Хакеры украли банковские идентификаторы половины населения США
Бюро кредитных историй Equifax завершило оценку объема и состава данных, украденных хакерами летом 2017 г. Злоумышленники получили в свое распоряжение 145,5 млн номеров социального страхования, которые в США позволяют взять кредит или оформить банковскую карту.
Масштабы кражи
Американское бюро кредитных историй Equifax раскрыло точные масштабы кражи данных, имевшей место летом 2017 г. Бюро подтвердило, что злоумышленники смогли получить имена, фамилии и даты рождения 146,6 млн резидентов США.
Помимо этого, были украдены 145,5 млн номеров социального страхования (SSN), 99 млн адресов, 20,3 млн телефонных номеров, 17,6 млн номеров водительских удостоверений и 1,8 млн адресов электронной почты. Кроме того, были похищены данные по 209 тыс. платежных карт, включая номер и дату окончания действия, а также 97,5 тыс. номеров налогоплательщика TaxID.
Также злоумышленники получили сканы или фотокопии 38 тыс. водительских удостоверений, 12 тыс. карт социального страхования или налогоплательщика и 3,2 тыс. паспортов. Эти изображения были загружены пользователями на портал Equifax.
Процесс оценки ущерба
Оценка масштабов кражи данных заняла у Equifax несколько месяцев потому, что в базах данных компании информация была представлена не единообразно. Например, колонка с фамилиями могла называться «firstname» или «user_first_name» или «first_nm». Привести данные в единообразный вид помогла компания Mandiant, специализирующаяся на информационной безопасности.
Кроме того, в некоторые ячейки стандартных таблиц не были внесены данные, особенно часто — номера паспортов, даты выдачи водительских удостоверений и коды подтверждения кредитных карт.
Кража SSN
Кража 145,5 млн номеров социального страхования представляет собой серьезную проблему. Девятизначный SSN изначально был предназначен для идентификации налогоплательщиков в программе социального страхования. На деле он широко используется в американских банках для идентификации личности при открытии счета, получении кредита или оформлении кредитной карты. Фактически SSN является национальным идентификационным кодом. Предполагается, что SSN не знает никто, кроме резидента, которому присвоен этот номер. Поэтому мошенники охотятся за номерами социального страхования для осуществления кражи личности.
Проблема усугубляется тем, что на карточке социального страхования, где указан номер, отсутствуют какие-либо биометрические идентификаторы. Поэтому карточку легко подделать с целью совершения мошеннических операций. Ее подлинность можно подтвердить другими документами, для изготовления которых в свою очередь достаточно SSN. Широкие возможности для мошенничества, которые предоставляет SSN, заставляют американских парламентариев периодически выступать с проектами по ограничению его применения.
История вопроса
О масштабной краже данных Equifax сообщила в сентябре 2017 г. — через 1,5 месяца после того, как узнала сама. Издание Bloomberg назвало инцидент одной из самых масштабных краж данных в истории. Пострадала почти половина населения США — всего в стране проживает 323 млн человек.
В ходе атаки хакеры использовали уязвимость веб-сайта компании. Злоумышленники действовали в период с середины мая до конца июля 2017 г. Три топ-менеджера Equifax успели продать принадлежащие им акции на сумму $1,8 млн уже после того, как о краже данных стало известно компании, но еще до того, как об инциденте было объявлено публично.
Equifax — это американское бюро кредитных историй, основанное в 1899 г. Наряду с Experian и TransUnion входит в тройку крупнейших организаций такого рода в США. Главный офис компании расположен в Атланте, штат Джорджия. В распоряжении бюро имеется информация более чем о 800 млн потребителей и 88 млн предприятий по всему миру. Штат компании насчитывает около 10,3 тыс. сотрудников в 14 странах.
Акции Equifax торгуются на Нью-Йоркской бирже. Выручка компании по итогам 2017 г. составила $3,362 млрд, чистая прибыль — $587,3 млн.