Violación de datos de Equifax en 2017

Incidente importante de ciberseguridad

Entre mayo y julio de 2017, la agencia de crédito estadounidense Equifax fue víctima de una vulneración de datos . Los registros privados de 147,9 millones de estadounidenses, junto con los de 15,2 millones de ciudadanos británicos y unos 19.000 ciudadanos canadienses, se vieron comprometidos en la vulneración, lo que lo convierte en uno de los delitos cibernéticos más grandes relacionados con el robo de identidad . Equifax descubrió la vulneración a finales de julio, pero no la reveló al público hasta septiembre de 2017. En un acuerdo con la Comisión Federal de Comercio de los Estados Unidos , Equifax ofreció a los usuarios afectados fondos de liquidación y supervisión crediticia gratuita.

En febrero de 2020, el gobierno de Estados Unidos acusó a miembros del Ejército Popular de Liberación de China de hackear Equifax y saquear datos confidenciales como parte de un robo masivo que también incluyó el robo de secretos comerciales, aunque el Partido Comunista Chino negó estas acusaciones. ^{[1] [2]}

Violación de datos

La información a la que se accedió en la filtración incluía nombres y apellidos, números de Seguro Social, fechas de nacimiento, direcciones y, en algunos casos, números de licencia de conducir de aproximadamente 143 millones de estadounidenses, según el análisis de Equifax. ^[3]

También se vio comprometida la información de casi 14 millones de residentes británicos. ^[4] así como de 8.000 residentes canadienses. ^{[5] [6] [7] [8]} Otros 11.670 canadienses también se vieron afectados, según reveló posteriormente Equifax. ^[9] También se accedió a los números de tarjetas de crédito de aproximadamente 209.000 consumidores estadounidenses y a ciertos documentos de disputa con información de identificación personal de aproximadamente 182.000 consumidores estadounidenses. ^{[10] [11]}

Fondo

Una auditoría interna de Equifax en 2015 mostró que había una gran cantidad de vulnerabilidades pendientes de solucionar, que Equifax no estaba siguiendo sus propios plazos para solucionarlas, que el personal de TI no tenía un inventario completo de activos, que Equifax no consideraba la importancia de un activo de TI al priorizar los parches y que el proceso de aplicación de parches funcionaba según un "sistema de honor". El informe establecía acciones para mejorar el proceso, pero en el momento de la vulneración, dos años después, muchas de ellas no se habían completado. ^[12]

El 7 de marzo de 2017 se publicó un parche de seguridad clave para Apache Struts después de que se encontrara una vulnerabilidad de seguridad y se instó a todos los usuarios del marco a actualizarlo de inmediato. ^[13] Los expertos en seguridad encontraron un grupo de piratas informáticos desconocido que intentaba encontrar sitios web que no habían actualizado Struts ya el 10 de marzo de 2017. ^[14]

Intrusión

La violación de datos en Equifax comenzó el 12 de mayo de 2017, cuando Equifax aún no había actualizado su sitio web de disputas crediticias con la nueva versión de Struts. ^{[15] [16]} Los piratas informáticos utilizaron el exploit para obtener acceso a los servidores internos de la red corporativa de Equifax. La información extraída primero por los piratas informáticos incluía credenciales internas de los empleados de Equifax, que luego les permitieron buscar en las bases de datos de monitoreo de crédito bajo la apariencia de un usuario autorizado. Utilizando el cifrado para enmascarar aún más sus búsquedas, los piratas informáticos realizaron más de 9000 escaneos de las bases de datos, extrajeron información en pequeños archivos temporales que luego se transfirieron fuera de los servidores de Equifax para evitar la detección y eliminaron los archivos temporales una vez completados. ^[17] Las actividades continuaron durante 76 días hasta el 29 de julio de 2017, cuando Equifax descubrió la violación de datos ^{[18] [3] [11]}

Descubrimiento

El 29 de julio de 2017, el equipo de TI interno de Equifax actualizó un certificado SSL para una aplicación que monitoreaba el tráfico de red entrante y saliente. El certificado SSL permitió que la aplicación descifrara el tráfico saliente para analizarlo. ^[19] Una vez que se instaló el nuevo certificado SSL, la aplicación alertó a los empleados de Equifax sobre una actividad sospechosa en la red. El certificado había expirado hacía nueve meses. ^[20]

