka menangani upaya keamanan siber mereka. Bisnis menulis kontrol mereka sendiri berdasarkan persyaratan mana, seperti keamanan, ketersediaan, integritas pemrosesan, kerahasiaan dan/atau privasi, berlaku untuk bisnis mereka. Kemudian audit SOC 2 selesai, memberikan opini auditor tentang bagaimana pengendalian internal organisasi menangani persyaratan SOC 2. Hasil akhirnya harus menjadi pendapat yang diakui bahwa penyedia data dapat dipercaya sebagai perusahaan hosting yang aman. Sementara audit SOC 2 biasanya difokuskan pada data keuangan, audit ini juga dapat disesuaikan dengan data internal lainnya, seperti data SDM. Pastikan bahwa semua data yang ingin dilindungi oleh perusahaan Anda dari serangan siber tersebut ditangani. Ini termasuk tinjauan lengkap langkah-langkah keamanan, segera memperbaiki segala potensi kelemahan, dan memahami apa yang harus dilakukan dalam menghadapi serangan.

Pastikan Anda Menggunakan Vendor yang Dilindungi
Setiap organisasi harus melihat vendornya dengan akses ke informasi sensitif untuk melihat apakah mereka juga telah melakukan audit SOC 2. Ini akan menunjukkan komitmen mereka untuk melindungi data Anda. Misalnya, informasi karyawan yang disimpan secara digital sebagai bagian dari program pensiun adalah kemungkinan ancaman keamanan siber bagi peserta dan penerima manfaat program tersebut. Lakukan evaluasi sejauh mana tindakan keamanan data yang diterapkan oleh sponsor rencana Anda. Pastikan bahwa kontrak dengan kontrak penyedia layanan paket sepenuhnya membahas keamanan data dan memberikan ganti rugi yang sesuai kepada paket, peserta paket, dan penerima manfaat paket jika terjadi kerugian karena pelanggaran keamanan.

Kumpulkan Hanya Data yang Anda Butuhkan
Saat perusahaan Anda mengumpulkan informasi untuk proses perekrutan, tanyakan hanya apa yang diperlukan. Jika Anda tidak benar-benar membutuhkan data, jangan memintanya. Misalnya, telah dinyatakan di bawah Equal Employment Opportunity Commission yang mengamanatkan bahwa laporan kredit hanya diperlukan untuk peran tertentu. Banyak negara bagian dan beberapa kotamadya melarang mengajukan pertanyaan tentang gaji atau hukuman masa lalu. Akibatnya, pemberi kerja perlu mempertimbangkan informasi apa yang ditawarkan sebagai bagian dari pemeriksaan latar belakang dari vendor pihak ketiga, dan apakah itu perlu untuk proses perekrutan. Informasi yang dikumpulkan dan disimpan di komputer perusahaan atau di cloud berpotensi dapat disusupi. Jangan menambah potensi masalah dengan menyimpan informasi yang tidak perlu.


Beberapa Kata tentang Pelanggaran Equifax

Seperti yang mungkin Anda dengar, Equifax, salah satu dari tiga biro kredit utama, mengalami pelanggaran data besar-besaran. Peretas mengakses nama orang, nomor Jaminan Sosial, tanggal lahir, alamat dan, dalam beberapa kasus, nomor SIM. Mereka juga mencuri nomor kartu kredit untuk sekitar 209.000 orang dan dokumen sengketa dengan informasi identitas pribadi untuk sekitar 182.000 orang.

Sebagai salah satu dari tiga perusahaan pelaporan kredit nasional yang melacak dan menilai sejarah keuangan konsumen AS, Equifax dilengkapi dengan data tentang pinjaman, pembayaran pinjaman dan kartu kredit, serta informasi tentang segala hal mulai dari pembayaran tunjangan anak, batas kredit, pembayaran sewa dan utilitas, alamat dan riwayat pemberi kerja, yang semuanya menjadi faktor dalam nilai kredit.

