Buzz
Mọi Cách Mà Equifax Đã Phạm Lỗi Nặng Nề Trong Việc Xử Lý Sự Cố Nạn Nhân
Sự việc xâm nhập dữ liệu của công ty giám sát tín dụng Equifax, làm lộ rộng dữ liệu cá nhân của 143 triệu người, là vụ việc xâm phạm dữ liệu doanh nghiệp tồi tệ nhất cho đến nay. Nhưng, đáng kinh ngạc là những sai lầm và những từ ngữ quả là không dừng lại ở đó. Ba tuần kể từ khi công ty công bố tình hình lần đầu tiên, một dòng liên tục những lầm lạc và sự phát hiện làm nổi bật hình ảnh của Equifax không đáp ứng tốt trước thảm họa.
Những lỗi của Equifax bắt đầu ngay từ ngày đầu tiên, khi công ty hướng dẫn những người có thể bị ảnh hưởng đến một miền riêng biệt—equifaxsecurity2017.com—thay vì đơn giản là xây dựng trang để xử lý vụ việc từ trang web chính đáng tin cậy của mình, equifax.com. Người quan sát nhanh chóng phát hiện ra các lỗi, một số trong số đó là nghiêm trọng, trên trang web phản ứng trước sự việc đó. Trong thời gian đó, Equifax yêu cầu mọi người tin tưởng vào sự an toàn của trang web và gửi đi số cuối cùng của số Bảo hiểm Xã hội của họ như một cách để kiểm tra xem thông tin của họ có thể đã bị rò rỉ trong vụ việc hay không.
Trang web cũng có vẻ hời hợt, mặc dù Equifax nói rằng họ biết về vụ việc lớn vào cuối tháng 7 và mất khoảng sáu tuần để công bố nó. Trong thời gian đó, công ty có thể có thể đã lên kế hoạch và thực hiện một nguồn thông tin mạnh mẽ và an tâm hơn cho người tiêu dùng lo lắng.
"Nên có một bộ quy định rất toàn diện về các chính sách và thủ tục để đối phó với tình hình," nói Jonathan Bernstein, Chủ tịch của Bernstein Crisis Management, chuyên nghiệp về phản ứng của tổ chức đối với mọi loại thảm họa bao gồm cả việc xâm phạm dữ liệu. "Sẽ khó khăn hơn để thuyết phục mọi người rằng họ có thể bảo vệ dữ liệu bây giờ, vì Equifax đã làm suy giảm uy tín của họ từ cách họ đã phản ứng. Họ đã làm tình hình trở nên tồi tệ hơn."
Các phát hiện mới đây tiếp tục chỉ ra rằng các vấn đề cơ bản hơn nữa đã làm hỏng cách Equifax xử lý trang web phản ứng của mình. Trong những tuần kể từ khi Equifax tiết lộ vụ việc, tài khoản Twitter chính thức của công ty đã một cách nhầm lẫn tweet một liên kết lừa đảo bốn lần, thay vì trang phản ứng của công ty. May mắn cho Equifax, trang web thực sự không phải là độc hại. Nhà phát triển Nick Sweeting đã thiết lập securityequifax2017.com—so với equifaxsecurity2017.com chính thức—để chỉ ra cách dễ dàng làm giả mạo trang web và cách không khôn ngoan khi Equifax tách nó ra khỏi miền tên chính của mình. Nhưng nếu nó không phải là một bằng chứng thực tế, trang web giả mạo mà Equifax vô tình quảng cáo có thể đã gây nhiều thiệt hại. Sweeting nói rằng trang web giả mạo đã có khoảng 200,000 lượt xem trang.
"Khi hồ sơ truyền thông xã hội của bạn tweet một liên kết lừa đảo, đó là tin tức tồi tệ," nói Michael Borohovski, đồng sáng lập của công ty an ninh trang web Tinfoil Security.
