Equifax - Equifax

Equifax Inc.
Rodzaj Publiczny
Przemysł Ocena ryzyka kredytowego
Założony 1899 ; 122 lata temu (jako Retail Credit Company) ( 1899 )
Założyciele
Siedziba ,
nas
Obsługiwany obszar
Na calym swiecie
Kluczowi ludzie
Przychód Zwiększać US $ 4,128 mld (2020)
ZwiększaćUS $ +676,6 mln (2020)
ZwiększaćUS $ 520,1 mln (2020)
Aktywa ogółem Zwiększać7,909 mld USD (2019)
Całkowity kapitał Zmniejszać2,579 mld USD (2019)
Liczba pracowników
11.200 (2019)
Podziały
Strona internetowa www .equifax .com
Przypisy / odniesienia

Equifax Inc. jest amerykańską międzynarodową agencją sprawozdawczą dotyczącą kredytów konsumenckich i jest jedną z trzech największych agencji sprawozdawczych dotyczących kredytów konsumenckich , obok Experian i TransUnion (znanych wspólnie jako „Wielka Trójka”). Equifax zbiera i agreguje informacje o ponad 800 milionach indywidualnych konsumentów i ponad 88 milionach firm na całym świecie. Oprócz danych kredytowych i demograficznych oraz usług dla biznesu, Equifax sprzedaje bezpośrednio konsumentom usługi monitorowania kredytów i zapobiegania oszustwom .

Equifax, z siedzibą w Atlancie w stanie Georgia , działa lub posiada inwestycje w 24 krajach obu Ameryk, Europy oraz Azji i Pacyfiku . Zatrudniając ponad 10 000 pracowników na całym świecie, Equifax ma 3,1 mld USD rocznych przychodów i jest notowany na Nowojorskiej Giełdzie Papierów Wartościowych ( NYSE ) pod symbolem EFX.

Podobnie jak wszystkie agencje sporządzające raporty kredytowe, zgodnie z prawem Stanów Zjednoczonych , firma jest zobowiązana do dostarczania konsumentom jednego bezpłatnego raportu kredytowego każdego roku.

Equifax był przedmiotem ponad 57 000 skarg konsumenckich do Biura Ochrony Finansowej Konsumentów od października 2012 r. do 17 września 2017 r., przy czym większość skarg dotyczyła niekompletnych, niedokładnych, nieaktualnych lub błędnie przypisanych informacji będących w posiadaniu firmy.

We wrześniu 2017 r. firma Equifax ogłosiła naruszenie bezpieczeństwa cybernetycznego , które, jak twierdzi, miało miejsce między połową maja a lipcem 2017 r., kiedy cyberprzestępcy uzyskali dostęp do około 145,5 mln danych osobowych amerykańskich konsumentów Equifax, w tym ich pełnych nazwisk, numerów PESEL i dat urodzenia , adresy i numery prawa jazdy . Equifax potwierdził również, że w ataku przejęto co najmniej 209 000 danych uwierzytelniających karty kredytowe konsumentów. 1 marca 2018 r. firma Equifax ogłosiła, że ​​naruszenie to dotknęło 2,4 miliona dodatkowych klientów z USA, zwiększając liczbę dotkniętych do 147,9 miliona Amerykanów. Firma twierdzi, że odkryła dowody na cyberprzestępczość 29 lipca 2017 r. Dotyczyło to również mieszkańców Wielkiej Brytanii (15,2 mln) i Kanady (około 19 000). Luka, w której wykorzystali chińscy hakerzy, to CVE - 2017-5638 , hakerzy zdołali pozostać niewykrytymi w systemach Equifax przez około 134 dni.

