Плясы вокруг эквифакса

новая дискуссия Аналитика  2.312

Обсуждение новости про хакнутый эквифакс вылилось в кромешный флуд и офтоп на ветке БПМ. Очень сожалею, но что получилось, то получилось. Отвечать в старом треде про эквифакс не буду, чтобы не поощрять офтоп. Всех, кому не ответил, приглашаю сюда.
 
Давайте задавать правильные вопросы. Отвечая на них, мы попробуем шаг за шагом добавить как можно больше деталей к этой истории с пипифаксом.
 
ВОПРОС 1: Что за данные утекли и что с ними можно делать?
По официальным заявам пипифакса, с мая по конец июля 2017 года утекли:
- полные номера соц страхования (не только 4 последние цифры!);
- полные даты рождения;
- имена и фамилии владельцев дат рождения и номеров соц страха;
- адреса владельцев утекших данны;
- ещё кое-какие документы типа пакетов документов о диспутах по взломанным кредиткам (если сумма, снятая с взломанной кредитки, превышает 500 долларей, большинства банков потребует письменного заявления, а там будет образец подписи);
- данные кредиток;
- кредитные отчёты с полным перечнем ВСЕХ банковских счетов, кредитных карт, кредитов, кредитных диспутов и пр.
 
Чтобы понять, что произошло, и чтобы понять, что эта утечка даже рядом не стоит с тем, что утекало раньше, опишу процедуру получения документов в США.
 
Шаг 1. Заходим в местный ЗАГС (обычно работает при муниципальной конторе по учёту рождения, пенсии и смерти местных жителей) и просим копию свидетельства о собственном рождении. Клерк запросит с вас имя, фамилию, номер соц страхования, адрес с подтверждением адреса (например, счёт из банка, присланный по почте на указанный вами адрес – распечатать на принтере как два байта переслать), полную дату рождения (все данные утекли из пипифакса) и оплату в виде 10-20 долларов. Через 2-3 недели у вас на руках – полностью легальный документ, выданный властями штата.
 
Шаг 2. Идёте на почту, заполняете заявку на получении паспорта гражданине США, прикладываете копию свидетельства о рождении, вписываете номер соц страхования, полную дату рождения, текущий почтовый адрес. Ну и оплата за паспорт. Ах, да ещё нужна фотка.
 
Ага-ага скажут проницательные камрады, вот тут и наступит полный облом, ибо владелец данных, какой-нибудь Джон Вайт, может оказаться негром, и если лже-заявку на документы подаёт бледнолицый, то ему пачпорт и не дадут. НО не всё так сложно, чесслово. По адресу владельца данных, добытому в пипифаксе, едем и смотрим на настоящего Джона Вайта. Если по внешности не подходит, выбираем из данных пипифакса следующего Джона Смита и едем к нему в гости, например, в виде торгового агента или техника телефонной компании. И так до тех пор, пока не найдём более-менее подходящую внешность. Не сложно и вполне реально, пусть будут небольшие различия в весе, росте или длине волос. И это должен быть шаг номер 0.
 
Шаг 3. После получения паспорта по почте заходим в местное ГАИ и подаём документы на водительские права. Понадобятся: полный номер соц страхования, полная дата рождения, любой документ, удостоверяющий личность (а паспорт с фоткой уже есть!), заявление о выдаче дубляжа прав и оплата долларов 15-30.
 
ИТОГ: Лже-Джон Вайт с полным набором документов Джона Вайта готов. С доступом ко всем банковским счетам (из кредитной истории, стыренной из пипифакса). Настоящий Джон Вайт может повеситься, доказывая, что он и сеть Джон Вайт.
 
ИЗЮМИНКА 1: Вот прошли по США два урагана, смыло дома, машины, и много чего из личных вещей, включая ДОКУМЕНТЫ. Жителям Техаса, Флориды, Джорджии, Вирджинии документы, утраченные по причине ураганов, будут восстанавливать по упрощённой процедуре, когда с заявителя потребуют только дату рождения, номер соц страхования, текущий адрес, ну и имя с фамилией. Все документы, подтверждающие личность, модно заявить утраченными… Какое интересное совпадение – утечка данных из пипифакса и два урагана, смывших энное количество документов в бескрайнее море-океян…
 
ИЗЮМИНКА 2: Тем, кто получал гринкарту или американское гражданство в последние 10 лет (с тех пор, когда ввели биометрию при выдаче гринкарт и гражданства), можно не париться. Потому, что у таких людей снимали отпечатки всех 10 пальцев, их фоткали, и не один раз (разные ракурсы), их голос писали при собеседовании и даже снимали на видео во время собеседований. Им не составит труда доказать свою идентичность. Поэтому, если те, кто получил персональные данные из кладовых эквифакса, не полные тупари, они не будут использовать данные людей с подозрительно неинглосаксонскими фамилиями. А вот с теми, кто родился в США и получил номер соц страхования сразу в госпитале по факту рождения, может приключиться беда. Ибо если они не сидели в тюрьме, их не арестовывала полиция, и они не были под колпаком ФБР, то у них нет шансов доказать свою идентичность. Совсем.
 