El 30 de julio, Equifax desactivó el exploit. ^[14] Al menos 34 servidores en veinte países diferentes se utilizaron en diferentes puntos durante la violación, lo que dificultó el seguimiento de los perpetradores. ^[17] Si bien la falla en la actualización de Struts fue un error clave, el análisis de la violación encontró más fallas en el sistema de Equifax que facilitaron que ocurriera la violación, incluido el diseño de red inseguro que carecía de suficiente segmentación, ^[21] cifrado potencialmente inadecuado de información de identificación personal (PII), ^[22] y mecanismos de detección de violaciones ineficaces . ^[23]

Divulgación y respuestas a corto plazo

El 7 de septiembre de 2017, Equifax reveló la filtración y su alcance: afectó a más de 140 millones de estadounidenses. ^[24] VentureBeat calificó la exposición de datos de más de 140 millones de clientes como "una de las mayores filtraciones de datos de la historia". ^[25] Las acciones de Equifax cayeron un 13% en las primeras operaciones del día después de que se hiciera pública la filtración. ^[26] Numerosos medios de comunicación aconsejaron a los consumidores que solicitaran una congelación de crédito para reducir el impacto de la filtración. ^{[27] [28] [29] [30]}

El 10 de septiembre de 2017, tres días después de que Equifax revelara la violación, el congresista Barry Loudermilk (R-GA), que había recibido dos mil dólares en fondos de campaña de Equifax, ^{[31] [32]} presentó un proyecto de ley a la Cámara de Representantes de los EE. UU. que reduciría las protecciones al consumidor en relación con las agencias de crédito del país, incluyendo un tope de daños potenciales en una demanda colectiva a $ 500,000 independientemente del tamaño de la clase o la cantidad de la pérdida. ^[33] El proyecto de ley también eliminaría todos los daños punitivos . ^{[33] [34]} Tras las críticas de los defensores de los consumidores, Loudermilk acordó retrasar la consideración del proyecto de ley "en espera de una investigación completa y completa sobre la violación de Equifax". ^[33]

El 15 de septiembre, Equifax publicó un comunicado en el que anunciaba la salida inmediata y el reemplazo de su director de información y su director de seguridad. ^{[11] [35]} El comunicado incluía detalles con viñetas de la intrusión, sus posibles consecuencias para los consumidores y la respuesta de la empresa. La empresa dijo que había contratado a la empresa de ciberseguridad Mandiant el 2 de agosto para que investigara la intrusión internamente. El comunicado no especificó cuándo se notificó la violación a las autoridades del gobierno estadounidense, aunque sí afirmó que "la empresa sigue trabajando estrechamente con el FBI en su investigación". ^[11]

El 28 de septiembre, el nuevo CEO de Equifax, Paulino do Rego Barros Jr., respondió a las críticas a Equifax prometiendo que la compañía, a partir de principios de 2018, permitiría "a todos los consumidores la opción de controlar el acceso a sus datos crediticios personales", y que este servicio sería "ofrecido gratis, de por vida". ^[36]

El 26 de octubre, Equifax nombró al ejecutivo de tecnología Scott A. McGregor para su junta directiva. Al anunciar el cambio, el presidente de la junta destacó la "amplia experiencia de McGregor en seguridad de datos, ciberseguridad, tecnología de la información y gestión de riesgos". ^{[37] [38]} El Wall Street Journal informó que se unió al comité de tecnología de la junta, que tiene funciones que incluyen la supervisión de la ciberseguridad. ^[39]

Secuelas

Desde la divulgación inicial en septiembre de 2017, Equifax amplió la cantidad de registros que descubrieron que fueron accedidos. Tanto en octubre de 2017 como en marzo de 2018, Equifax informó que se accedió a 2,5 y 2,4 millones de registros de consumidores estadounidenses adicionales, respectivamente, lo que elevó el total a 147,9 millones. ^{[40] [41]} Equifax redujo su estimación de consumidores del Reino Unido afectados por la violación a 15,2 millones en octubre de 2017, ^{[42] [43]} de los cuales 693.665 tenían datos personales confidenciales divulgados. ^{[44] [45] [42] [46] [43]} Equifax también estimó que la cantidad de licencias de conducir violadas en el ataque fue de 10 a 11 millones. ^{[47] [48] [49]}