W marcu 2018 r. Komisja ds. Bezpieczeństwa i Giełd oskarżyła Jun Ying, byłego dyrektora ds. informatyki Equifax o nielegalne wykorzystywanie informacji poufnych, poprzez sprzedaż akcji firmy, zanim naruszenie to zostało ujawnione publicznie. Po dochodzeniu przeprowadzonym przez FBI Ying przyznał się do winy, został skazany na cztery miesiące więzienia plus rok nadzorowanego zwolnienia oraz grzywnę w wysokości 55 000,00 dolarów i nakaz zapłaty odszkodowania w wysokości 117 117,61 dolarów w czerwcu 2019 roku. Menedżer Equifax, Sudhakar Reddy Bonthu, również się przyznał winny wykorzystywania informacji poufnych i otrzymał wyrok 8 miesięcy odosobnienia w domu.

W lipcu 2019 r. The New York Times , New York Post i inne media poinformowały, że Equifax zgodził się zapłacić około 650 milionów dolarów w celu ugody z Federalną Komisją Handlu (FTC) w celu rozwiązania dochodzeń prowadzonych przez kilku stanowych prokuratorów generalnych, Biuro Ochrony Konsumentów , FTC oraz pozew zbiorowy konsumentów dotyczący naruszenia danych.

Jednak do września 2019 r. Equifax dodał kwalifikacje i „przeszkody” do swojego procesu roszczeń, co podało w wątpliwość, czy wcześniej ogłoszone rozliczenie gotówkowe w wysokości 125 USD na konsumenta, którego dotyczy problem, zostanie faktycznie przyznane.

19 grudnia 2019 r. sędzia federalny w Atlancie przyznał prawnikom pozwów zbiorowych reprezentujących konsumentów około 77,5 miliona dolarów, sugerując, że indywidualni konsumenci mogą spodziewać się około sześciu lub siedmiu dolarów.

Historia

Firma Equifax została założona przez Cator i Guy Woolford w Atlancie w stanie Georgia jako Retail Credit Company w 1899 roku. W 1920 roku firma miała biura w Stanach Zjednoczonych i Kanadzie. W latach sześćdziesiątych Retail Credit Company było jednym z największych biur kredytowych w kraju, przechowującym akta milionów obywateli amerykańskich i kanadyjskich. Mimo że firma nadal prowadziła raporty kredytowe, większość jej działalności polegała na sporządzaniu raportów do firm ubezpieczeniowych , gdy ludzie ubiegali się o nowe polisy ubezpieczeniowe, takie jak ubezpieczenie na życie, ubezpieczenie samochodowe, ubezpieczenie od pożaru i ubezpieczenie medyczne. RCC badało również roszczenia ubezpieczeniowe i sporządzało raporty o zatrudnieniu, gdy ludzie szukali nowej pracy. Większość prac kredytowych była wówczas wykonywana przez spółkę zależną , Retailers Commercial Agency.

Zasoby informacyjne Retail Credit Company i chęć ich sprzedaży spotkały się z krytyką w latach 60. i 70. XX wieku. Obejmowały one, że zbierał „…  fakty, statystyki, nieścisłości i pogłoski… dotyczące praktycznie każdej fazy życia człowieka; jego problemów małżeńskich, pracy, historii szkoły, dzieciństwa, życia seksualnego i działalności politycznej”. Firma miała również wynagradzać swoich pracowników za zbieranie obraźliwych informacji o konsumentach.

W 1970 roku, po tym, jak firma skomputeryzowała swoje rejestry, co doprowadziło do szerszego dostępu do posiadanych danych osobowych, Kongres Stanów Zjednoczonych przeprowadził przesłuchania, które doprowadziły do ​​uchwalenia ustawy o rzetelnej sprawozdawczości kredytowej . Ustawodawstwo to przyznało konsumentom prawa dotyczące informacji przechowywanych na ich temat w korporacyjnych bankach danych. Zarzuca się, że przesłuchania skłoniły Retail Credit Company do zmiany nazwy na Equifax w 1975 r., aby poprawić swój wizerunek.