О том, что могут делать лже-Джоны в США, можно фантазировать до бесконечности, а я на этом вопросе закруглюсь и пойду дальше.
 
ВОПРОС 2: А почему именно Эквифакс?
Эквифакс – самое слабое звено из всех трёх кредитных агентств США. У них периодически происходили утечки данных, у них – репутация добоё не очень аккуратно работающих людей. Форбс публикнул статью с кратким обзором славной истории утечек и взломов Эквифакса:
https://www.forbes.com/sites/thomasbrewster/2017/09/08/equifax-data-breach-history/#12c412a3677c
Из самого недавнего – взлом в 2016 году, обнародованный в феврале 2016, судебное рассмотрение по которому завершено осенью 2016 года. Если глянуть на историю цены акций эквифакса на бирже:
https://www.thestreet.com/quote/EFX.html
http://www.marketwatch.com/investing/stock/EFX
то там оба события отмечены падением акций Но оба раза акции пипифакса очень быстро восстанавливались и шли в рост. Интересно, верно?

 
А ещё до этого, в марте 2015 года тот же самый пипифакс сообщил об утечке персональных данных при установке нового софта:
https://www.databreaches.net/equifax-discloses-data-breach-due-to-technical-error-during-software-change/
 
Были утечки помельче и до этого. Общее впечатление – вот удоды! И руки у их айтишников растут из жопы, и голова растёт оттуда же! Такое впечатление производят публикации в СМИ, которые прошли короткой волной 8-12 сентября на третьих-четвёртых полосах газет…
 
И при такой репутации - Пипифакс непотопляем. Непотопляемость эпифакса объясняют обычно тем, что это одно из трёх уникальных для США кредитных агентств, и в силу их масштаба и уникальности, им много чего сходит с рук:
https://www.nytimes.com/2017/09/08/technology/seriously-equifax-why-the-credit-agencys-breach-means-regulation-is-needed.html
 
Вот и в этот раз государственный контролирующий орган – Федеральная комиссия по торговле (Federal Trade Commission) – молчит в тряпочку, отделавшись статейкой с советами, что делать пострадавшим:
https://www.consumer.ftc.gov/blog/2017/09/equifax-data-breach-what-do
Народ в комментариях к этой статейке негодует и исходит желчью, требуя приостановить или полностью отозвать лицензию Эквифакса (что может сделать эта самая комиссия), но тут же пишут, что надежды на это – никакой. Между тем, началось шевеление в Сенате и Конгрессе, куда достучались пострадавшие:
http://www.marketwatch.com/story/white-house-will-extensively-study-ways-to-protect-data-after-equifax-breach-sanders-2017-09-11
А эта телега будет ехать долго и не спеша и далеко не факт, что она вообще доедет хоть до какого-то закона, потому как есть такое явление в обществе США, называется лоббизм. И не смейте путать его со смрадной коррупцией, которая процветает в недоразвитых и недемократических странах! И у Эквифакса тоже есть свои совершенно белые и пушистые лоббисты, причём – весьма эффективные, на сколько можно судить по его безнаказанности.
 
ВОПРОС 3: А почему не шевелились раньше, при предыдущих утечках?
Так давайте посмотрим, какие данные утекали из Эквифакса раньше. На сайте www.databreaches.net можно поискать сообщения по всем предыдущим утечкам данных из Эквифакса. Информация, попавшая в руки хакеров, включала:
 
- 4 последние цифры номера соц страхования (используется стандартно как пин по умолчанию для доступа к счетам кредитных карт и у провайдеров интернета, телефонии, медицинских услуг и пр. аккаунтам; эта инфа утекала и была хакнута много раз у массы мелких и крупных провайдеров инета, телефонии, в госпиталях и пр.). Полный номер соц страха содержит ещё 5 цифр, так что хакерам такая инфа не позволяет (в принципе) воссоздать документы и создать новую идентичность по этим документам. Хотя можно получить доступ к кредитным и банковским счетам (при определённом везении и при получении ещё кое-каких данных, например, полной даты рождения).
 
- 4 цифры, включающие месяц и дату рождения (тоже часто используется как ПИН по умолчанию у тех же провайдеров интернета, телефонии, в госпиталях и пр.; инфа тоже булла хакнута многократно у мелких и крупных провайдеров и утекала в руки хакеров). Если не известен хотя бы примерный возраст пострадавших, то такая инфа не позволяет (в принципе) воссоздать документы и создать новую идентичность по этим документам, так как нужны ещё 4 цифры года рождения. По ней (без 4 последних цифр из номера соц страхования) нельзя даже получить доступ к кредиткам или банковским счетам.
 