Los expertos en seguridad esperaban que los lucrativos datos privados de la filtración se revendieran en los mercados negros y la red oscura , aunque hasta mayo de 2021, no ha habido señales de venta de estos datos. ^[1] Debido a que los datos no aparecieron de inmediato en los primeros 17 meses posteriores a la filtración, los expertos en seguridad teorizaron que o bien los piratas informáticos detrás de la filtración estaban esperando una cantidad significativa de tiempo antes de vender la información, ya que sería demasiado "caliente" para vender tan cerca de la filtración, o que un estado-nación estaba detrás de la filtración y planeaba usar los datos de una manera no financiera, como para espionaje. ^[50]

Litigios y multas

Numerosas demandas se presentaron contra Equifax en los días posteriores a la divulgación de la violación. ^{[51] [52]} En una demanda, el bufete de abogados Geragos & Geragos indicó que solicitaría hasta $70 mil millones en daños, lo que la convertiría en la demanda colectiva más grande en la historia de los EE. UU. ^[51] Desde octubre de 2017, cientos de consumidores han demandado a Equifax por la violación de datos, algunos ganando casos de reclamos menores por más de $9,000, incluidos daños reales, daños futuros, ansiedad, tarifas de monitoreo y daños punitivos. ^[53]

En septiembre de 2017, Richard Cordray , entonces director de la Oficina de Protección Financiera del Consumidor (CFPB), autorizó una investigación sobre la filtración de datos en nombre de los consumidores afectados. Sin embargo, en noviembre de 2017, Reuters informó que Mick Mulvaney , el jefe de presupuesto del presidente Donald Trump, que fue designado por Trump para reemplazar a Cordray, había "dado marcha atrás" en la investigación, junto con dejar de lado los planes de Cordray para realizar pruebas sobre el terreno de cómo Equifax protege los datos. La CFPB también rechazó a los reguladores bancarios del Banco de la Reserva Federal , la Corporación Federal de Seguros de Depósitos y la Oficina del Contralor de la Moneda que se ofrecieron a ayudar con los exámenes in situ de las agencias de crédito. ^[54] La senadora Elizabeth Warren , quien publicó un informe sobre la violación de datos de Equifax en febrero de 2018, criticó las acciones de Mulvaney, y afirmó: "Estamos revelando este informe mientras Mick Mulvaney está matando la investigación de la agencia de consumidores sobre la violación de datos de Equifax. Mick Mulvaney les lanza otro dedo medio a los consumidores". ^[55]

El 22 de julio de 2019, Equifax acordó un acuerdo con la Comisión Federal de Comercio (FTC), la CFPB, 48 estados de EE. UU., Washington, DC y Puerto Rico para aliviar los daños a las personas afectadas y realizar cambios organizacionales para evitar infracciones similares en el futuro. El costo total del acuerdo incluyó $300 millones para un fondo de compensación a las víctimas, $175 millones para los estados y territorios en el acuerdo y $100 millones para la CFPB en multas. ^[56] En julio de 2019, la FTC publicó información sobre cómo las personas afectadas podían presentar una reclamación contra el fondo de compensación a las víctimas utilizando el sitio web EquifaxBreachSettlement.com. ^[57]

En el Reino Unido, la Autoridad de Conducta Financiera impuso una multa financiera de £11.164.400 por no proteger la información de los consumidores británicos. ^[58]

Perpetradores

El Departamento de Justicia de los Estados Unidos anunció el 10 de febrero de 2020 que había acusado a cuatro miembros del ejército chino de nueve cargos relacionados con el hackeo, aunque no ha habido evidencia adicional de que China haya utilizado desde entonces los datos del hackeo. ^{[59] [60] [61]} El gobierno chino negó que los cuatro acusados ​​tuvieran alguna participación en el hackeo. ^[1]

Crítica

Tras el anuncio de la vulneración de seguridad de mayo-julio de 2017, las acciones de Equifax recibieron críticas generalizadas. Equifax no reveló de inmediato si se habían visto comprometidos los PIN y otra información confidencial, ni explicó la demora entre el descubrimiento de la vulneración en julio y su anuncio público a principios de septiembre. ^[62] Equifax afirmó que la demora se debió al tiempo necesario para determinar el alcance de la intrusión y la gran cantidad de datos personales involucrados. ^[63]

También se reveló que tres ejecutivos de Equifax vendieron casi 1,8 millones de dólares de sus tenencias personales de acciones de la compañía días después de que Equifax descubriera la violación, pero más de un mes antes de que la violación se hiciera pública. ^[64] La compañía dijo que los ejecutivos, incluido el director financiero John Gamble, ^{[65] [26]} "no tenían conocimiento de que se había producido una intrusión en el momento en que vendieron sus acciones". ^[66] El 18 de septiembre, Bloomberg informó que el Departamento de Justicia de Estados Unidos había abierto una investigación para determinar si se habían violado o no las leyes de tráfico de información privilegiada. ^[67] "Como señala Bloomberg, estas transacciones no fueron operaciones programadas previamente y tuvieron lugar el 2 de agosto, tres días después de que la empresa se enterara del hackeo".