Equifax rozszerzył swoją działalność o komercyjne raporty kredytowe spółek w Stanach Zjednoczonych, Kanadzie i Wielkiej Brytanii, gdzie konkurował z takimi firmami, jak Dun & Bradstreet i Experian . Raportowanie ubezpieczeniowe zostało wycofane. Firma miała również oddział sprzedający specjalistyczne informacje kredytowe dla branży ubezpieczeniowej, ale wydzieliła tę usługę, w tym bazę danych Comprehensive Loss Underwriting Exchange (CLUE) jako ChoicePoint w 1997 r. Equifax wcześniej oferował usługi certyfikacji cyfrowej, które sprzedał firmie GeoTrust we wrześniu 2001 r. . również w 2001 roku, Equifax wydzielona swoje usługi płatnicze podział, tworząc publicznie notowaną spółką Certegy , który następnie zdobytą Fidelity Narodowy Information Services w 2006 Certegy skutecznie stał się spółką zależną Fidelity Narodowego finansowe w wyniku tego przejęcia odwrotnego połączenia (patrz Certegy oraz Fidelity National Information Services w celu uzyskania dalszych informacji) .

W październiku 2010 r. firma Equifax ogłosiła, że ​​przejęła Anakam, firmę zajmującą się oprogramowaniem do weryfikacji tożsamości z siedzibą w San Diego w Kalifornii , która wynalazła i była pionierem dwuskładnikowego uwierzytelniania SMS (opartego na wiadomościach tekstowych) . Warunki transakcji nie zostały ujawnione.

Equifax kupił eThority, firmę zajmującą się wywiadem gospodarczym (BI) z siedzibą w Charleston w Południowej Karolinie , w październiku 2011 roku. eThority współpracuje z TALX , jednostką biznesową Equifax z siedzibą w St. Louis , i pozostanie w Charleston.

Equifax Workforce Solutions jest jednym z 55 wykonawców zatrudnionych przez Departament Zdrowia i Opieki Społecznej Stanów Zjednoczonych do pracy w witrynie HealthCare.gov .

W lipcu 2020 r. Equifax poinformował, że po zakupie Ansonia Credit Data (Ansonia), głównego źródła danych dotyczących kredytów konsumenckich, płatności i należności z tytułu faktur (AR), wykorzystywanych przez firmy finansowe oraz innych kredytobiorców i przedsiębiorstwa w sektorach transportu i logistyki, firma rozwinęła swoją pozycję w komercyjnych rozwiązaniach technologii płatniczych.

Produkty

Equifax działa głównie w sektorze business-to-business , sprzedając raporty dotyczące kredytów konsumenckich i ubezpieczeń oraz powiązane analizy firmom z różnych branż. Klientami biznesowymi są detaliści , firmy ubezpieczeniowe , zakłady opieki zdrowotnej , przedsiębiorstwa użyteczności publicznej , agencje rządowe , a także banki , spółdzielcze kasy pożyczkowe , osobiste i specjalistyczne firmy finansowe oraz inne instytucje finansowe. Equifax sprzedaje firmowe raporty kredytowe, analizy, dane demograficzne i oprogramowanie. Raporty kredytowe dostarczają szczegółowych informacji na temat osobistej historii kredytowej i płatniczej osób fizycznych, wskazując, w jaki sposób wywiązywały się one ze zobowiązań finansowych, takich jak płacenie rachunków lub spłata pożyczki . Kredytodawcy wykorzystują te informacje, aby zdecydować, jakie produkty lub usługi oferować swoim klientom i na jakich warunkach. Equifax dostarcza również komercyjne raporty kredytowe zawierające dane finansowe i niefinansowe dotyczące przedsiębiorstw każdej wielkości. Equifax gromadzi i udostępnia dane za pośrednictwem National Consumer Telecom and Utilities Exchange (NCTUE), wymiany danych niekredytowych, w tym historii płatności konsumentów na kontach telekomunikacyjnych i użyteczności publicznej.

W 1999 r. Equifax zaczął oferować dodatkowe usługi dla sektora konsumentów kredytowych, takie jak produkty zapobiegające oszustwom kredytowym i produkty zapobiegające kradzieży tożsamości. Equifax i inne agencje monitorujące kredyty są prawnie zobowiązane do dostarczania mieszkańcom Stanów Zjednoczonych jednego bezpłatnego ujawnienia dokumentacji kredytowej co 12 miesięcy; Annualcreditreport.com strona zawiera dane z USA Equifax rejestrów kredytowych.

