GOPHERSPACE.DE - P H O X Y
gophering on hngopher.com
HN Gopher Feed (2017-09-07) - page 1 of 10
 
___________________________________________________________________
Cybersecurity Incident Involving Consumer Information
343 points by runesoerensen
https://investor.equifax.com/news-and-events/news/2017/09-07-201...
___________________________________________________________________
 
arikr - 58 minutes ago
Hm, I tried using their tool to see if I've been
impacted:https://www.equifaxsecurity2017.com/potential-impact/Which
says it would tell me if I'm likely impacted, but instead it just
gives a date where I can enroll in some free product, but no info
on whether I'm likely compromised.Anyone have a workaround? This is
important to anyone that wants to identify if they've been "pwned."
 
  comex - 51 minutes ago
  I got the same page, but then I tried putting in a fake name and
  got:> Thank You> Based on the information provided, we believe
  that your personal information was not impacted by this
  incident.So if you just get the enrollment date, I think that
  means you?re affected.
 
    ovao - 40 minutes ago
    You can proceed with the enrollment anyway, even if you receive
    that message, with any set of six digits and any set of
    characters for the last name and receive a message indicating
    that you're enrolled.I watched the video of the CEO describing
    what Equifax was doing in response to the incident and he does
    not specifically name "equifaxsecurity2017.com" or
    "trustedidpremier.com" as the sites they've set up, only that
    they've set up a special website.
 
      ovao - 27 minutes ago
      To that end: if you're an HN user with the last name "HHHHHH"
      and with a Social Security number ending in 000000, don't
      worry about enrolling. I very helpfully took care of it for
      you!
 
  p0wn - 50 minutes ago
  This site seems shady as hell. As well is the
  trustedidpartner.com which has no homepage that it refers you to.
  Seems like a phishing scam.
 
  cm2187 - 48 minutes ago
  A website registed a month ago with a simple DV certificate.
  Either the gentlemen at equifax are grossly incompetent, either
  this is a phishing website.
 
dannylandau - 2 hours ago
Can some form of biometrics prevent such incidents going forward?
 
  FuriouslyAdrift - 50 minutes ago
  Biometrics are more useful as an enhancing measure to verify
  identity but not for gaining access. Once compromised, it's
  forever.One can even fake DNA if you have enough time, money and
  expertise...
 
  tazard - 1 hours ago
  Only until someone lifts your fingerprints or the like. And those
  are also difficult too change.
 
  ceejayoz - 1 hours ago
  No. Link says it was a vulnerability in their website, so adding
  biometrics would've probably just meant your biometrics would've
  been leaked alongside your SSN.
 
  cypherpundit - 1 hours ago
  not if the digital ID with biometrics was on a public ledger and
  only you had the key....
 
  tdb7893 - 1 hours ago
  Most are falsifiable and they are hard to do over the Internet
  (and are easier to fake over the internet). Also you can't change
  the info if there is a breach
 
courtewing - 2 hours ago
I strongly encourage anyone in the US to put a full credit security
freeze on all three credit agencies.  When a credit freeze is in
place, you still have access to all of your existing loan accounts
and whatnot (e.g. credit cards), but lenders cannot access your
credit to open new accounts unless you want them to.It's not
difficult nor expensive to do, and the freeze lasts until you
decide to revoke it.  Whenever you need to allow access to your
credit (credit check for rent, taking out a loan, etc), you can
temporarily lift your credit freeze for a small fee.  The fees
associated with this are going to be much cheaper than any of the
professional "identify protection" services that exist out there,
and the freeze is significantly more effective at protecting
you.When a company leaks your social security number and personal
details, which almost certainly will happen at some point if it
hasn't already, then opening fraudulent accounts in your name isn't
the only risk you face, but it's an obvious and dangerous
possibility that can ruin you financially or make you spend a
considerable amount of time and energy fixing the situation.For
every person in the US with kids, I also strongly suggest that you
freeze their credit as well.  There's no good reason for your 13
year old to take out a loan, but identity thieves don't care about
how old their victim is.
 
  anigbrowl - 58 minutes ago
  Why not just shift the presumption of liability (absent
  verification) to the financial institution instead of the
  consumer? Loan issuers can hire skilled professionals to do
  credit verification, so why should consumers bear the risk for
  their lack of due diligence?
 
    ohazi - 18 minutes ago
    "just"Consumers would love this. Financial institutions would
    not. Guess who wins this battle?
 
  bognition - 1 hours ago
  You've sold me, now tell me how to do it
 
    courtewing - 1 hours ago
    You have to place the freeze on each of the three credit
    agencies individually.  In most states it's $10 each, but it
    can vary state to state.https://www.freeze.equifax.com/Freeze/j
    sp/SFF_PersonalIDInfo...https://www.transunion.com/credit-
    freeze/place-credit-
    freezehttps://www.experian.com/freeze/center.html
 
      rcoder - 1 hours ago
      /me sighsThe Equifax site appears broken in at least some
      browsers. Transunion wants me to sign up for an online
      account, and Experian charges a $10 fee in my state to place
      a freeze.All three want to collect my name, DOB, SSN, etc.
      _again_ in order to sign up.This is complete and utter BS.
      Credit reporting agencies are one of the greatest/worst
      rackets in the modern financial system.
 
        leggomylibro - 44 minutes ago
        "You could be at GRAVE RISK because we accidentally leaked
        your personal information. Please give us all of your
        personal information so that we can tell you if you were
        affected."It's almost funny, in a way. What, so I can
        become affected if I'm not already?
 
      cjhanks - 1 hours ago
      I don't understand this.  Equifax claims they just leaked my
      SSN, Drivers License, and other pertinent data to everybody.
      How would they possibly confirm that I am the one lifting the
      'freeze'?
 
        krn1p4n1c - 1 hours ago
        When you get your account frozen they provide a PIN to
        unlock.
 
          hughes - 26 minutes ago
          And what happens if I call to unfreeze but have lost the
          PIN? Can I never get a loan again for the rest of my
          life? Or is there some way around the PIN - perhaps only
          requiring the already leaked information?
 
