Så jag vet inte riktigt om detta är en historia som så många svenskar har hört om, men just nu vid detta tillfälle så utspelar sig en ganska makaber historia i USA. En av de stora kreditagenturerna i USA har under maj-juli blivit utsatt för en attack där de ansvariga utövarna kom över känslig information om 145 miljoner Amerikanare eller ⅔ av den möjliga populationen. Man kom utöver detta även över kreditkortsinformation från cirka 209 000 personer.
Vad är Equifax?
Equifax är en kreditagentur, vilket innebär i detta fall att de samlar in information om dig och din ekonomi som de sedan säljer vidare till olika företag som kan vara intresserad av denna information. Det kan vara lånebolag, försäkringsbolag och vanliga företag som vill se om du har en bra kredithistorik eller undersöka om du faktiskt kan betala ditt lån. Därför bör man se bolag som Equifax som gigantiska databanker där nästan all information om din ekonomi finns. Utöver detta så erbjuder även bolaget skydd mot bedrägerier och tillhandahåller en stor mängd data om den amerikanska ekonomin generellt.
Detta gör dessutom att om du bor i USA där Equifax är en av de största bolagen inom denna bransch så kommer du oavsett om du vill det eller inte springa på Equifax. Se det som att så fort någon gör en kreditupplysning på dig så kommer de att vända sig till Equifax och det är detta faktum som gör denna attack så omfattande på hela 145 miljoner Amerikanare.
Hur man som företag gör bort sig
Då denna historia fortfarande är färsk och utspelar sig just nu i USA så kan det fortfarande dyka upp mer information men detta är vad vi vet idag.
Mars- Under början av Mars så fick The Apache Foundation vetskap från ``samhället´´ om en möjlig säkerhetslucka i den öppna källkod som Equifax använder sig av. Denna upptäckt ska enligt dem blivit upptäckt den 7 Mars och sedan blivit tilltäppt redan den 10 Mars.
Maj, Juli- Någon gång under Maj och fram till den 29 Juli så lyckades en eller ett flertal hackare använda sig av denna lucka för att komma över uppgifter från ovetandes amerikanare via Equifax.
Juli, Augusti- Efter det att Equifax själva uppmärksammat denna attack så valde tre ledande personer med roller som ekonomichef och president för amerikanska informationslösningar inom Equifax att sälja aktier för 1,8 miljoner dollar. Detta enligt företaget själva utan att veta om att de precis uppmärksammat attacken.
September- Den 8 Sept så gick Equifax ut med uppgifterna om att de blivit attackerade och att cirka 145 miljoner amerikaner har blivit drabbade.
September 11- Equifax går ut med att de erbjuder privatpersoner att ``frysa´´ deras krediter så att ingen kan göra en ansökan eller öppna en kredit grattis. Detta är en tjänst som annars kostar (20-100 kronor), mot detta så måste man dock godkänna ett dokument som säger att man inte kommer att stämma Equifax för att man fått sina uppgifter hackade.
September 15- Två av cheferna på Equifax anger att de kliver av, detta rör deras informationschef och säkerhetschef.
September 15, 20- Equifax sätter upp en hemsida equifaxsecurity2017.com för att låta personer som vill undersöka om de blivit drabbade kontrollera detta, men en utvecklare vid namn Nick Sweeting valde att utnyttja möjligheten och skapade egen hemsida securityequifax2017.com. Denna hemsida gjorde inte så mycket mer än att informera besökaren att det var fel sida som de hade kommit till och bidra till lite ilska. Problemet var bara det att Equifax själva genom sociala medier hänvisade till den felaktiga hemsidan.
September 26- Equifax uppger att Richard Smith VD och styrelsemedlem väljer att gå i pension. Ersättare blir en tillfällig VD vid namn Paulino do Rego Barros, Jr som varit ansvarig för den Asiatiska delen av bolaget under ett antal år.