Tidak seperti pelanggaran data lainnya, tidak semua orang yang terkena dampak pelanggaran Equifax mungkin menyadari bahwa mereka adalah pelanggan perusahaan. Equifax mendapatkan datanya dari perusahaan kartu kredit, bank, pengecer, dan pemberi pinjaman yang melaporkan aktivitas kredit individu ke agen pelaporan kredit, serta dengan membeli catatan publik. Karena Equifax adalah agen pelaporan kredit, kami memahami bahwa Anda mungkin tidak perlu diberitahu jika Anda terpengaruh oleh pelanggaran tersebut.

Equifax telah membuat situs keamanan khusus, https://www.equifaxsecurity2017.com, untuk memeriksa potensi dampak Anda. Gulir ke bagian bawah halaman dan klik “Potential Impact,” masukkan beberapa informasi pribadi dan situs akan memberi tahu Anda jika Anda terpengaruh. Pastikan Anda berada di jaringan yang aman (bukan wi-fi publik) saat mengirimkan data sensitif melalui internet. Kami memahami bahwa Equifax menawarkan satu tahun pemantauan kredit gratis dan layanan lainnya, terlepas dari apakah informasi Anda terekspos atau tidak. Perhatikan bahwa pendaftaran untuk layanan pemantauan gratis akan berakhir pada 21 November 2017.

Berikut adalah beberapa ide dan sumber daya bermanfaat yang mungkin ingin Anda pertimbangkan untuk menjaga diri Anda tetap terinformasi dan membantu Anda mengurangi risiko dan untuk melindungi diri Anda bergerak maju:


Pengantar

Equifax adalah perusahaan datum, analitik, dan teknologi di seluruh dunia yang menyediakan pelaporan kredit ke institusi lain dan kantor pusat Equifax berlokasi di Atlanta, Georgia. CEO adalah Mark Begor dan Kepala Petugas Keamanan Informasi adalah Jamil Farshchi (Equifax, 2019a).

Viper adalah cara cepat dan mudah untuk memeriksa pekerjaan Anda untuk plagiarisme. Sistem pemindaian online mencocokkan pekerjaan Anda dengan lebih dari 5 Miliar sumber online dalam hitungan detik.

Pada 7 September 2019, Equifax mengumumkan bahwa peretas mencuri data keuangan pribadi dari sekitar 150 juta orang. Insiden keamanan siber ini adalah salah satu yang terbesar dalam sejarah. Menurut (Harmer, 2017), pencuri memiliki akses ke data pribadi seperti nomor jaminan sosial, nama lengkap, tanggal lahir dan alamat untuk 150 juta pelanggan Equifax di seluruh Amerika Serikat (Ng & Musil, 2017). Akses data ilegal terjadi dari pertengahan Mei hingga Juli 2017. Pelanggaran keamanan siber ditemukan pada 29 Juli 2017, tetapi peretas memiliki akses penuh ke data pribadi dari pertengahan Mei hingga akhir Juli 2017. Perusahaan mengindikasikan bahwa penjahat siber mendapatkan keuntungan akses ke file melalui kerentanan aplikasi situs web (Harmer, 2017).

Sejarah dan latar belakang Equifax

Equifax Inc. adalah perusahaan pelaporan kredit yang didirikan di Atlanta, GA, pada tahun 1899 dan saat ini merupakan salah satu dari tiga perusahaan pelaporan kredit terkemuka. Pada 1920-an, Equifax berkembang dan memiliki kantor di seluruh Amerika Serikat dan Kanada. Pada 1960-an, Equifax adalah salah satu biro kredit utama negara yang bertanggung jawab untuk menentukan kelayakan kredit dan memberikan informasi tentang pendapatan dan jutaan warga Amerika dan Kanada Equifax (2019a). Equifax mengumpulkan dan menganalisis data untuk lebih dari 820 juta konsumen dan lebih dari 91 juta bisnis di seluruh dunia. CEO Equifax saat ini adalah Mark Begor dan telah menjabat sebagai kepala eksekutif sejak 16 April 2018 Begor mengambil alih Richard Smith yang pensiun setelah pelanggaran data besar-besaran pada 2017. Richard menjabat sebagai ketua dan CEO dari 2005 hingga 2017.