      TravelTechGuy - 1 hours ago
      I think you are missing something. Here's what's needed to
      initiate your TransUnion freeze:To set up a security freeze
      with TransUnion, please visit our online form. You should be
      prepared with the following types of information: 1. Your
      full name, including middle initial and suffix, such as Jr.,
      Sr. II, III 2. Social Security Number 3. Date of birth 4.
      Current address 5. All addresses where you have lived during
      the past two years 6. Email address 7. A copy of a
      government-issued identification card, such as a driver?s
      license or state ID card, etc. 8. A copy of a utility bill,
      bank or insurance statement, etc.So, if I hack TU, all I need
      to do is get the data of the people who asked for a credit
      freeze.The problem is these companies, who non of us ever
      chose or nominated to collect our data, are careless with our
      PII. And until some accountability is added into the system,
      this will continue.I want to see Equifax's CEO, CTO, CSO and
      anyone who ever saw a report saying "we need to invest more
      in security" and ignored it, to pay. Preferably with their
      jobs.
 
        justboxing - 37 minutes ago
        > I want to see Equifax's CEO, CTO, CSO and anyone who ever
        saw a report saying "we need to invest more in security"
        and ignored it, to pay. Preferably with their jobs.Nope.
        Ain't gonna happen. Financial crime pays, big time! No one
        goes to Jail. They usually have an investigation followed
        by a hearing in Congress (if it is "BIG" enough), then come
        back and pay a fine. Media will report the fine as
        "MILLIONS OF $" but the fine hardly makes a dent in the
        Bank / Financial institute's coffer.W.r.t. this particular
        situation, here's a story that just broke.Three Equifax
        Managers Sold Stock Before Cyber Hack Was Revealed
        (bloomberg.com) =>
        https://news.ycombinator.com/item?id=15196309It's called
        INSIDER TRADING.
 
        scarmig - 1 hours ago
        Equifax can handle its internal management and operations
        however it wants.Externally, though, I want Equifax to have
        to pay a fine for every individual whose information was
        compromised. Identity theft can easily cause five figures
        worth of damage, so $10k per individual would be fair.
        Maybe as a warning shot we could lower this to... $1k?
        $100?That's the only way to properly align incentives so
        companies will proactively defend against attacks like
        this.
 
          losteric - 1 hours ago
          I expect managers to go to jail, in addition to a
          financial kneecap that forces other companies to
          vigilantly pressure their management for security.Well,
          maybe not expect. This is America... I expect infuriating
          golden parachutes. But I certainly hope for criminal
          charges and jail time.
 
          tombrossman - 1 hours ago
          This thing called "Identity Theft" does cause damage, but
          it's important to remember that if fraudsters trick a
          bank into thinking they are you, it is the bank's fault
          for failing to properly verify it was actually you. Doing
          so would cost them more money and it is much easier to do
          cursory checks instead.No doubt fraudsters impersonating
          you is a hassle and you must spend some time and money
          dealing with it if you are targeted, but do not lose
          sight of why it happens and who is ultimately
          responsible.
 
          damnfine - 1 hours ago
          But you still pay the fees from the banks failings, so it
          really does hurt everyone even when the bank eats it.
 
          alexanderstears - 39 minutes ago
          Yes and no.If a "Too Big to Fail Bank" fails, we all pay.
          If a credit union in Utah messes up, their customers pay.
          Let banks compete on operational excellence.
 
          dmurray - 30 minutes ago
          It hurts everyone foolish enough to still do business
          with the bank after they jack up their fees to pay for
          it. Or in jurisdictions where a small number of banks are
          given a monopoly, or competition is otherwise
          discouraged, it hurts everyone.
 
          toomuchtodo - 1 hours ago
          I would not doubt a class action lawsuit results from
          this, and I'd be very surprised if Elizabeth Warren
          didn't pursue congressional action against them (although
          not officers of the company unfortunately).
 
          scarmig - 1 hours ago
          And then I'll get six months of free credit monitoring
          from Equifax? Oh boy!!1!More seriously, this is a breach
          big enough that Equifax should honestly no longer exist
          as a company. So call it $100/incident, and I'm happy.
          Other agencies would still exist, and, although they're
          just as terrible, it might get them to kick their asses
          into high gear to fix their security.
 
          abawany - 58 minutes ago
          The NYT story states that they are already offering this
          to affected consumers:
          https://www.equifaxsecurity2017.com/potential-impact/ .
 
          stormcode - 50 minutes ago
          I went there and used the site and guess what? It doesn't
          work. It just said 'Thank You!' and gave me an enrollment
          date. It gave me no info as to if I was one of the people
          affected.
 
          icelancer - 31 minutes ago
          Likewise, WTF. I thought you were joking but nope, it
          returns this text:-----Thank You Your enrollment date for
          TrustedID Premier is: 09/13/2017 Please be sure to mark
          your calendar as you will not receive additional
          reminders. On or after your enrollment date, please
          return to faq.trustedidpremier.com and click the link to
          continue through the enrollment process.For more
          information visit the FAQ page.
 
        deadmetheny - 1 hours ago
        >Preferably with their jobsThat's not nearly enough,
        considering the reach and impact this could potentially
        have. These people need to be getting life prison sentences
        before security is finally taken seriously enough by
        executives.
 