Equifax cũng xác nhận tuần này rằng họ đã trải qua một vụ xâm nhập mạng khác vào tháng 3, mặc dù công ty không cung cấp thông tin chi tiết về dữ liệu nào, nếu có, bị ảnh hưởng. Làm phức tạp thêm, một tài liệu từ Mandiant (công ty điều tra vụ việc gần đây của Equifax) mà Wall Street Journal có được cho biết rằng đã có một cuộc xâm nhập thêm vào tháng 3, có khả năng được thực hiện bởi những kẻ tấn công thực hiện vụ việc lớn giữa tháng 5 và tháng 7. Chi tiết kỹ thuật vẫn còn mơ hồ, nhưng các sự cố trong tháng 3 đặt ra những câu hỏi mới về việc liệu các giám đốc của Equifax, người bán gần 2 triệu đô la cổ phiếu của công ty vào đầu tháng 8, có nhận thức về vụ việc xâm nhập khi họ bán tài sản hay không. Equifax cho biết họ "không biết rằng một sự xâm nhập đã xảy ra vào thời điểm họ bán cổ phiếu của họ."
Sự tích tụ của những sai lầm, việc tiết lộ chậm chạp và phản ứng của công chúng gặp vấn đề với hàng triệu người tiêu dùng vô tội có thể bị ảnh hưởng sâu sắc làm lo lắng đậm sâu cho các chuyên gia an ninh. "Đây là tất cả các chỉ số của một công ty có văn hóa an ninh kinh khủng," nói Borohovski của Tinfoil Security. "Thật không may, từ duy nhất cho nó là sự cẩu thả."
Và những sai lầm gần đây hòa mình vào danh sách các phát hiện khác cho thấy Equifax có một cách tiếp cận không tổ chức đối với an ninh và sự ngây thơ về khả năng xâm phạm. Việc kẻ tấn công xâm nhập vào hệ thống của Equifax thông qua một lỗ hổng đã biết có bản vá khiến các chuyên gia an ninh tức giận. Nhưng công ty cũng thừa nhận rằng nó biết về bản vá khi nó được phát hành lần đầu tiên và thậm chí đã cố gắng áp dụng nó cho tất cả các hệ thống của mình. Sự cố nỗ lực không đủ này gợi ý về bản chất thực sự ngẫu nhiên của hoạt động của Equifax. Những câu chuyện khác—như nền tảng số Equifax sử dụng tại Argentina được bảo vệ bằng các thông tin xác thực "admin, admin"—đơn giản là mở rộng bức tranh này.
"Equifax nằm trên những viên ngọc quý của những thông tin xác định cá nhân mà chúng ta coi là quan trọng," nói Jason Glassberg, đồng sáng lập của công ty an ninh doanh nghiệp và kiểm thử xâm nhập Casaba Security. "Bạn nghĩ một công ty như vậy, bảo vệ những gì họ đang bảo vệ, sẽ có một ý thức nâng cao và rõ ràng điều đó không phải là trường hợp."
Nhiều chuyên gia lưu ý rằng vụ việc xâm nhập dữ liệu của Equifax có thể đại diện cho một bước ngoặt trong cách các tổ chức xử lý dữ liệu cá nhân. Mặc dù những vụ xâm nhập khổng lồ trước đó đã thúc đẩy một số thay đổi trên toàn ngành, chúng không có tiềm năng đe doạ nhiều như sự cố của Equifax, có thể đã làm lộ hầu hết số Bảo hiểm Xã hội của gần một nửa dân số Hoa Kỳ (để không kể đến các dữ liệu khác) và có thể đặt tất cả những người đó vào nguy cơ nghiêm trọng về trộm danh tính. Việc nhìn thấy nhiều sai lầm của Equifax cùng một lúc có thể làm làm cảnh báo về sự sụp đổ có thể xảy ra khi an ninh chỉ là một điều sau cùng trong suốt hàng thập kỷ của sự phát triển và mở rộng của một công ty.
"Không có câu hỏi nào là một công ty như Equifax sẽ luôn là mục tiêu [của hacker] và điều đó khó khăn, nhưng tất cả điều này thực sự nói lên về các thực hành an ninh kém và một phản ứng lơ đễnh," Glassberg của Casaba Security nói. "Hy vọng của tôi là điều này thực sự trở thành một bước ngoặt và mở rộng tầm nhìn của tất cả mọi người, vì đó là điều đáng kinh ngạc khi hầu như mọi thứ Equifax làm đều ngớ ngẩn."
Sự cố này đã chắc chắn tăng cường nhận thức về tầm quan trọng của an ninh doanh nghiệp tối thiểu, nhưng việc liệu các cơ quan quản lý và lập pháp có thể thực sự tăng cường trách nhiệm hơn là một câu hỏi khác.