Al revelar públicamente la intrusión a sus sistemas, Equifax ofreció un sitio web (https://www.equifaxsecurity2017.com ^[68] ) para que los consumidores supieran si habían sido víctimas de la vulneración. Los expertos en seguridad notaron rápidamente que el sitio web tenía muchos rasgos en común con un sitio web de phishing : no estaba alojado en un dominio registrado a nombre de Equifax, tenía una implementación de TLS defectuosa y se ejecutaba en WordPress , que generalmente no se considera adecuado para aplicaciones de alta seguridad. Estos problemas llevaron a Open DNS a clasificarlo como un sitio de phishing y bloquear el acceso. ^[69] Además, los miembros del público que querían utilizar el sitio web de Equifax para saber si sus datos habían sido comprometidos tenían que proporcionar un apellido y seis dígitos de su número de seguro social. ^[70]

Los expertos en seguridad y otros determinaron que el sitio web creado para verificar si se habían violado los datos personales de una persona (trustedidpremier.com) arrojaba resultados aparentemente aleatorios en lugar de información precisa. ^[70] Al igual que https://www.equifaxsecurity2017.com, este sitio web también fue registrado y construido como un sitio web de phishing, y fue marcado como tal por varios navegadores web. ^[71]

El sitio web Trusted ID Premier contenía términos de uso , con fecha del 6 de septiembre de 2017 (el día antes de que Equifax anunciara la violación de seguridad) que incluía una cláusula de arbitraje con una exención de demanda colectiva. ^{[72] [73]} Los abogados dijeron que la cláusula de arbitraje era ambigua y que podría requerir que los consumidores que la aceptaran arbitraran las reclamaciones relacionadas con el incidente de ciberseguridad. ^[73] Según Polly Mosendz y Shahien Nasiripour, "algunos temían que simplemente usar un sitio web de Equifax para verificar si su información estaba comprometida los obligara al arbitraje". ^[74] El sitio web equifax.com tiene términos de uso separados con una cláusula de arbitraje y una exención de demanda colectiva, pero, según Brian Fung de The Washington Post , "no está claro si eso se aplica al programa de monitoreo de crédito". ^[75] El fiscal general de Nueva York, Eric Schneiderman, exigió que Equifax eliminara la cláusula de arbitraje. ^[76] En respuesta a las inquietudes relacionadas con el arbitraje, el 8 de septiembre, Equifax emitió una declaración en la que afirmaba que "en respuesta a las consultas de los consumidores, hemos dejado en claro que la cláusula de arbitraje y la renuncia a la demanda colectiva incluidas en los términos de uso de Equifax y TrustedID Premier no se aplican a este incidente de ciberseguridad". ^[76] Joel Winston, un abogado de protección de datos, argumentó que el anuncio que rechaza la cláusula de arbitraje "no significa nada" porque los términos de uso establecen que son el "acuerdo completo" entre las partes. ^[76] La cláusula de arbitraje se eliminó posteriormente de equifaxsecurity2017.com, ^[76] y los términos de uso de equifax.com se modificaron el 12 de septiembre para indicar que no se aplican a www.equifaxsecurity2017.com, www.trustedidpremier.com o www.trustedid.com y para excluir del arbitraje las reclamaciones que surjan de esos sitios o de la violación de seguridad. ^{[77] [78]}

En respuesta a la continua indignación pública, ^[79] Equifax anunció el 12 de septiembre de 2017 que "estarían renunciando a todos los cargos por congelamiento de seguridad durante los próximos 30 días". ^{[80] [81]}