September 30- IRS (Internal Revenue Service) skriver trots denna skandal ett kontrakt med Equifax värt 7,25 miljoner dollar för att förse dem med identitetsverifieringstjänster. Vilket är en tjänst som bland annat är till att skydda den data som precis blev hackad. Inte bara detta men Equifax ansågs vara det enda företag som kunde utföra denna tjänst i och med att det var en sole source order.
Oktober- Förhören av Smith och Equifax har börjat och det har varit en hel del ursäkter från Smith. Detta medan både demokrater och republikaner har kastat sig över chansen att sätta upp nya lagar och korsfästa Smith.
Oktober 11,12- Har Equifax blivit hackat igen?. När kunder mellan den 11-12 oktober skulle besöka Equifax hemsida så möttes de av en ``fejk´´ flash update som sidan ville att besökare skulle ladda ned. Equifax stängde sedan ned sin sida och rapporterade att det var en link/kod från en tredjepart som blivit hackad och att det inte var återigen Equifax som blivit utsatt.
Mars attacken
Redan ínnan denna större attack så utsattes Equifax för en annan attack som de uppger inte var korrelerad med denna attack, att någon mellan April 2016 och Mars 2017 hade fått tillgång till skatteuppgifter som kom från TALX. TALX är en lön/skatte service. Exakt hur många som blev drabbade i denna attack är okänt då hackarna lyckades nollställa den fyrsiffriga koden hos ett okänt antal konton genom att svara rätt på några enkla frågor som ålder, vilken skola man gått på eller vilken färg man tycker om.
Här är vi idag
Detta är vad vi idag vet om denna soppa som Equifax till stor del själva orsakat. Det är fortfarande osäkert hur eller vad som egentligen har hänt och det är inte heller säkert att man kommer att få hela historien klar för sig då det är väldigt känslig information som detta handlar om. Men det är ganska otroligt att ett företag som Equifax är så vårdslösa med deras säkerhet och andras personliga uppgifter. När säkerhetsluckan hade blivit upptäckt så kunde denna täppas till på cirka tre dagar men ändå flera månader senare så hade inte Equifax implementerat denna lösning själva. Frågan är varför ? varför täpper inte ett företag med så känsliga uppgifter till denna lucka då det är en öppen källkod och alla som använder den känner till luckan?.
En annan fråga som dyker upp är frågan hur kan ett företag som senast i Mars hade en annan attack inte se över sin säkerhet. Detta var dessutom en attack som startade i April 2016 och som kunde fortsätta till Mars 2017. Redan där ringer det vissa varningssignaler. Visserligen så ska man inte se TALX som en direkt del i Equifax utan mer som en egen division men det är fortfarande allvarligt att två attacker på så kort tid kan kopplas till samma företag och det är dessutom två attacker som visar på väldigt allvarliga brister i säkerhet.
Just nu så undersöker FBI och The Federal Trade Commission dessa händelser och Equifax vad jag vet har fått in minst 50 olika class action stämningar riktade mot sig. Detta är väldigt allvarligt och frågan är om Equifax kommer att överleva som företag. Företaget som är noterat på NYSE handlades till 143 dollar den 7 september för att sedan kollapsa ned till 93 dollar när nyheten kom ut, varav den just nu handlas till cirka 108 dollar. Om fler nyheter kommer ut så tror jag att bolaget kommer att få det svårt att slå sig ifrån detta och det är intressant att fundera över om ett mindre bolag än Equifax hade kunnat överleva detta?. Om dessutom dessa stämningar och undersökningar skulle leda till sanktioner och stora summor i böter får vi då se om Equifax finns kvar i rådande form inom 1-2 år?.
Detta är lite liknande chocken som Wells Fargo gav den amerikanska börsen 2016 då företaget hade öppnat enligt senaste uppdateringen 3,5 miljoner falska konton åt då ovetandes kunder. Denna historia som fortfarande är öppen ledde dock till att Well Fargo betalade ynka 142 miljoner i dollar i böter. Vilket kan ses till deras vinst på 11 miljarder dollar för första halvan av 2017. Om Equifax får samma straff som Well Fargo vilket är tyvärr troligt då Equifax är To Big To Fail så är det lite av en skandal. Hur kan företag som gör allvarliga fel och misstag få straff som är minimala och hur kan IRS teckna ett avtal med ett företag som så uppenbarligen inte kan leva upp till de krav som ställs på dem.