- форма W-2. Это – налоговая форма от работодателя, получаемая каждым наёмным работником в начале каждого года для заполнения налоговых деклараций. Содержит адрес, полный номер соц страхования и величину дохода. Такая утечка уже хуже всех предыдущих (а она была в пипифаксе в 2016 году), но опять же, без даты рождения (а её нет в этой форме)  не позволяет воссоздать идентичность того, чьи данные украли.
 
- данные кредитных карт (номера, CVV, даты годности). Ну это вообще рабочий момент в США, проблема решается просто звонком в банк, где открыта кредитка, и блокировкой взломанной кредитки. Банк даже вернёт пострадавшему все незаконно снятые с кредитного счёта деньги. А получит он их с той компании, которая допустила утечку, но сделано это будет тихо и без участия адвокатов и СМИ. Суммы обычно снимают небольшие (несколько сотен долларов), так что потери для пиздобо разгильдяев типа Эквифакса небольшие.
 
В итоге, все предыдущие потери данных не выпадали из общей традиции дырявых сетей в США. Основные (и единственные) потери от тех утечек – финансовые, например, взломы кредиток, получение кредитов на имя пострадавших от взломов, и тп. Все предыдущие утечки исключали воссоздание идентичности и документов. В этом году ситуация изменилась в корне, как я пояснил выше.
 
ВОПРОС 4: А почему объявили об утечке данных только через 6 недель после её обнаружения (если судить по официальному заявлению Эпифакса)?
А ХЗ. Но, как я уже отмечал, момент для раскрытия инфы об утечке данных выбран мастерски – в СМИ шло буквально цунами информации об Ирме и Флориде, и инфа про пипифакс попала на третьи-пятые полосы газет… Хотя мимо игроков на бирже такая инфа не прошла, и биржа среагировала сразу падением цен на акции пипифакса почти на 30% за 2 дня.
Первый вариант ответа – просто ждали удобный момент (и таки дождались), чтобы использовать поток информации об урагане ИРма как дымовую завесу, минимизировать панику и снизить ущерб. Но тогда логичен другой вопрос – а почему не воспользовались волной в СМИ, которую поднял Харви? Там дымовая завеса была бы не хуже… Что-то не сходится, верно? Либо надо предположить, что в пипифаксе все поголовно – удоды и тупицы, либо… Либо им нужно было время.
 
И совершенно в струю агентством Блумберга была обнародована инфа, что три топ манагера Пипифакса за те 6 недель, что молчали об утечке данных, продали своих акций пипифакса аж на 1,8 лимона долларей. Так может молчали ради этого? Или ещё ради чего-то?
 
ВОПРОС 5: Что это будет стоить Эквифаксу?
 
Для начала - скромная новость. Против эквифакса таки инициировано рассмотрение исков от потерпевших:
https://www.thestreet.com/story/14302030/1/shareholder-alert-bronstein-gewirtz-grossman-llc-notifies-investors-of-class-action-against-equifax-inc-lead-plaintiff-deadline.html
 
Это – первый (но не единственный!) коллективный иск юридической фирмы Бронштейн, Гервиц, Гроссман от лица потерпевщих, компенсацию по которому смогут получить даже те, кто не участвовал в подаче иска (class action). Давайте сделаем простые оценочки. Пусть средняя стоимость компенсации потерпевшим будет 5 штук зелёных. И пусть заявку на компенсацию подадаст каждый пятый, то есть, около 30 млн клиентов Эквифакса. Итого сумма компенсации получится 150 ЯРДОВ зелени. Замечу, что 5 штук компенсации по единичному иску – это очень и очень скромненько. То есть, реальная сумма компенсаций может превысить 150 ярдов. А если к иску присоединятся не 30, а хотя бы 50 млн потерпевших из 140 млн, то картинка получится ещё интереснее. При этом по официальным данным:
http://www.marketwatch.com/investing/stock/EFX
капитализация Эквифакса – почти 13,96 ярда. При этом пишут, что за последние три дня торгов капитализация снизилась на 3,5 ярда зелени:
http://www.marketwatch.com/story/equifaxs-data-breach-costs-investors-a-lot-more-than-it-will-cost-the-company-2017-09-11
 
То есть, при таком иске пипифакс придётся продавать, и то всем компенсаций не хватит. На сколько это им страшно? Сошлюсь на историю с судебным иском 2016 года (как самую свежую). Исковые заявления были примерно на 5 миллионов (!) долларей, но Эквифакс бился до последнего, отбивая этот иск, потратив на адвокатов около пол-лимона зелени. То есть, им 5 лимонов выплат были уже нагрузкой (те же магазинные сети тратят в год суммы в разы больше для компенсации жертвам, чьи данные о кредитках хакают через дыры  в сетях магазинов). В итоге пипифакс выиграл, и иск отклонили по причине «предъявления завышенных требований». НО иск отклонён с формулировкой «можно подать снова после исправления и редактирования требований». То есть, домоклов меч от истории 2016-го года так и висит над пипифаксом… И если к нему добавить новые иски на десятки, а то и сотни ярдов зелени… В общем, вы поняли, почему три топ-манагера пипифакса втихаря сливали свои акции и удачно слили их на 1,8 милилона зелени?
 