Equifax oferuje również produkty zapobiegające oszustwom oparte na odciskach palców urządzeń, takie jak „FraudIQ Authenticate Device”.

Błędy bezpieczeństwa

Według senatora Michaela Crapo „Ilość danych zbieranych i przechowywanych przez sektor prywatny i rząd jest bardzo niepokojąca. Gromadzenie i przechowywanie osobistych informacji finansowych ma nieodłączną lukę i musimy przeprowadzić konstruktywną dyskusję na temat tego, jak chronić i ograniczać dostęp do niego."

2016 wyprzedzające ostrzeżenia o niezabezpieczonych systemach

Według raportu Motherboard z października 2017 r. , około grudnia 2016 r., badacz bezpieczeństwa badający serwery Equifax odkrył, że portal internetowy, stworzony wyłącznie dla pracowników Equifax, był dostępny z otwartego Internetu.

„Nie musiałem robić nic wymyślnego” – powiedział Motherboard, wyjaśniając, że strona była podatna na podstawowy błąd „wymuszonego przeglądania”. Badacz poprosił o anonimowość ze względów zawodowych. „Wszystko, co trzeba było zrobić, to wpisać wyszukiwane hasło i natychmiast uzyskać miliony wyników — w postaci zwykłego tekstu, za pośrednictwem aplikacji internetowej” — powiedzieli. W sumie badacz pobrał dane setek tysięcy Amerykanów, aby pokazać firmie Equifax luki w jej systemach. Powiedzieli, że mogli pobrać dane wszystkich klientów Equifax w ciągu 10 minut: „Widziałem wiele złych rzeczy, ale nie aż tak źle”.

Według Motherboard ujawniono te same rodzaje poufnych informacji prywatnych amerykańskich konsumentów (nazwiska, daty urodzenia, numery ubezpieczenia społecznego itp.), co w przypadku naruszenia maj-lipiec. Ponadto analitycy bezpieczeństwa stwierdzili, że byli w stanie uzyskać dostęp do powłoki na serwerach Equifax oraz wykryli i zgłosili do Equifax dodatkowe luki w zabezpieczeniach. Według doniesień, pomimo otrzymania tego ostrzeżenia od badacza bezpieczeństwa, zaatakowany portal został zamknięty dopiero sześć miesięcy później w czerwcu, długo po rozpoczęciu naruszeń w marcu i maju-lipcu. Co więcej, portal dla pracowników podobno nie był tym samym serwerem, którego dotyczyły późniejsze naruszenia, co, jak spekuluje płyta główna, może sugerować wielokrotne naruszenia przez więcej niż jedną stronę.

Marzec 2017 naruszenie bezpieczeństwa

18 września 2017 r. Bloomberg News poinformował, że Equifax padł ofiarą „poważnego naruszenia swoich systemów komputerowych” w marcu 2017 r., a na początku marca zaczął „powiadamiać o tym niewielką liczbę osób z zewnątrz i klientów bankowych”. atak.

Według Bloomberg, osoba zaznajomiona z włamaniem uważała, że ​​włamania na początku marca mogła dokonać ta sama strona, która ponownie włamała się do systemów komputerowych Equifax w maju. Według Bloomberg, Equifax zwerbował Mandiant (należący do FireEye, Inc. ) do pomocy w zbadaniu marcowego ataku. Ta sama firma zajmująca się cyberbezpieczeństwem została zatrudniona po naruszeniu maj-lipiec.

Naruszenie danych maj-lipiec 2017

Między majem a lipcem 2017 r. jeszcze zidentyfikowani hakerzy byli w stanie wykorzystać znany exploit na jednym z serwerów sieci Equifax, który nie został jeszcze zaktualizowany, aby uzyskać dostęp do danych kredytowych ponad 140 milionów Amerykanów, a także niektórych obywateli Wielkiej Brytanii i Kanady. naruszenie zostało wykryte i zamknięte. Equifax ujawnił naruszenie 7 września 2017 r., po ustaleniu środków i zakresu naruszenia. Wydarzenie zostało uznane za „jedno z największych naruszeń danych w historii”.