          TravelTechGuy - 1 hours ago
          It's high time we had an equivalent law to Sarbanes-Oxley
          for security.S-O made sure that when a C-level type guy
          signs a report, he knows his ass is on the line in case
          an illegal transaction just occur under his nose. If your
          company deals with PII, I want that data to be treated as
          important, if not more important, then company's funds.
          If you lose it, and you had any say in security (or lack
          thereof), you should do time.
 
        sbov - 27 minutes ago
        > So, if I hack TU, all I need to do is get the data of the
        people who asked for a credit freeze.Sure, but TU already
        has all the above information anyways.
 
        jstarfish - 1 hours ago
        > I want to see Equifax's CEO, CTO, CSO and anyone who ever
        saw a report saying "we need to invest more in security"
        and ignored it, to pay.The issue here is likely related to
        business units that were acquisitions, with the breached
        product in question having been developed pre-acquisition
        by a code farm staffed by interns in some developing
        nation. I spent a few years trying to unfuck some of those
        messes and moved on.It's more a problem with their reckless
        growth over the last decade than anything. (ed) Due
        diligence is obviously lacking, but I can personally attest
        that nobody in senior leadership there willfully ignores
        matters of security once it becomes known.
 
          scarmig - 1 hours ago
          If that were the case, then who approved the acquisition?
          Who did due diligence on it?Suddenly letting a bunch of
          untrusted, poorly audited code run on your infrastructure
          is itself a massive security breach. And even that
          doesn't explain how data was extracted for two months
          with no one noticing.
 
          maxerickson - 1 hours ago
          I find it difficult to reconcile your second and third
          paragraphs.I guess choosing not to prioritize security
          (vs profit or whatever) when making acquisitions is
          different than just ignoring it entirely.
 
          TravelTechGuy - 1 hours ago
          We don't know if this has anything to do with any
          acquisitions - this is a conjecture, at best.At any rate
          - I don't care. I never gave Equifax permission to
          collect my personal data. I certainly never gave them
          permission to store it in a way that it can easily be
          hacked. If you buy a 3rd party company, "unfuck" and
          harden their software BEFORE you let the data flow
          in.Allowing data to slip out is negligent. If you're in
          the army, or the intelligence community, you get punished
          for this. It's about time the private sector felt some
          sort of accountability.
 
          damnfine - 55 minutes ago
          This so much. The stream of corporations passing the buck
          into a black hole of irresponsibility needs to end now.
          If people arent held responsible, they will continue to
          make these failings without pause. I hope everyone is
          writing their legislators and congresspeople right now.
          They listen more than even my disillusioned self thought.
          The just might have bigger incentives to act otherwise.
          But if they dont know, they cant even choose to be
          corrupt or not, they are ignorant by proxy. Communicate
          to your leaders, and remember their response when you
          vote.
 
          jstarfish - 38 minutes ago
          The only real solution here is that we need consumer
          privacy laws similar to Germany's-- not more scrutiny of
          those who participate in the PII trade.There is no reason
          beneficial to consumers to be collecting intelligence of
          this nature.
 
          jstarfish - 27 minutes ago
          Not really conjecture:> The company has found no evidence
          of unauthorized activity on Equifax?s core consumer or
          commercial credit reporting databases.Since core business
          was unaffected (nobody hacked the mainframe), I guarantee
          you some crappy product they acquired got compromised.And
          like it or not, you do give them permission to collect
          your personal data every time you authorize a creditor,
          utility or employer to run a credit check. Never sign up
          for utilities, loans, credit cards or get a job and then
          you'd have a case for privacy.
 
          [deleted]
 
  cdubzzz - 1 hours ago
  I recently did this and highly recommend IdentityTheft.gov for
  assistance. It has tons of great resources/guidance for dealing
  with identity theft and other credit
  issues.https://www.identitytheft.gov/
 
    toomuchtodo - 1 hours ago
    This will make a great addition to the /r/personalfinance wiki!
    Thanks for posting it!
 
      cdubzzz - 1 hours ago
      Happy to help! I was really surprised how well the site
      works. A bit more about my experience here in case it could
      also be useful (though the post is admittedly a bit scatter
      brained): https://chrxs.net/articles/2017/03/23/responding-
      to-identity...
 
  elipsey - 1 hours ago
  Anyone know if there's a way to get your free credit report if
  you can't answer the questions for the free one?The computer says
  no, and the phone number just sends a letter that says no. I
  tried to to buy one from my bank, but as far as I can tell they
  only sell subscriptions...
 
    cbhl - 57 minutes ago
    Each of the credit reporting agencies has a process for
    requesting your credit report by snail mail. The form is hidden
    away on the various websites, but it has generally worked for
    me when the online form didn't work (it turns out another
    person's delinquent loans and CCs were in the report that they
    were using to test that it was me).Not as free, since you need
    to buy envelopes / print the forms / photocopy your ID / get
    stamps / wait X weeks, but as free as it gets when the online
    system doesn't work.
 
    hello_newman - 50 minutes ago
    there is! https://www.annualcreditreport.com/ i use it every
    year along with being a regular credit karma user.
 
    maxerickson - 1 hours ago
    You could see if Credit Karma works. I think it is mostly a
    free interface to Trans Union though.
 
      toomuchtodo - 13 minutes ago
      Funny enough, it also provides your Equifax report.
 
    kingnothing - 47 minutes ago
    credit karma
 
  chaostheory - 49 minutes ago
  Calling a phone number is easier than signing up by
  webhttps://www.transunion.com/fraud-victim-resource/important-
  contacts
 
  8ytecoder - 13 minutes ago
  Question for you: My card comes with Identity theft protection
  [1]. Do you think that's a good alternative to freezing credit
  completely?[1] https://www.discover.com/credit-cards/member-
  benefits/securi...
 
  yclept - 1 hours ago
  Dilemma: spend $30 on credit freezes or put $30 into bitcoins?
 
  mcshicks - 1 hours ago
  I can't agree with this more.  I was the victim of identity theft
  many years ago. I my case the data leaked from an employee at my
  company's payroll dept!  There was nothing I could have done to
  prevent it.  Anyway I did this many years ago and have not
  worried about it since.  There is some small hassle because
  people run credit checks for weird reasons that have nothing to
  do with trying to get a loan or line of credit.  For instance
  when I got promoted to a certain level at my last company they
  ran one, and while they didn't run them when I got hired, I think
  later they started doing them as part of "background checks" for
  all new hires.  The other hassle is sometimes the credit agencies
  change the way you "unfreeze" and I've had some problems with
  that, or the people running the check don't actually know which
  of the three credit agencies they are using.  However for the
  once every four or five years hassle it is definitely worth the
  piece of mind for me.  In many cases you can "temporarily" revoke
  it for a week or 10 days.
 
  nkcmr - 33 minutes ago
  Wow. Equifax's Credit Freeze line is just dead. Must be getting
  slammed right now.
 