Los expertos en seguridad han criticado a Equifax por registrar un nuevo nombre de dominio para el nombre del sitio en lugar de usar un subdominio de equifax.com. El 20 de septiembre de 2017, se informó que Equifax había estado enlazando por error a un sitio web "falso" no oficial en lugar de a su propio sitio de notificación de infracciones en al menos ocho tuits separados , lo que sin saberlo ayudó a dirigir 200.000 visitas al sitio de imitación. Un ingeniero de software llamado Nick Sweeting creó el sitio web no autorizado de Equifax para demostrar cómo el sitio oficial podría confundirse fácilmente con un sitio de phishing . Sin embargo, el sitio de Sweeting fue claro con los visitantes de que no era oficial, y les dijo a los visitantes que habían ingresado información confidencial que "¡acaban de ser engañados! ¡Este no es un sitio seguro! ¡Envía un tuit a @equifax para que lo cambien a equifax.com antes de que miles de personas pierdan su información en sitios de phishing!". Equifax se disculpó por la "confusión" y eliminó los tuits que enlazaban a este sitio. ^{[82] [83] [84]}

Véase también

• La ciberguerra china
• El espionaje chino en Estados Unidos

Referencias

1. "Los datos del hackeo crediticio de Equifax podrían "terminar en el mercado negro", advierte un experto". CBS News . 11 de febrero de 2020 . Consultado el 11 de febrero de 2020 .
2. "Cuatro miembros del ejército chino acusados ​​de violación masiva de Equifax". The Wall Street Journal . 11 de febrero de 2020 . Consultado el 28 de abril de 2020 .
3. Haselton, Todd (7 de septiembre de 2017). "La empresa de informes crediticios Equifax dice que un incidente de ciberseguridad podría afectar potencialmente a 143 millones de consumidores estadounidenses". cnbc.com . Consultado el 8 de septiembre de 2017 .
4. "Aviso final de la FCA 2023" (PDF) .
5. Shepardson, David (2 de octubre de 2017). "Equifax no logró reparar una vulnerabilidad de seguridad en marzo: exdirector ejecutivo". Reuters . Reuters . Consultado el 3 de octubre de 2017 .
6. Hern, Alex (8 de septiembre de 2017). "Se le ha ordenado a Equifax que informe a los británicos si corren riesgo tras una filtración de datos". The Guardian . Consultado el 11 de septiembre de 2017 .
7. Isai, Vjosa (7 de septiembre de 2017). "Los canadienses se encuentran entre los 143 millones de personas afectadas por el ataque a Equifax". The Toronto Star . Los piratas informáticos se centraron en nombres, números de la Seguridad Social, fechas de nacimiento, direcciones y números de licencia de conducir, dijo Equifax en un comunicado. También se accedió a "información personal limitada" de residentes en Canadá y el Reino Unido, dijo.
8. Ligaya, Armina (19 de septiembre de 2017). "Equifax dice que 100.000 canadienses se vieron afectados por un ciberataque". CTVNews . Consultado el 21 de septiembre de 2017 .
9. "Equifax duplica el número de canadienses afectados por la violación de datos, ahora más de 19.000 | CBC News". CBC . Consultado el 23 de junio de 2018 .
10. "Incidente de ciberseguridad e información importante para el consumidor | Equifax". Incidente de ciberseguridad e información importante para el consumidor . Consultado el 7 de septiembre de 2017 .
11. "Equifax publica detalles sobre incidente de ciberseguridad y anuncia cambios de personal". investor.equifax.com . Consultado el 16 de septiembre de 2017 .
12. Subcomité Permanente de Investigaciones del Senado de EE. UU., Comité de Seguridad Nacional y Asuntos Gubernamentales, “Cómo Equifax descuidó la ciberseguridad y sufrió una devastadora violación de datos”, 6 de marzo de 2019. Sin clasificar.
13. "CVE-2017-5638 - Apache Struts2 S2-045 #8064". GitHub . 7 de marzo de 2017 . Consultado el 16 de septiembre de 2017 .
14. Ng, Alfred (7 de septiembre de 2018). "Cómo ocurrió el hackeo de Equifax y qué queda por hacer". CNet . Consultado el 11 de febrero de 2020 .
15. Whittaker, Zack. "Equifax confirma que la falla de Apache Struts que no logró reparar fue la culpable de la filtración de datos". ZDNet . Consultado el 14 de septiembre de 2017 .
16. "La falta de parcheo de un error de hace dos meses provocó una vulneración masiva de Equifax". Ars Technica . 14 de septiembre de 2017 . Consultado el 14 de septiembre de 2017 .