Equifax menjadi sangat sukses di bawah kekuasaan Smith, dan dia mengubah Equifax menjadi salah satu perusahaan layanan pengumpulan data dan analisis data paling sukses dengan kekayaan bersih $14,9 miliar per 03 Mei 2019 (Macrotrends, 2019). Namun, Smith memahami pentingnya data sensitif yang dikumpulkan perusahaannya dan potensi risiko pantai jika peretas tidak dikendalikan. Smith menginvestasikan jutaan dolar ke dalam keamanan siber untuk mengurangi potensi hilangnya data oleh peretas. Namun, Equifax mulai menghadapi masalah keamanan data setelah pengunduran diri CSO-nya, dan beberapa karyawan keamanan siber top lainnya meninggalkan Equifax pada 2013.

Salah satu pelanggaran keamanan utama terjadi di perusahaan pada tahun 2017, dalam serangan siber yang berani, seseorang telah mencuri informasi pribadi yang sensitif dari lebih dari 150 juta orang, hampir setengah dari populasi AS. Informasi tersebut termasuk nomor Jaminan Sosial, nomor SIM, informasi dari sengketa kredit dan detail pribadi lainnya (Ng & Musil, 2017).

Ringkasan

Equifax, sebuah agen pelaporan kredit global dilanggar pada tahun 2017 dan peretas mencuri data keuangan pribadi dari sekitar 150 juta orang. Insiden keamanan siber ini adalah salah satu yang terbesar dalam sejarah. Menurut (Harmer, 2017), pencuri memiliki akses ke data pribadi seperti nomor jaminan sosial, nama lengkap, tanggal lahir dan alamat untuk 150 juta pelanggan Equifax di seluruh Amerika Serikat (Ng & Musil, 2017).

Studi kasus ini berfokus pada Apa, Mengapa, Siapa, Bagaimana dan menyarankan kemungkinan pencegahan pelanggaran dan tanggapan Equifax terhadap pelanggaran keamanan dunia maya dan merangkum kesalahan yang diambil tetapi sebagian besar berkaitan dengan kegagalan untuk menggunakan praktik keamanan yang diakui dan kurangnya kontrol internal dan tinjauan keamanan reguler.

Apa yang salah?

Menurut Kantor Akuntabilitas Pemerintah A.S. Equifax melaporkan bahwa pada Maret 2017, individu tak dikenal mengekspos kerentanan di Apache Struts yang berjalan di situs portal sengketa online Equifax dan peretas dapat memperoleh akses ke sistem data Equifax (GAO, 2018). Pada Mei 2017, penyerang mulai mengeksploitasi kerentanan dan mulai mengekstrak data yang berisi informasi pribadi dari sistem informasi Equifax. Menurut Equifax, penyerang menggunakan beberapa teknik untuk menyembunyikan eksploitasi sistem Equifax dan kueri basis data yang mereka lakukan. Pada 29 Juli 2017, para peretas mengeksploitasi kerentanan yang terlibat dengan Apache Struts Web Framework, memberi mereka kemampuan untuk menjalankan perintah pada semua sistem database dan jaringan yang terpengaruh Equifax (GAO, 2018)

Dari pertengahan Mei hingga 29 Juli 2017, peretas memiliki akses tidak sah ke basis data laporan kredit Equifax di mana mereka memiliki akses ke lebih dari 150 juta informasi pengenal pribadi orang-orang di AS dan Kanada. Namun, Equifax menunggu total enam minggu untuk mengungkapkan pelanggaran tersebut kepada publik pada 7 September 2017, dan menyatakan bahwa pelanggaran keamanan siber adalah salah satu yang terbesar dalam sejarah. Menurut Berghel (2017), peretas mengeksploitasi kerentanan aplikasi situs web, dan peretas mengambil nama, tanggal lahir, alamat, nomor Jaminan Sosial, SIM, dan nomor kartu kredit dari pelanggan Equifax (Harmer, 2017). Sampai hari ini, saat ini tidak ada bukti aktivitas tidak sah pada basis data pelaporan kredit konsumen atau komersial inti (Symanovich, 2018).