  Y7ZCQtNo39 - 1 hours ago
  So if an identity thief has enough of my information to
  potentially open a new line of credit, wouldn't they also have
  enough information to reverse the freeze?In other words, is a
  freeze enough to stop new accounts from being created?
 
    mcshicks - 1 hours ago
    You get a unique long pin code when you freeze the account.
    You need that to unfreeze it.  There is some "recovery"
    procedure, I think you need a notary or something
 
      cespare - 54 minutes ago
      And that unique long pin definitely isn't stored in plaintext
      in the next column over in their database, right?
 
  cm2187 - 1 hours ago
  At this stage, if you have to pay the company that leaks your own
  data to prevent it from harming you, it starts to sound like
  protection racket.
 
    fweespeech - 30 minutes ago
    It is a protection racket that shifts the risks and costs from
    the financial system to consumers.
 
SCdF - 57 minutes ago
Doing some junky googling, estimates for how many Americans have a
credit card sits in the ~160-180million range.In other words, when
they say "143 million US customers" they really mean "the vast
majority of Americans with a credit card".Astounding.
 
  ewams - 48 minutes ago
  About half of the country.
 
mrguyorama - 1 hours ago
>Exploited a US website application vulnerability >The information
accessed primarily includes names, Social Security numbers...
credit card numbers for approximately 209,000 U.S. consumers, and
certain dispute documents with personal identifying information for
approximately 182,000 U.S. consumers, were accessedWas all this
data available and accessible through the same application? I
wonder how likely it was something incredibly trivial, like SQL
injection, or whether they were truly targeted and infiltrated
 
cdubzzz - 1 hours ago
Lovely. I just had to give Equifax a bunch of my own info after
having my identity stolen[0]. When dealing with this, I was amazed
at how technically inept all three agencies seem to be. Not to
mention the extent to which they use SSN and other PII to "verify"
during phone calls, and try to sell their credit monitoring
services to you. This sort of thing should be provided for free by
these companies if they are going to  be managing such valuable
data.[0] https://chrxs.net/articles/2017/03/23/responding-to-
identity...
 
cjhanks - 1 hours ago
Is anyone being punished for all of the massive security breaches
which appear to be happening on a nearly daily basis?
 
  cm2187 - 53 minutes ago
  It's like the financial crisis. Crass incompetence isn't a
  criminal offense.
 
  g051051 - 1 hours ago
  Well, they try to find and convict the hackers, of course.  Or
  did you mean the companies like Equifax, or Target, or Home Depot
  that are the victims of the break-ins?
 
    ceejayoz - 1 hours ago
    In some of these cases, the victims have been negligent with
    the data entrusted to them by consumers, who are themselves
    victims.
 
    cjhanks - 1 hours ago
    I mean the companies like Equifax.  Is there nothing illegal
    about being careless enough to leak this much important
    information to hackers?  I personally think they should be held
    accountable.
 
      g051051 - 1 hours ago
      Accountable for what?  That they're a target for hackers, who
      managed to break into their network?  How is that careless?
      There's no such thing as perfect security.
 
        Nelson69 - 1 hours ago
        This case seems a little different in that it's pretty
        difficult to not have your personal information in their
        system.You roll in to Target or Home Depot, you decide to
        pay with a check, card or cash.  You decide to give them
        your information or not.  You decide if you want to go back
        after they mismanage your information.  Can you opt out of
        Equifax's business and still get credit or loans?  Can you
        even opt out at all?
 
          g051051 - 16 minutes ago
          You're assuming mismanagement...but there's simply no way
          to guarantee perfect computer security.
 
    wavefunction - 1 hours ago
    They may have meant the actual victims, in this case 146,000,00
    Americans.
 
      g051051 - 1 hours ago
      Why do you think Equifax (or Home Depot, or Target) is any
      less of a victim here?
 
        scarmig - 1 hours ago
        I leave my home with a house sitter. The house sitter
        throws a kegger, and his guests cause six figures worth of
        property damage, including stealing the house sitter's
        laptop.Who are all the criminal parties here?
 
          g051051 - 18 minutes ago
          So you're saying that companies that get hacked are
          "asking for it", or are complicit in the criminal
          activity?  That's an incredibly broad stretch.
 
          [deleted]
 
ceejayoz - 1 hours ago
> Equifax has established a dedicated website,
www.equifaxsecurity2017.com, to help consumers determine if their
information has been potentially impacted and to sign up for credit
file monitoring and identity theft protection.Really? "We lost your
info. Sign up for our credit monitoring service!"
 
  wavefunction - 1 hours ago
  What's terrible is companies using SSNs at all.
 
  cdubzzz - 1 hours ago
  Yep. All three do this and it drives me nuts. This instance is
  especially terrible given that Equifax is the breached service.
 
  KekDemaga - 1 hours ago
  "We lost 100 million plus social security numbers, give us your
  social security number so we can keep you safe"
 
  tombrossman - 1 hours ago
  I note that equifaxsecurity2018.com is already registered, but
  equifaxsecurity2019.com is available.
 
    QUFB - 58 minutes ago
    Not anymore.
 
tryingagainbro - 1 hours ago
If it's online, it will be hacked and exposed. The new reality!
Let's just try to limit what info we give to companies, knowing it
will be leaked soon or later.
 
  [deleted]
 
  mimg - 46 minutes ago
  In the case of Equifax customer data was given to them by
  creditors. Customers had no say.
 
twinkletwinkle - 50 minutes ago
"Customers"? I'm not an Equifax customer - that is, I've never
given them my name or any information, I've certainly never paid
them for a service. Yet it wouldn't surprise me to learn I'm on
their list. Why call me a "customer", I'm the product you sell to
banks.
 
vkou - 49 minutes ago
> The company has found no evidence of unauthorized activity on
Equifax?s core consumer or commercial credit reporting databases.Oh
good, sounds like Equifax's valuable data is safe, it's just that
of their unwilling 'customers' that leaked.
 
  tryingagainbro - 46 minutes ago
  Oh good, sounds like Equifax's valuable data is safe, it's just
  that of their unwilling 'customers' that leaked.Don't worry, for
  $9.99 a month they'll help you clean the mess they made. I am
  being sarcastic, but I wouldn't be surprised at their audacity.
 