Вопрос 6. Ну и что?
А ничего. Просто в мае 2018 года вступает в силу соглашение США –ЕС по новым правилам защиты данных:
https://techcrunch.com/2015/12/16/gdpr-agreed/
В соответствии с ним, контролирующие государственные органы должны быть проинформированы об утечке персональных данных НЕ ПОЗДНЕЕ, ЧЕМ ЧЕРЕЗ 72 ЧАСА после обнаружения утечки. Стоп-стоп, а сколько утаивал последний случай утечки Эквифакс? А 40 дней – почти 6 недель. С мая 2018 года такая задержка станет нарушением закона, а сейчас – нет. Последнюю утечку из Эквифакса, бездействие властей США, задержку с оглашением утечки и связь всего этого с новым соглашением по охране данных уже обсуждают в мелких СМИ:
https://techcrunch.com/2017/09/08/equifax-breach-disclosure-would-have-failed-europes-tough-new-rules/
Но на страницы больших газет эта тема не выносится…
 
ИЗЮМИНКА 3. Очень рекомендую полистать официальные отчёты Эквифакса за последнее время:
https://investor.equifax.com/news-and-events/news/2017
Итак, посмотрим, что делалось с конца мая по 7 сентября 2017 года, согласно официальным отчётам пипифакса:
 
https://investor.equifax.com/news-and-events/news/2017/06-05-2017
- 6 июня 2017, смена трёх топ-манагеров, их перевели на другие посты в пипифаксе. Не нагнетаю.
 
https://investor.equifax.com/news-and-events/news/2017/06-07-2017a
- 7 июня 2017, Эквифакс и ТранЮнион (два из трёх кредитных агентств США) запустили совместный проект по блокировке персональных данных, чтобы избежать потерь этих самых данных. Случайно.
 
https://investor.equifax.com/news-and-events/news/2017/06-16-2017
- 16 июня 2017, Эквифакс начал покупку Вотчдога – одна из айтишных компаний, специализирующихся на защите персональной информации. Добавлю: с Вотчдогом они работали очень плотненько с ноября 2016 года. Снова случайно.
 
https://investor.equifax.com/news-and-events/news/2017/08-11-2017-005951319
- 10 августа 2017, Эквифакс завершил покупку Вотчдога. Как вовремя!
 
https://investor.equifax.com/news-and-events/news/2017/08-23-2017-133204721
- 23 августа 2017, FIS и Эквифакс запустили новый проект OnlyID с улучшенной защитой от хищения персональных данный и с уменьшением операций по вводу паролей и логину (типа – доступ ко всем счетам с одного сайта). FIS – довольно суровые рябяты, занимающиеся айтишными услугами на финансовом рынке. И снова – совсем случайно.
 
ВЫВОД: а суета началась ещё в ИЮНЕ, когда по официальной версии эпифакс ничего не знал об утечке данных. Постами (и зарплатами) поплатились три манагера сразу, но людей с такими знаниями о пипифаксе на улицу не выставляют, их отпускают работать до пенсии где-нибудь в Австралии. И без перспектив повышения…
 
А вот это официальное сообщение от пипифакса я выставляю для любителей конспирологии, ибо в нём что-то есть этакое:
https://investor.equifax.com/news-and-events/news/2017/08-30-2017-143103763
30 августа 2017 года высшее руководство Эпифакса встретилось с послом Великобритании. По официальным сообщениям, разговор шёл о проектах пипифакса на острове. Не нагнетаю. Просто с послом Канады, где пипифакс занимает неслабый сегмент финансового рынка, встреч не было. И с послами Австралии и Новой Зеландии, куда пипифакс активно вылезал в последнее время, встреч тоже не было… Чисто совпадение.
 
7 сентября 2017 года – пипифакс объявил и небывалой утечке данных:
https://investor.equifax.com/news-and-events/news/2017/09-07-2017-213000628
 
Интересный пазлик… Все совпадения, как всегда, случайны.

ПиСи. В тексте возможны мелкие технические проколы, потому как 1) я не айтишник ни разу; 2) я не имею отношения к экономике вообще и к торговле акциями в частности. Заранее извиняюсь за те проколы.

• +1.53 / 26