17. Bomey, Nathan (10 de febrero de 2020). "Cómo los piratas informáticos militares chinos supuestamente lograron la filtración de datos de Equifax, robando datos de 145 millones de estadounidenses". USA Today . Consultado el 11 de febrero de 2020 .
18. Equifax (7 de septiembre de 2017), Rick Smith, presidente y director ejecutivo de Equifax, sobre un incidente de ciberseguridad que involucra datos de consumidores. , consultado el 12 de septiembre de 2017
19. ""Estudio de caso: violación de datos de Equifax"". 30 de abril de 2021.
20. Kabanov, Ilya y Madnick, Stuart E., Un estudio sistemático de las fallas de control en el incidente de ciberseguridad de Equifax (2020). Documento de investigación MIT Sloan n.º 2020-19, disponible en SSRN: https://ssrn.com/abstract=3957272 o http://dx.doi.org/10.2139/ssrn.3957272
21. Newman, Lily Hay. "Cómo detener la próxima megafiltración imparable... o ralentizarla". WIRED . Consultado el 29 de septiembre de 2017 .
22. Gallagher, Sean. "Los piratas informáticos de Equifax robaron datos de 200.000 tarjetas de crédito del historial de transacciones". Ars Technica . Consultado el 29 de septiembre de 2017 .
23. Lomas, Natasha. "La divulgación de la violación de datos de Equifax no habría cumplido con las nuevas y estrictas normas de Europa". TechCrunch . Consultado el 29 de septiembre de 2017 .
24. Mathews, Lee. "La filtración de datos de Equifax afecta a 143 millones de estadounidenses". Forbes . Consultado el 28 de agosto de 2019 .
25. "Se acerca el fin de la nube", VentureBeat, Victor Charypar, 4 de noviembre de 2017
26. Melin, Anders (7 de septiembre de 2017). "Tres gerentes de Equifax vendieron acciones antes de que se revelara el ataque cibernético". Bloomberg.com . Consultado el 8 de septiembre de 2017 .
27. "Una guía para sobrevivir a la filtración de datos de Equifax". CNET . Consultado el 12 de septiembre de 2017 .
28. Lieber, Ron (10 de septiembre de 2017). "Tras la violación de datos de Equifax, su próxima preocupación son los PIN débiles". The New York Times . Consultado el 12 de septiembre de 2017 .
29. "Cómo congelar su crédito después de una filtración de datos". The Verge . Consultado el 12 de septiembre de 2017 .
30. Fung, Brian (9 de septiembre de 2017). "Tras la filtración de datos de Equifax, aquí te contamos cómo congelar tu crédito para proteger tu identidad". The Washington Post .
31. Levin, Bess (12 de septiembre de 2017). "Equifax presionó para eliminar las regulaciones justo antes de ser atacada por hackers". Vanityfair.com .
32. "Contribuciones de Equifax Inc a candidatos federales, ciclo 2016". Opensecrets.org .
33. Weisbaum, Herb, “Los republicanos en el Congreso quieren hacer retroceder las regulaciones sobre las agencias de crédito”, NBC News, 11 de septiembre de 2017, consultado el 18 de septiembre de 2017
34. Lazarus, David (19 de septiembre de 2017). "A pesar del hackeo a Equifax, los legisladores republicanos quieren desregular las agencias de crédito". Los Angeles Times . Consultado el 20 de septiembre de 2017 .
35. Shaban, Hamza (15 de septiembre de 2017). «Two Equifax executives will retire following massive data breach» (Dos ejecutivos de Equifax se jubilarán tras una filtración masiva de datos). The Washington Post . ISSN  0190-8286 . Consultado el 17 de septiembre de 2017 .
36. "El nuevo director ejecutivo de Equifax ofrece una "disculpa sincera y total" a los consumidores". 28 de septiembre de 2017 . Consultado el 20 de octubre de 2017 .
37. "Equifax nombra a Scott McGregor como nuevo director independiente" (Comunicado de prensa). Atlanta, Georgia: Equifax. 26 de octubre de 2017. Consultado el 20 de junio de 2020 – vía PRNewswire.
38. "El experto en ciberseguridad Scott McGregor se une a la junta directiva de Equifax". www.equilar.com . 6 de noviembre de 2017 . Consultado el 21 de junio de 2020 .
39. Nash, Kim S.; Lublin, Joann S.; Andriotis, AnnaMaria (10 de enero de 2018). "Las juntas directivas buscan un papel más importante para frustrar a los piratas informáticos: la violación de Equifax provocó una amplia reevaluación de la supervisión de la ciberseguridad, dicen los expertos". The Wall Street Journal . Consultado el 20 de junio de 2020 .