Waterluvian - 49 minutes ago
The whole concept of these credit agencies infuriates me. I didn't
sign up for it. You have a dossier on me that I have no part of. If
you F it up, you'd better bend over backwards to make sure it
doesn't affect me.
 
oneplane - 11 minutes ago
Sadly, they use https://www.equifaxsecurity2017.com/ as their
special domain for this case, which smells 9001% like phishing. I
wonder if anybody at Equifax raised some concerns over that.
 
joshdance - 48 minutes ago
Is there a way to check if your information was exposed?
 
empath75 - 1 hours ago
This is horrendously bad.
 
themark - 1 hours ago
I expect this wont be the only bad news that is released today and
tomorrow given the impending death and destruction coming this
weekend.
 
unclebucknasty - 47 minutes ago
Fear not. You can check to see if you were affected by visiting
their site and giving them more personal
data:https://www.equifaxsecurity2017.com/sMaybe it doesn't matter
much, since they've likely already got it. But, it feels a bit too
soon.An interesting side-note: That domain was registered about a
week ago on 8/22/2017. Whois reveals not a single pointer to
Equifax (e.g. equifax.com email address, etc.). It shows only
DNStination Inc., and so is effectively private.When you click the
"Enroll" link, then "Begin Enrollment" button, it takes you to
https://trustedidpremier.com, which was registered on 8/28/2017,
using a different registrar (Amazon, with Whois Privacy).As of
today, someone registered equifaxsecurity2018.com with a private
(this time Domains By Proxy registration). Given the timing and the
fact that this is a different registrar from the original, it's a
good bet that's not Equifax. Or is it? Who knows?And SSL-wise,
these don't even appear to be extended validation certs (FWIW). At
least one is an Amazon cert, free to anyone who hosts on AWS.They
are virtually training people to be phished and creating another
potential disaster with all of these additional domains, private
registrations, etc.
 
axelluke - 1 hours ago
It makes me wonder how they set up their security infrastructure.
Were the hackers able to freely access their HSMs? Do they not
monitor access?  Would be nice if some form of RCA is made public.
 
swat535 - 7 minutes ago
Has equifax.ca also been affected? Does anyone have any intel on
that? Now i'm worried
 
noncoml - 1 hours ago
Too big to punish?
 
  geetfun - 1 hours ago
  Like the old saying... you owe the bank 10 thousand dollars? Your
  problem. You owe them 10 billion? Their problem.
 
dangayle - 1 hours ago
Oh nice. A company that does nothing but collect personal
information. I?m already in their identity protection program, so
I'm a little nonplussed at this.
 
  jcranendonk - 1 hours ago
  Are you extremely surprised at this, or not at all? Just from
  context, I can't quite decide which it is.
 
    dangayle - 24 minutes ago
    I'm not at all surprised, but I am disappointed (to say the
    least).
 
the_unknown - 3 minutes ago
"Residents in the U.K. and Canada were also impacted."  Yet Equifax
is only providing lookup or TrustedID protection for Americans.
 
knowuh - 1 hours ago
> Credit reporting agencies are one of the greatest/worst rackets
in the modern financial systemCan someone notify me when the class
action has been initiated?
 
  maxerickson - 1 hours ago
  If you want to win big, initiate it. Members of the class are
  likely to get something stupid like free credit monitoring from
  Equifax.
 
    juancampa - 54 minutes ago
    They are already offering exactly that.
    https://www.equifaxsecurity2017.com/
 
      dwyerm - 31 minutes ago
      I'll bet $5 that signing up for their monitoring service
      comes with a class-action waiver sweetener.
 
  rocha - 1 hours ago
  Me too please.
 
andirk - 1 hours ago
Oddly, on their website equifax.com , they offer a solution to  see
if your identity is stolen by using a website created today called
equifaxsecurity2017.com , which then offers the solution to
'enroll' which sends you to a website created a week ago called
trustedidpremier.com . At which point you are to enter your
identity information.Um.
 
  toufka - 19 minutes ago
  And not only do I have to give them personal information to
  check, I have to use google's sign-reading I'm-not-a-robot
  captcha - feeding a little of my intellectual capability to their
  self-driving car companies.They keep taking...
 
  mattbeckman - 54 minutes ago
  I also noted that it asked for the last 6 digits of your social.
  Could be they need more digits to avoid duplicates, but I've
  never heard anyone ask for 6 digits. Usually it's just the
  4.Honestly, they should have used a subdomain off of Equifax.com.
 
    Johnny555 - 17 minutes ago
    The bad thing about that is the first 3 digits are the location
    digits, so someone that has the last 6 digits can easily guess
    your full SSN if they know where you were born (or where you
    lived when you got your SSN).https://en.wikipedia.org/wiki/List
    _of_Social_Security_Area_N...
 
  digikata - 39 minutes ago
  I've now been enrolled in one or more "identity monitoring"
  services going back at least five years offered in recompense for
  various breaches.... at some point it becomes ridiculous.
 