Kilku konsumentów złożyło pozwy w sądzie ds. drobnych roszczeń przeciwko Equifax z powodu naruszenia, podczas gdy Equifax później zawarł ugodę z Federalną Komisją Handlu w wysokości 575 milionów dolarów, aby zaoferować płatność gotówką lub monitorowanie kredytu dla osób dotkniętych naruszeniem. Dane z naruszenia nie zostały jeszcze ujawnione ekspertom ds. bezpieczeństwa na czarnym rynku lub w ciemnej sieci, co utrudnia zidentyfikowanie źródła naruszenia. Jednak w lutym 2020 Departament Sprawiedliwości Stanów Zjednoczonych oskarżył czterech członków China „s Armii Ludowo-Wyzwoleńczej na dziewięć zarzutów związanych z naruszeniem, które Chiny odmówił.

Ekspozycja argentyńskich danych konsumenckich za 2017 r.

We wrześniu 2017 r. Brian Krebs ujawnił, że argentyńskie ramię Equifax pozostawiło prywatne dane około 14 000 konsumentów i ponad 100 członków personelu, dostępne dla każdego, kto wpisał „admin” jako nazwę użytkownika i hasło do jednego ze swoich systemów online.

Wycofanie w 2017 r. podatnych aplikacji mobilnych

7 września 2017 r., tego samego dnia, w którym firma Equifax ogłosiła duże naruszenie bezpieczeństwa , firma Equifax usunęła swoje oficjalne aplikacje mobilne ze sklepu Apple App Store i Google Play . Chociaż same te aplikacje nie były podobno powiązane z tym naruszeniem, miały własne luki w zabezpieczeniach i były podatne na ataki typu man-in-the-middle , ponieważ niektóre części wykorzystywały HTTP zamiast HTTPS .

Ekspozycja amerykańskich danych płacowych za 2017 r.

8 października 2017 r. Krebs poinformował, że The Work Number , strona internetowa obsługiwana przez dział TALX firmy Equifax, ujawniła historię wynagrodzeń pracowników dziesiątek tysięcy amerykańskich firm każdemu, kto posiada numer ubezpieczenia społecznego i datę urodzenia pracownika. W przypadku około połowy populacji USA wiadomo, że oba te ostatnie dane są w posiadaniu przestępców, po naruszeniu bezpieczeństwa przez Equifax w maju-lipcu 2017 r . W lipcu 2019 r. Equifax uregulował z Federalną Komisją Handlu 700 milionów dolarów. Ta liczba zawiera fundusz restytucji konsumentów w wysokości 380 500 000 USD, część pozwu zbiorowego.

Złośliwe oprogramowanie na stronie

W dniu 12 października 2017 roku, strona Equifax zostało zgłoszone zostały oferując odwiedzającym złośliwego oprogramowania poprzez drive-by download . Szkodnik został zamaskowany jako aktualizacja Adobe Flash . W tym czasie tylko 3 z 65 najlepszych produktów chroniących przed złośliwym oprogramowaniem zapewniało ochronę przed konkretnym złośliwym oprogramowaniem, co oznacza, że ​​wielu odwiedzających było narażonych na ryzyko zainfekowania swoich komputerów podczas odwiedzania witryny Equifax.

13 października 2017 r. ujawniono, że atak został przeprowadzony przez przejęcie zewnętrznego narzędzia analitycznego JavaScript firmy Digital River, firmy FireClick.

Również 13 października 2017 r. US Internal Revenue Service zawiesił kontrakt z Equifax o wartości 7,2 mln USD w wyniku ataku.

Pozwy i grzywny

Firma została dwukrotnie ukarana grzywną przez Federalną Komisję Handlu za naruszenie ustawy o rzetelnej sprawozdawczości kredytowej ("FCRA"). W 2000 r. Equifax wraz z Experian i TransUnion został ukarany grzywną w wysokości 2,5 miliona dolarów za blokowanie i opóźnianie połączeń telefonicznych od konsumentów próbujących uzyskać informacje o swoim kredycie. W 2003 r. FTC pozwała Equifax do sądu z tego samego powodu i uregulowała pozew ze spółką za karę grzywny w wysokości 250 000 USD.