40. Weise, Elizabeth; Bomey, Nathan (2 de octubre de 2017). "La filtración de datos de Equifax afectó a 2,5 millones de estadounidenses más de lo que se creía en un principio". USA Today . Consultado el 4 de octubre de 2017 .
41. "Demanda por violación de datos de Equifax", Morgan & Morgan .
42. "Equifax afirma que 15,2 millones de registros del Reino Unido quedaron expuestos en una brecha cibernética". Reuters . 10 de octubre de 2017 . Consultado el 11 de octubre de 2017 .
43. "Información más reciente sobre el incidente cibernético de Equifax - Sitio del NCSC". www.ncsc.gov.uk . Consultado el 13 de octubre de 2017 .
44. "Los piratas informáticos de Equifax robaron información sobre 693.665 residentes del Reino Unido — Krebs on Security". krebsonsecurity.com . 10 de octubre de 2017 . Consultado el 11 de octubre de 2017 .
45. Staff; agencies (11 de octubre de 2017). «Datos personales de casi 700.000 británicos pirateados en un ciberataque». Theguardian.com . Consultado el 11 de octubre de 2017 .
46. "El hackeo de Equifax afectó a 694.000 clientes del Reino Unido". bbc.co.uk . 10 de octubre de 2017 . Consultado el 11 de octubre de 2017 .
47. "La filtración de datos de Equifax expuso los datos de licencias de conducir de 11 millones de estadounidenses". www.msn.com . Consultado el 13 de octubre de 2017 .
48. Chin, Monica (11 de octubre de 2017). "Además de todo lo demás, los piratas informáticos de Equifax obtuvieron 10 millones de licencias de conducir". Mashable.com . Consultado el 13 de octubre de 2017 .
49. "Los piratas informáticos de Equifax secuestraron la información de las licencias de conducir de 10 millones de estadounidenses". Cnet.com . Consultado el 13 de octubre de 2017 .
50. Fazzini, Kate (13 de febrero de 2020). "El gran misterio de Equifax: 17 meses después, los datos robados nunca fueron encontrados y los expertos están empezando a sospechar de un plan de espionaje". CNBC . Consultado el 11 de febrero de 2020 .
51. Mills, Chris (8 de septiembre de 2017). "Equifax ya se enfrenta a la demanda colectiva más grande de la historia". bgr.com . Consultado el 8 de septiembre de 2017 .
52. Thadani, Trisha (13 de septiembre de 2017). "Demanda contra Equifax presentada en un tribunal federal de San José". SFGate.com . Consultado el 13 de septiembre de 2017 .
53. "La gente está llevando a Equifax a los tribunales para demandas de menor cuantía y ganando". finance.yahoo.com . 31 de enero de 2018.
54. Patrick Rucker, “Funcionario de protección al consumidor de Estados Unidos congela investigación de Equifax”, Reuters, 5 de febrero de 2018, consultado el 16 de febrero de 2018
55. Stewart, Emily (7 de febrero de 2018). "Elizabeth Warren advierte que Equifax podría "escaparse" de la piratería de los datos crediticios de los usuarios". Vox . Consultado el 16 de febrero de 2018 .
56. "Equifax pagará 575 millones de dólares como parte del acuerdo con la FTC, la CFPB y los estados relacionados con la filtración de datos de 2017". Comisión Federal de Comercio . 19 de julio de 2019 . Consultado el 25 de julio de 2019 .
57. "Acuerdo por violación de datos de Equifax". Comisión Federal de Comercio . 11 de julio de 2019. Consultado el 25 de julio de 2019 .
58. "Aviso final de la FCA 2023" (PDF) .
59. Benner, Katie (10 de febrero de 2020). «Estados Unidos acusa a oficiales militares chinos de piratería informática a Equifax en 2017». The New York Times . Consultado el 10 de febrero de 2020 .
60. Mariam, Baksh (10 de febrero de 2020). "El Departamento de Justicia afirma que oficiales militares chinos piratearon Equifax". www.defenseone.com . Defense One . Consultado el 25 de febrero de 2020 .
61. "Estados Unidos afirma que el ejército chino hackeó Equifax. Aquí explicamos cómo".
62. "Seis preguntas sin respuesta para Equifax tras una filtración masiva de datos personales de 143 millones de estadounidenses". 8 de septiembre de 2017. Consultado el 8 de septiembre de 2017 .
63. "Incidente de ciberseguridad e información importante para el consumidor". equifaxsecurity2017.com . Equifax. 2017 . Consultado el 13 de septiembre de 2017 .