  Thriptic - 1 hours ago
  Unverified cert too -_-
 
    rocqua - 1 hours ago
    The plain domain yields a 404. Cert for me seems to be signed
    by amazon.https://trustedidpremier.com/
 
      Thriptic - 1 hours ago
      What I mean to say is it's not validated* They should have
      hosted this on a domain associated with the company and
      validated the cert with the business
 
  3JPLW - 1 hours ago
  Why must the consumer enroll in this?  Why is it not automatic?
  They already pull all the strings with regard to keeping the
  consumer from taking out and keeping track of legitimate loans.
  Why must we go out of our way to prevent them from certifying and
  tracking illegitimate ones?
 
  jack8daniels2 - 1 hours ago
  And trustedidpremier.com was registered a week ago.
  https://whois.domaintools.com/trustedidpremier.com
 
    bodz - 1 hours ago
    TrustedID is an identity protection company that's been around
    for awhile (many companies use them as the contracted company
    to do credit monitoring after a breach). TrustedID is actually
    owned by Equifax (who were just hacked.. irony), and so my
    guess is that "TrustedID Premiere" is a newly created offering
    from Equifax/TrustedID to deal specifically with this major
    breach.
 
    ibejoeb - 1 hours ago
    Well, yes, this was in response to this incident.  While
    they're just making a public statement now, we know from their
    own press release that the breach occurred in May.Regardless,
    it's certainly prudent to be wary of these sites since they're
    pretty indistinguishable from phishing sites.
 
chejazi - 38 minutes ago
https://docs.google.com/document/d/1mBxLzOCEKfl4SrckBD7Bp7P5...
 
ge96 - 1 hours ago
>The company said that it discovered the intrusion on July 29Why is
this posted now?
 
[deleted]
 
ge96 - 1 hours ago
How do you know if this affects you?
 
  james-skemp - 50 minutes ago
  That's what I came here for too. They have a site (go to Equifax
  for a notification banner) but providing the information they
  want just tells me to check back later. From the text I would
  assume I wasn't impacted, despite the fact that it seems almost
  everyone who used the site would have been.Edit: Seems that if
  you have a date you're impacted.
  https://www.reddit.com/r/personalfinance/comments/6yq36a/equ...
 
    ge96 - 43 minutes ago
    Have a date?Thanks for the info will check it out, I suppose
    one saving grace for me is my credit is destroyed.edit: that's
    funny "I know we just lost your SSN, but could you type it in
    again?" Also curious if by asking for the last six makes search
    faster, probably.site to check impact:
    https://trustedidpremier.com/eligibility/eligibility.htmlEdit
    that link (trusted) doesn't even say equifax in it, pulled it
    from Reddit, would be funny if it was a phishing siteEdit: this
    one looks more legithttps://www.equifaxsecurity2017.com
    /potential-impact/Still not the main domain
 
  damnfine - 41 minutes ago
  If you live/lived in the usa, and have ever had credit here, this
  affects you.
 
unclebucknasty - 1 hours ago
>Equifax said that, it had hired a cybersecurity firm to conduct a
review to determine the scale of the invasion.I think most people
are unaware of the depth of data Equifax has on them, beyond simple
credit scores (e.g. health information).Which makes the above quote
from the article even more unconscionable. There should be no need
for an outside firm to figure out what happened. They should have
in-house expertise that is unmatched (although third-party audits
ahead of time would be wise).
 
error54 - 1 hours ago
> Equifax discovered the unauthorized access on July 29Well over a
month later and they're just now getting around to telling people
about a security breach that could affect almost half of all
Americans...How is this ok/legal?
 
  freehunter - 1 hours ago
  The law gives them time to try to fix the problem before telling
  every hacker in the world about it.
 
  bodz - 1 hours ago
  Discovering a breach is only a fraction of what has to happen
  before customers/public should be notified of said breach. It's
  not very helpful to anyone if you put out a press release that
  just says "we discovered a breach but have no idea who, if
  anyone, was affected, we have no idea what was stolen, and we
  have no idea who did it." There have to be investigations that
  happen prior to any of that being known/released. Investigations
  to find this type of stuff out usually takes months, and
  typically involves the FBI or other agencies, which sometimes
  will actually ask you to keep news of the breach quiet if it
  might help them track down the perpetrators. You also want time
  to fix the issue before you go tell the entire world that there's
  a hole in your security.I work in cybersec and I would actually
  say that under 1.5 months from discovery of unauthorized access
  to releasing this press release (and already having the
  equifaxsecurity2017 website up and running) is astonishingly fast
  work.
 
pgrote - 1 hours ago
Time for criminal penalties for the management team.A breach like
this will affect thousands of people monetarily and suck time from
them they could have used elsewhere. If you've ever dealt with
something like this, you know the hours it takes to rectify the
damage.The only way corporations will learn to appreciate data
security is when management teams suffer criminal penalties.
 
  bmon - 26 minutes ago
  I don't think it's fair to be throwing any individuals under the
  bus like that. There's obviously been several failures at
  multiple levels but the company as a whole will have to face the
  consequences, not just a few managers it decides to use as
  scapegoats.
 
    aidos - 2 minutes ago
    Well, except for this:"Three Equifax Inc. senior executives
    sold shares worth almost $1.8 million in the days after the
    company discovered a security breach that may have compromised
    information on about 143 million U.S.
    consumers."https://www.bloomberg.com/news/articles/2017-09-07
    /three-equ...
 
provost - 2 hours ago
> approximately 143 million U.S. consumers.This was only a matter
of time. We can rotate credit card numbers, but sadly not a SSN. I
wish I could rotate my US social security number when significant
exposure happens (this would be the 4th or 5th time in 24 months my
data has been exposed).Assuming legislation passed that allowed you
to cancel an exposed SSN and get a new one, what would it take for
that to happen? Surely it's not just the one agency (SSA) that
would need to make the change, but multiple agencies would need to
coordinate the change?(And of course, I would be personally
responsible for informing my banks, brokerages, loan agencies, etc
of my new SSN)Does anyone have insight into how this could work?
 
  zeta0134 - 1 hours ago
  I think the true error in process is that a SSN is considered to
  be a secret, unique ID, and many (many!) institutions allow you
  to use it as a proof of identity.It's short, guessable, would
  fail all of their own password requirements, and yet somehow it
  gets a free pass. I just consider my SSN to be public, and move
  about my digital life with that assumption. I don't go plastering
  it on walls, but if I encounter a business or process that uses
  by SSN instead of proper two-factor authentication (...a large
  number of credit-based companies and financial institutions,
  sadly) my trust in them simply plummets, the same as it would for
  the login I use on less secure forum sites.
 
    eterm - 1 hours ago
    Exactly. In the UK we have a National Insurance number, but
    it's stated over and over again that:This is not proof of
    identity.Anywhere it is referenced it is repeated that it
    should not be used as proof of identity and not given to anyone
    as such.SSNs should be treated the same way, but that would
    require a culture change. Perhaps having 150m of them 'leaked'
    will bring about that change. Such a change could also be
    brought about through legislation making it not legal to ask
    for SSN as proof of ID (i.e. can only ask for SSN when required
    for the purposes it is intended for), but legislating such
    things is likely even further from your culture.
 