Ringkasan

Laporan GAO 2017 mengonfirmasi bahwa satu server web dengan perangkat lunak usang menyebabkan pelanggaran, yang disembunyikan selama 76 hari. Peretas membuat lebih dari 9.000 kueri basis data yang ketika tidak terlihat karena sertifikat keamanan yang kedaluwarsa gagal menjaga sistem inspeksi data jaringan tetap mutakhir menurut (Whittaker, 2019 GAO, 2018). Sistem inspeksi data jaringan tidak berfungsi selama lebih dari sepuluh bulan sebelum staf menyadarinya. Selain itu, peretas telah mengakses lebih dari 48 basis data yang berisi kredensial tidak terenkripsi yang mereka gunakan untuk mengakses basis data internal lainnya (Krebs, 2019 Whittaker, 2019 GAO, 2018).

Mengapa itu terjadi?

Peretas mengeksploitasi kerentanan aplikasi situs web, dan peretas mencuri nama, nomor Jaminan Sosial, tanggal lahir, alamat, dan nomor kartu kredit dari pelanggan Equifax Berghel (2017). Sampai hari ini, saat ini tidak ada bukti aktivitas tidak sah pada basis data pelaporan kredit konsumen atau komersial inti (Symanovich, 2018).

Konsensus utama adalah bahwa data Equifax dicuri untuk dijual di Dark Web menurut Fleishman, (2018). Dark Web terdiri dari ribuan situs web yang alamat IP-nya disembunyikan, dan Dark Web digunakan paling mencolok untuk pasar gelap bawah tanah. Untuk memungkinkan penjahat membeli, menjual, dan memperdagangkan data kartu kredit, informasi pribadi, dan pornografi anak (Fleishman, 2018).

Menurut Fazzini, (2019) teori yang paling masuk akal adalah bahwa pelanggaran dimulai dengan peretas tingkat rendah yang mungkin telah menemukan kerentanan tetapi tidak cukup berpengetahuan untuk mengekstrak sejumlah besar data. Peretas ini kemungkinan besar membagikan atau menjual informasi tentang kerentanan keamanan kepada peretas yang lebih ulung yang mungkin berafiliasi dengan pemerintah Rusia atau Cina (Fazzini, 2019).

Ringkasan

Komite Pengawas Rumah menyimpulkan bahwa praktik dan kebijakan keamanan Equifax tidak memuaskan dan sistemnya ketinggalan zaman dengan server Apache Struts yang belum ditambal yang berusia lebih dari lima tahun. Komite menemukan bahwa jika hanya langkah-langkah keamanan sederhana yang diperlukan seperti menambal sistem yang rentan, tindakan ini akan mencegah pelanggaran data besar-besaran pada tahun 2017. Untungnya, tidak ada bukti aktivitas tidak sah pada basis data pelaporan kredit konsumen atau komersial, dan ada belum ada upaya untuk menjual data di Dark Web (Symanovich, 2018 Fleishman, 2018).

Siapa yang bertanggung jawab?

Menurut CEO, Richard Smith di House Energy and Commerce Committee mengindikasikan bahwa satu teknisi TI bersalah karena mereka tidak memperbarui patch yang diperlukan ke perangkat lunak aplikasi web yang rentan (Krebs, 2019). Namun, menurut Krebs, (2019) Equifax mengidentifikasi beberapa faktor yang memfasilitasi akses peretas ke jaringannya dan ekstraksi informasi dari basis datanya. Keempat faktor utama tersebut adalah (a) kurangnya identifikasi, (b) deteksi, (c) segmentasi, dan (d) tata kelola data (Fazzini, 2019 GAO, 2018).