W lipcu 2013 roku federalne jury w Oregonie przyznało 18,6 miliona dolarów Julie Miller z Marion County przeciwko Equifax za naruszenie ustawy o uczciwej sprawozdawczości kredytowej. W swoim pozwie Miller twierdziła, że ​​Equifax połączyła jej raporty kredytowe z inną osobą o innym numerze ubezpieczenia społecznego, dacie urodzenia i adresie. Miller wielokrotnie kontaktował się z Equifax pisemnie i telefonicznie, ale Equifax odmówił usunięcia dziesiątek fałszywych rachunków windykacyjnych z raportu kredytowego Millera. Nagroda obejmowała 18,4 miliona dolarów odszkodowań karnych i 180 000 dolarów odszkodowania odszkodowawczego. Prawnik Millera, Justin Baxter, wyjaśnił, że fałszywe doniesienia zaszkodziły reputacji Miller, odmówiono jej kredytu, a jej prywatne informacje zostały przekazane firmom, z którymi Miller nie miał żadnego związku. Uważa się, że werdykt jury jest największą nagrodą w indywidualnej sprawie na podstawie ustawy o rzetelnej sprawozdawczości kredytowej. Rzecznik Equifax powiedział, że Equifax rozważa odwołanie się od werdyktu jury. Sędzia federalny obniżył nagrodę do 1,62 miliona dolarów w 2014 roku.

W 2014 r. Equifax i Heartland Bank zostały pozwane przez Kimberly Haman z rejonu St. Louis za zgłoszenie jej śmierci. Rzecznik Heartland Bank powiedział, że bank „natychmiast przeprowadził śledztwo i skontaktował się z agencjami sprawozdawczości kredytowej po tym, jak Haman zgłosił”, że wciąż żyje. Rzecznik Equifax „powiedział Post-Dispatch, że Equifax zablokował informacje o koncie Heartland przed pojawianiem się w raporcie kredytowym Hamana po zapytaniu reportera”.

W kwietniu 2014 r. Equifax został pozwany do sądu federalnego w Nowym Jorku przez Boga Gazarowa, który twierdził, że firma błędnie zgłaszała go jako nie posiadającego historii kredytowej z powodu jego niezwykłego imienia.

4 listopada 2017 r. poinformowano, że grupa pięciu Oklahomanów pozwała firmę, twierdząc, że Equifax „naruszył przepisy, które wymagają od instytucji finansowych ochrony bezpieczeństwa danych osobowych swoich klientów”. Equifax wybrał kancelarię DLA Piper do pracy nad sprawą w Waszyngtonie. Zwrócił się do Edelmana o wcześniejszą kontrolę kryzysową po naruszeniu prywatności w październiku 2017 roku.

Sprawy konsumenckie o odszkodowanie na podstawie FCRA zakończyły się sukcesem w sądzie ds. drobnych roszczeń.

Inżynier oprogramowania Equifax, Sudhakar Reddy, został oskarżony o wykorzystywanie informacji poufnych w celu zakupu opcji przed ujawnieniem naruszenia danych w 2017 roku.

W styczniu 2020 r. Equifax zgodził się na globalną ugodę z Federalną Komisją Handlu, Biurem Ochrony Konsumentów oraz 50 stanami i terytoriami USA. W przypadku osób, które zostały dotknięte naruszeniem danych, pojawiły się otwarte sugestie wniesienia przeciwko niemu roszczeń. Ugoda obejmuje do 425 milionów dolarów na pomoc osobom dotkniętym naruszeniem danych. Equifax ostatecznie osiągnął ugodę z organami regulacyjnymi w wysokości do 700 milionów dolarów.

Konkurencja

Konkurenci Equifax to:

Zobacz też

Bibliografia

Zewnętrzne linki