      CamperBob2 - 54 minutes ago
      Exactly. In the UK we have a National Insurance number, but
      it's stated over and over again that: This is not proof of
      identity.Here in the US, our Social Security Act said exactly
      the same thing.Guess what.  It got used as a proof of
      identity.
 
      PeterisP - 4 minutes ago
      The problem is that you need a replacement, something that
      can actually be used as a solid proof of identity.The
      countries that don't have comparable identity theft problems
      have done so mostly by using an ubiquitous government issued
      ID that's hard to forge and hard to obtain by someone
      claiming to be you. In USA there seems to be a strong
      opposition and a legal barrier for the government to make
      such an ID.
 
      noja - 1 hours ago
      > This is not proof of identity.What is it then?I've seen it
      used as a quasi-password by car hire companies to access
      driving license history.
 
        maxerickson - 1 hours ago
        They can use it as a key to the database without treating
        it as proof of identity.(I don't know that they do, it's
        just that the one doesn't necessarily follow from the
        other)
 
        DINKDINK - 26 minutes ago
        >What is it then?It is the username you are issued by the
        government.  It is solely used to identify you.
 
    XorNot - 4 minutes ago
    It's pretty much the flaw in not having a national ID scheme -
    everyone reaches for the next closest approximation, with no
    funding for security systems or refreshes to address
    flaws.Because this is an issue the government should address
    seriously.
 
    SimbaOnSteroids - 1 hours ago
    You're right it was never meant to be a unique identifier, we
    need a national identification card, link to a video about
    it.https://youtu.be/Erp8IAUouus
 
    [deleted]
 
  andirk - 1 hours ago
  I believe you CAN change your SSN
  https://faq.ssa.gov/link/portal/34011/34019/article/3789/can... .
  Especially if you have "cultural objections to certain numbers".
 
  elipsey - 1 hours ago
  Requiring better proof of identity would create friction to
  consumer credit transactions.
 
  tyingq - 2 hours ago
  So half the US population? Ugh.
 
    Balgair - 58 minutes ago
    It's about 2/3rds of 'working' Americans.
 
  shubb - 2 hours ago
  It sounds like ssn is not fit for purpose.If the gov is going to
  issue a 'secret number ' why not a 2fa device?
 
    xur17 - 1 hours ago
    I really wish they would issue something like this. Or put a
    smartcard in my driver's license (I'm sure there are privacy
    implications to this though).
 
      maxerickson - 1 hours ago
      Even the level of standardization proposed for Real ID was
      met with enormous push back.The long term solution is to
      figure out how to make financial companies feel the pain of
      fraudulent accounts. Like maybe when they open an account
      without doing a sufficient level of verification they should
      have to pay the victim of the fraud $5000 (in addition to
      covering any damages they cause).
 
        losteric - 1 hours ago
        Plus stronger regulation of how data is stored. Personal
        information is valuable - banks have security requirements,
        why not institutions like this?
 
    SomeStupidPoint - 1 hours ago
    The real problem is that SSNs are used double-duty as an
    identifier and authentication mechanism.This has been
    predictably bad for security.
 
    SAI_Peregrinus - 1 hours ago
    Public-key crypto has been around since the late 1970s. Smart
    cards have been around since the 1990s. Two decades is nowhere
    near enough time for these sorts of changes to go through, you
    have to wait for all the past generation's lawmakers to
    retire/die and be replaced. Getting financial institutions to
    adopt new things that don't directly make them money is even
    harder.
 
    ceejayoz - 1 hours ago
    Estonia does this.
    https://en.wikipedia.org/wiki/Estonian_ID_card
 
    alehul - 1 hours ago
    The SSN was never intended as a national ID.It was originally
    created alongside the Social Security Administration, to track
    what individuals put in and what they take out. People only
    received one upon becoming employed.Over time, the IRS realized
    that it could be used as a national ID, and adopted it for that
    purpose. They encouraged people to obtain one from a young age
    (even for their newborn children), and it was used to replace
    the original 'honor system' of 'How many children do you have?'
    tax discounts; now they'd need to register their child with a
    SSN.Companies eventually began piggybacking on the number as a
    national identifier (due to our lack of one), and voila. We're
    left with an awfully insecure identification system that
    shouldn't be an identification system for much in the first
    place.For anyone interested in more:
    https://www.youtube.com/watch?v=Erp8IAUouus, and the sources
    below the video.
 
      Pyxl101 - 1 hours ago
      Not only was SSN not intended to be a national id, it was
      explicitly not supposed to be a national id.In the era when
      SSN was established, Nazi Germany and its emphasis on
      "papers, please" was on the public's mind. SSN was intended
      to be used solely for tax purposes, not as a form of national
      identity. There were legal constraints on when government
      agencies can even ask for SSN, limited to legitimate tax
      purposes. Sadly, these protections have been whittled down
      over time:https://www.bloomberg.com/view/articles/2016-09-15
      /this-loop...> Federal law is supposed to protect the privacy
      of your Social Security number from government inquiries --
      but apparently that doesn?t extend to a check on whether
      you?ve paid back taxes and child support. In a decision with
      worrying implications for those who oppose a single national
      identification number, a divided federal appeals court has
      rejected a lawyer?s refusal to submit his Social Security
      number along with his renewal of Maryland bar membership.>
      The state says it needs Social Security numbers to make sure
      lawyers? child support and taxes are up to date. The court?s
      majority said that was enough to fit the Social Security
      number under the federal law that allows states to use your
      number for tax purposes. That definition is so loose that it
      enables states to ask for your Social Security number pretty
      much whenever they want -- even when their records have been
      hacked.Really, the government should make it possible for
      citizens to create an arbitrary number of different tax ids
      (SSNs), as many as they want. One for every firm they do
      business with, one for every employer, and so on.
 