Alasan paling jelas bahwa pelanggaran terjadi adalah bahwa Equifax tidak dapat mengidentifikasi server Apache Struts yang belum ditambal di mana pelanggaran terjadi. Alasan kedua adalah bahwa Equifax tidak dapat mendeteksi kapasitas peretas untuk terhubung dengan server dan eksfiltrasi data karena sertifikat digital kedaluwarsa untuk perangkat lunak pemindaian jaringan yang satu-satunya tujuan adalah untuk mendeteksi lalu lintas berbahaya (GAO, 2018 Berghel, 2017). Selain itu, server database yang diretas tidak memiliki segmentasi yang tepat yang memungkinkan peretas untuk dengan mudah mengakses database lain dalam jaringan Equifax (Fazzini, 2019). Faktor terakhir yang berkontribusi adalah kurangnya tata kelola data yang memadai dengan aturan penyimpanan data pribadi. Banyak nama pengguna dan kata sandi diambil oleh peretas yang memiliki akses ke kredensial tidak terenkripsi yang memungkinkan penyusup menjalankan kueri lebih banyak basis data (GAO, 2018 Berghel, 2017)

Ringkasan

Sementara mantan CEO mencoba untuk menyalahkan, seluruh pantai pada teknisi TI tunggal analisis data menunjukkan bahwa kombinasi dari beberapa faktor berkontribusi terhadap pelanggaran terburuk dalam sejarah modern. Komite menemukan bahwa jika hanya langkah-langkah keamanan sederhana yang diperlukan seperti menambal sistem yang rentan, tindakan ini akan mencegah pelanggaran data besar-besaran pada tahun 2017.

Bagaimana mencegah pelanggaran seperti itu terjadi di masa depan?

Secara khusus, kurangnya batasan pada frekuensi kueri basis data memungkinkan penyerang untuk mengeksekusi sekitar 9.000 kueri semacam itu—lebih banyak dari yang dibutuhkan untuk operasi normal.

Mungkin pendekatan yang lebih komprehensif untuk mengintegrasikan praktik aman ke dalam pengembangan dan penerapan aplikasinya.

Seperti menggunakan Security DevOps, ini mungkin telah mengidentifikasi kerentanan Apache sebelum dieksploitasi. Atau, tidak ada yang akan berhasil. Mungkin tidak ada alat atau strategi keamanan yang bahkan tersedia pada saat ini yang dapat mencegah pelanggaran tersebut. Tidak ada sistem keamanan rumah yang akan mencegah pencuri yang gigih, keamanan siber adalah pertempuran berkelanjutan dengan penjahat, dan tidak ada peluru keamanan ajaib untuk organisasi.

Jika sebuah organisasi dengan tingkat tanggung jawab keamanan siber yang harus diikuti oleh Equifax tidak dapat menjaga keamanan data, lalu harapan apa yang dimiliki oleh organisasi yang kurang sadar akan keamanan? Sekalipun pelanggaran tidak dapat dicegah, dampak keseluruhan diharapkan dapat diminimalkan dengan cara memperlambat serangan.