64. Melin, Anders (7 de septiembre de 2017). "Tres gerentes de Equifax vendieron acciones antes de que se revelara el ataque cibernético". Bloomberg.com . Consultado el 7 de septiembre de 2017 .
65. Solon, Olivia (7 de septiembre de 2017). "La empresa de crédito Equifax dice que los números de seguridad social de 143 millones de estadounidenses quedaron expuestos en un ataque informático". The Guardian . Consultado el 11 de septiembre de 2017 ..
66. Morley, Katie (8 de septiembre de 2017). "Hackeo de Equifax: se teme que los datos personales de 44 millones de británicos hayan sido robados en una importante filtración de datos en Estados Unidos". The Daily Telegraph . Consultado el 9 de septiembre de 2017 .
67. "Las ventas de acciones de Equifax son el foco de una investigación criminal en Estados Unidos". Bloomberg.com . 18 de septiembre de 2017 . Consultado el 18 de septiembre de 2017 .
68. Bahney, Anna. "6 rumores de piratería informática de Equifax verificados". CNNMoney . Consultado el 12 de septiembre de 2017 .
69. "Por qué la filtración de datos personales de Equifax es posiblemente la peor de la historia". CNBC . Consultado el 10 de septiembre de 2017 .
70. "El detector de hackers de Equifax es un desastre: esto es lo que hay que hacer". Cnet.com . Consultado el 10 de septiembre de 2017 .
71. Krebs, Brian. "¿Equifax o Equiphish? — Krebs on Security". krebsonsecurity.com . Consultado el 13 de octubre de 2017 .
72. Chacos, Brad (8 de septiembre de 2017). "Hackeo de Equifax: cómo saber si te ha afectado". PCWorld . Consultado el 13 de septiembre de 2017 .
73. Robertson, Adi (8 de septiembre de 2017). "¿Puedes unirte a una demanda colectiva si utilizas la protección gratuita contra el robo de identidad de Equifax?". The Verge .
74. Mosendz, Polly; Nasiripour, Shahien (8 de septiembre de 2017). "La pesadilla de los hackers de Equifax se vuelve aún peor para las víctimas". Bloomberg.com . Consultado el 13 de septiembre de 2017 .
75. Fung, Brian (8 de septiembre de 2017). "Al registrarse en el sitio de ayuda de Equifax, corre el riesgo de renunciar a sus derechos legales". chicagotribune.com . Consultado el 13 de septiembre de 2017 .
76. "Equifax finalmente responde a las preocupaciones sobre los derechos legales de los consumidores". The Washington Post . Consultado el 8 de septiembre de 2017 .
77. Equifax. "Preguntas frecuentes: incidente de ciberseguridad e información importante para el consumidor | Equifax". Incidente de ciberseguridad de 2017 e información importante para el consumidor . Consultado el 16 de febrero de 2018. ¿Cuándo se actualizaron los Términos de uso de TrustedID Premier? ... Actualizamos los Términos de uso del producto Equifax en www.equifax.com el 12 de septiembre de 2017 para indicar que esos términos no se aplican al producto TrustedID Premier ni al incidente de ciberseguridad.
78. Equifax (12 de septiembre de 2017). «Condiciones de uso». equifax.com . Archivado desde el original el 15 de septiembre de 2017. Consultado el 16 de febrero de 2018 .
79. "Lo que Equifax nos debe a todos: una congelación de crédito gratuita en todas las agencias, para empezar, y un montón de respuestas". New York Daily News . 12 de septiembre de 2017 . Consultado el 13 de septiembre de 2017 .
80. Kirsch, Melissa (12 de septiembre de 2017). "Equifax está renunciando a sus tarifas de congelamiento de crédito durante 30 días". lifehacker . Consultado el 13 de septiembre de 2017 .
81. Hatmaker, Taylor (12 de septiembre de 2017). "Equifax dice que renunciará a las tarifas de congelamiento de crédito durante 30 días". TechCrunch .
82. Astor, Maggie (20 de septiembre de 2017). "Alguien creó un sitio web falso de Equifax. Luego Equifax publicó un enlace a él". The New York Times . ISSN  0362-4331 . Consultado el 21 de septiembre de 2017 .
83. "Equifax envía a las víctimas de la violación de datos a un sitio de notificación falso". Ars Technica . 20 de septiembre de 2017 . Consultado el 21 de septiembre de 2017 .
84. Morse, Jack. "Equifax ha estado dirigiendo a las víctimas a un sitio de phishing falso durante semanas". Mashable . Consultado el 21 de septiembre de 2017 .