Enron
Hela denna historia får mig att tänka på Enron. För er som är lite yngre eller i min ålder så kanske ni inte har hört talas om Enron, men detta var under slutet av 1990-talet och början av 2000-2001 ett av världens största el-, naturgas-, kommunikations-, samt massa- och pappersföretag. Företaget hade även en egen tradingavdelning som handlade med terminer och spotpriser i energimarknaden. Under 2000 så angav företaget att deras intäkter låg på 101 miljarder dollar men då företaget kom under attack 2001 för konstig redovisning och i vissa fall rent påhittade siffror så hamnade det ganska snart i konkurs. Enron är kanske det kändaste fallet av företag som hamnade på fel sida av lagen. Enron kunde sedan finnas skyldig till följande brott, bokföringsbrott, bedrägeri, kartellbildningar, mutbrott, insiderhandel, korruption, manipulation av råvarupriser och en massa andra saker.
Varför jag jämför Equifax med Enron är det faktum att företag som är ``störst´´ verkar inte inse att deras vårdslöshet och oförsiktighet får konsekvenser. Jag vill att de som jobbade i Equifax styrelse, VD och de personer med ansvar för säkerhet av Equifax data ska hållas ansvariga för den skada som Equifax har skapat. Det är det enda rätta och att påstå att en VD inte har ett ansvar för vad ett företag gör eller inte gör är bara struntprat. Han är VD av en anledning och han får ersättning efter detta. Om du vänder livet upp och ned för miljontals människor så ska du även få ta konsekvenserna för detta.
Öppen källkod
Alla kanske inte känner igen detta begrepp så här kommer en kort sammanfattning.
All elektronik som idag ``utför´´ ett arbetet har en källkod. Det är rättare sagt koden som vid en knapptryckning på din mobil följer en rad instruktioner och pratar med Facebook för att öppna appen och låter dig surfa. Internet bygger på rad olika källkoder, din mobil använder sig av en källkod och din smarta frys använder sig av en källkod. Vanligtvis delar man upp denna källkod i två grupper öppen eller stängd. Öppen källkod kan användas av alla och det finns bra och dålig källkod av denna typ. USAs regering använder sig av öppen källkod, Facebook använder sig av öppen källkod och Bank of America använder öppen källkod.
Fördelar med öppen källkod:
Billigare än stängd/låst källkod
Aktiv källkod får löpande uppdateringar
Används av fler
``Samhället´´ dvs användarna kan relativt enkelt göra ändringar och optimera koden och dela med sig av lösningar och problem
Nackdelar:
Öppna projekt som inte stöds kan vara osäkra
Fler har tillgång till koden och kan ``hitta´´ luckor i koden för sina onda planer, t.ex. sno en massa uppgifter från 145 miljoner Amerikanare
Fördelar stängd/låst källkod:
Löpande uppdateringar och vanligtvis ett företag som jobbar aktivt med säkerhet.
Nackdelar:
Dyrt
Få användare och inte samma ``samhälle´´
Svårt att göra ändringar eller optimera system
Oavsett vilken typ av källkod man använder sig av så finns det alltid en risk att någon hittar en lucka. Vissa människor är bara nyfikna och vill gräva runt i en kod och springer på en lucka som de delar med sig av så att användarna tillsammans kan laga den. Vissa vill helt enkelt vissa att de är bäst och ``knäcka´´ koden och beroende på var deras moral ligger laga den eller utnyttja den.Vissa å andra sidan vill tjäna pengar och sälja luckan till någon ond organisation eller utpressa de människor som använder koden. Det är katt och råtta lek där de goda alltid försöker ligga före de onda. Det innebär inte att man ska ursäkta företag som Equifax då de uppenbart ignorerade att det fanns en lucka i deras system.
Inga kommentarer:
Skicka en kommentar