Ringkasan

Secara eksplisit, pejabat Equifax menyatakan bahwa langkah-langkah perbaikan tingkat sistem diterapkan untuk mengatasi faktor-faktor yang menyebabkan pelanggaran. Misalnya, untuk mengatasi kekhawatiran tentang mengidentifikasi server yang rentan, Equifax dilaporkan menerapkan proses manajemen baru untuk mengidentifikasi dan menambal kerentanan perangkat lunak dan mengonfirmasi bahwa kerentanan telah diatasi. Juga, untuk membantu memastikan bahwa deteksi aktivitas jahat tidak terhalang di masa depan, pejabat Equifax mengatakan mereka telah mengembangkan kebijakan baru untuk melindungi data dan aplikasi dan menerapkan alat baru untuk pemantauan terus-menerus lalu lintas jaringan. Selanjutnya, untuk meningkatkan segmentasi antar perangkat yang tidak perlu berkomunikasi, pejabat Equifax menyatakan bahwa mereka telah menerapkan kontrol tambahan untuk memantau komunikasi di batas luar jaringan perusahaan dan menambahkan pembatasan lalu lintas antar server internal. Terakhir, untuk membantu mengatasi masalah tata kelola data, para pejabat mengatakan bahwa mereka menerapkan kerangka kerja kontrol keamanan baru dan kontrol yang lebih ketat untuk mengakses sistem, aplikasi, dan jaringan tertentu.

Selain langkah-langkah ini, Equifax menyatakan bahwa mereka menerapkan alat keamanan titik akhir baru untuk mendeteksi kesalahan konfigurasi, mengevaluasi indikasi potensi kompromi, dan secara otomatis memberi tahu administrator sistem tentang kerentanan yang teridentifikasi. Selanjutnya, pejabat Equifax melaporkan bahwa perusahaan telah menerapkan struktur tata kelola baru untuk secara teratur mengomunikasikan kesadaran risiko kepada dewan direksi dan manajemen senior Equifax. Struktur baru mengharuskan Chief Information Security Officer perusahaan untuk melapor langsung ke Chief Executive Officer.29 Para pejabat mengatakan ini akan memungkinkan visibilitas risiko keamanan siber yang lebih besar di tingkat manajemen puncak.

Kesimpulan

Prediksi setelah pelanggaran adalah bahwa regulator dan kemarahan konsumen akan memaksa perubahan signifikan pada industri pelaporan kredit. Sebaliknya, hampir tidak ada substansi yang terjadi sejak pelanggaran yang belum pernah terjadi sebelumnya. Saham Equifax mengalami pukulan awal, tetapi sebagian besar telah pulih. Itu terus menerima kontrak pemerintah yang substansial.

Consumer Union, penerbit Consumer Reports, mencatat dalam editorial di situsnya hari ini, “Orang Amerika sebagian besar tetap tidak mengetahui praktik industri pelaporan kredit—dan, lebih umum, sebagian besar tidak dapat mengontrol penggunaan informasi pribadi mereka. Equifax sendiri telah mengalami konsekuensi minimal dan terus melakukan bisnis kurang lebih seperti sebelumnya.”

Sebagai kesimpulan, tindakan terbaik bagi UE adalah menerapkan pendekatan hukum persaingan yang menggabungkan konsep perlindungan data tertentu. Pendekatan terpadu ini akan berfungsi sebagai pelengkap badan hukum persaingan dan perlindungan data yang sudah ada dan kuat di UE, dan akan memberikan lapisan perlindungan lain bagi konsumen dan perusahaan. Jika diterapkan dengan benar, hal itu dapat mengurangi risiko bahaya peristiwa pelanggaran data bagi konsumen, dan mengurangi risiko hukuman yang dihadapi oleh perusahaan besar yang mengendalikan sejumlah besar data konsumen yang rentan. Pendekatan terpadu ini optimal karena biaya pelaksanaannya yang relatif rendah sekaligus menawarkan keuntungan yang signifikan bagi semua pihak yang berkepentingan: konsumen, dunia usaha, dan pemerintah. Titik kontak utama antara bisnis dan pemerintah di mana pendekatan ini dapat digunakan adalah selama proses tinjauan merger. Selain itu, pengadilan akan memiliki opsi untuk meninjau dan mempertimbangkan kebijakan perlindungan data perusahaan yang akan ditinjau sebagai akibat dari tantangan antipersaingan, seperti halnya dengan Asnef-Equifax. (Altmayer, 2018)

BAB 2 Bagian Kedua Tugas

Pengantar

Selesaikan modul Big Machine Learning di Linux Academy, termasuk Latihan, Kuis, lalu selesaikan Ujian Latihan untuk Google Cloud. Ambil tangkapan layar untuk memverifikasi penyelesaian dan skor.

Meja Besar Google Cloud

Persyaratan Tugas

Option #1: Cloud Breach of U.S. Company/Google Cloud (Linux Academy)

Part 1: Identify a significant cloud breach of a U.S. company. Produce an 8-10 page critical evaluation of your chosen breach, review and analyze the breach along the following dimensions: a. what went wrong? B. Why did it occur? C. Who was responsible? D. How could it have been prevented? What could be done to stop such an event from happening in the future?

Part 2: Complete the Big Machine Learning module in Linux Academy, including the Exercise, Quiz, and then complete the Practice Exam for Google Cloud. Take screenshots to verify completion and scores.

Compile Part 1 and Part 2 into a single Word document and submit by the posted due date. Review the rubric below for specific grading criteria.


Tindakan

Hausfeld filed a complaint on behalf of consumers harmed by the breach, and the firm was appointed by the US district court in Georgia to the Plaintiffs’ Steering Committee for the nationwide consumer class action.

As a member of the Steering Committee, Hausfeld took the lead in coordinating the complex 50-state plaintiff discovery and successfully shepherded the case through Equifax’s motion to dismiss. As part of the settlement committee, Hausfeld took a leading role in the extensive mediation sessions with Equifax, federal regulators, and state attorneys general, which ultimately brought the case to a successful resolution for the consumer class.


Special Guest

Assaf Dahan

Head of Threat Hunting at Cybereason Japan.

Assaf Dahan has more than 13 years of offensive and defensive cybersecurity experience. As Cybereason’s lead security researcher in Tokyo his areas of focus include the Japanese threat landscape and fileless malware. Prior to joining Cybereason, Dahan led Ernst and Young’s Red Team in Israel and developed penetration testing methodologies. He’s an alumnus of the Israeli Intelligence Corps’ Unit 8200.


Same difference

Lawmakers are still waiting for some action to be taken against Equifax.

While the Bureau of Consumer Financial Protection and the Federal Trade Commission have opened investigations into Equifax's breach, neither of them have taken any actions.

Warren and Cummings said they've sent a letter to both agencies asking if they "intend to hold Equifax accountable."

Under the bill that Warren and Sen. Mark Warner, a Democrat from Virginia, are looking to pass, Equifax would have paid at least $1.5 billion in penalties for the breach. So far, the company has paid nothing in fines to the government.

Equifax argues that it's going through a complete shift to make sure a breach like 2017's never happens again. An Equifax spokesperson said the company has spent $200 million on cybersecurity over the last year. Its new CISO, Jamil Farshchi, has had experience cleaning up messes: He was called in after Home Depot suffered its own major breach in 2014.

"In the past year, we have undertaken a host of security, operational and technological improvements," an Equifax spokesperson said.

For affected consumers and many in Congress, those improvements haven't yet hit the mark.

Originally published Sept. 6 at 9:00 p.m. PT.
Updated Sept. 7 at 4:54 a.m. PT: Added details about the Equifax breach.

Security: Stay up-to-date on the latest in breaches, hacks, fixes and all those cybersecurity issues that keep you up at night.

Blockchain Decoded: CNET looks at the tech powering bitcoin -- and soon, too, a myriad services that will change your life.


Tonton videonya: How the Massive Equifax Data Breach Happened (September 2022).


Komentar:

  1. Samuro

    No, the opposite.

  2. Pin

    the quality is good and the translation is good ...

  3. Dinris

    idemu sangat bagus

  4. Kayne

    Siap berdebat tentang topik ini?

  5. Julrajas

    Akan menguraikan kesehatan Anda,



Menulis pesan

Video, Sitemap-Video, Sitemap-Videos