        selimthegrim - 1 hours ago
        http://www.nytimes.com/1998/07/26/weekinreview/the-nation-
        no...
 
      reaperducer - 9 minutes ago
      Why do we need to number people anyway?  People are very
      consistent with spelling their own names.  This combined with
      a birth date and/or a birth city should be enough to uniquely
      identify anyone.Think about passwords.  A SSN is only nine
      digits, 0-9.   JohnHarrySmith19900101NewYork is far more
      secure.  And doesn't dehumanize the recipient.
 
        dragonwriter - 2 minutes ago
        > People are very consistent with spelling their own
        names.Is this true of all people?> This combined with a
        birth date and/or a birth city should be enough to uniquely
        identify anyone.For common names and large cities, probably
        not.
 
    dragonwriter - 1 hours ago
    The SSN is not issued by government as a secret number, but a
    necessarily-shared number between you, government agencies,
    employers, financial institutions, and many other parties.The
    error is that many of the parties with which it must be shared
    treat it (for authentication purposes) as if it were a shared
    secret between that party and you (though they often don't do
    so for security purposes?and, as they often must share it with
    certain third parties, sometimes cannot do so) even though it
    is known to be a widely-shared non-secret.
 
    rocqua - 1 hours ago
    SSNs were expressly intended not to be used as identification
    or authentication. Thing is, there was not alternative that
    people were guaranteed to have. I get it on principle, we don't
    like government giving us tracking numbers. It just seems
    totally impractical not to have this though.
 
mediocrejoker - 31 minutes ago
How did it take them over a month to report this?
 
hrehhf - 1 hours ago
Suppose Alice is a "victim of identity theft". BigBank gives $10k
to Fraudster as a loan, thinking that Alice is the actual
recipient. Experian, Transunion and Equifax report this loan as a
debt which Alice owes to BigBank.Who is the real victim? The credit
reporting agencies want to convince people that the consumer is the
victim, and so Alice bears the burden and risk of clearing her
name. But it is the credit reporting agencies inflicting this upon
Alice. BigBank is the victim who lost money, and BigBank bears the
responsibility for making the mistake of giving out a loan in
Alice's name. The Fraudster committed a crime against BigBank, not
against Alice. It is Experian, Transunion and Equifax, by holding
this fraudulent loan against Alice, who are victimizing Alice.The
idea that Alice was victimized by Fraudster is a concept being
perpetuated by the credit reporting agencies as a way to absolve
themselves of responsibility, and place the burden upon the
consumer, and to avoid realistic identity-verifiction which might
slow or complicate the practice of issuing large amounts of debt to
the general public.
 
  MarkPNeyer - 56 minutes ago
  Exactly.Eve lies to bob, and tells Bob she's Alice. Bob asks
  Claire, who says  Yes, that's Alice."  Bob gives Eve money, and
  Eve runs off.This should not be Alice's fault, responsibility to
  solve, or problem to deal with.  It is, because Bob is much, much
  more politically powerful than he ought to be.
 
  Spooky23 - 17 minutes ago
  Clearly, both the bank and the individual are victims of the
  crime.Generally speaking, the impact to the customer is usually
  greater, as bank business model aren't dependent on every loan
  being repaid. Consumers stand to lose money directly and lose the
  opportunity to access capital.The credit agency or anyone else
  who has a breach is usually a negligent third party.
 
  adrr - 51 minutes ago
  Bigbank is the only one in your scenario that actually has
  monetary loss since they lent out the money and most likely will
  never get it back.  In identity theft,  the company has the
  financial loss.   FBI won't investigate unless its over 250k in
  losses as well.
 
    Spooky23 - 13 minutes ago
    Fraud isn't limited to credit. My dad had someone open a
    savings account in his name and transfer a significant amount
    of money via ACH. He only found out because he got a welcome or
    from the bank!The police investigator told him that the
    particular fraud that he was a victim to was impacting >500
    people and >$5M
 
    MikeGale - 46 minutes ago
    Pretty twisted world where provable financial loss is the only
    or main measure.
 
    TheCondor - 44 minutes ago
    You certainly can quantify the monetary losses to Alice too.
    When her credit rating is shit and she buys a car or home, the
    banks are expert at placing those rates and can tell you
    exactly how much more she pays.   What is more difficult is
    calculating the loss of what she doesn't even do due to bad
    credit, like she might not be able to rent the same apartment,
    she might not even try to buy a car.She may not have to pay
    that bank loan back but that doesn't clear her credit up
    immediately.
 
  hansjorg - 50 minutes ago
  https://www.youtube.com/watch?v=-c57WKxeELY
 
  jameshart - 14 minutes ago
  What Alice is the victim of is slander, not fraud or identity
  theft. The bank lent some money to someone who claimed to be
  Alice (though the bank only relied on the fact that that person
  knew Alice's SSN as proof of that fact). Then when the bank
  didn't get paid back, they told a bunch of credit check bureaus
  that Alice was a credit risk. This was a lie about Alice, which
  has a material impact on Alice's reputation. The credit agencies
  then go ahead and repeat that slander.
 
  tssva - 7 minutes ago
  The credit agencies report what has been told to them by BigBank.
  Once the fraud is detected BigBank should update them that Alice
  does not in fact have a $10,000 loan with them and it would then
  be removed from Alice's report. If the loan has been determined
  to be fraudulent and it has not removed from her credit report,
  BigBank is victimizing her not the credit agencies.
 
  discreditable - 4 minutes ago
  "Now back when I worked in banking, if someone went to Barclays,
  pretended to be me, borrowed ?10,000 and legged it, that was
  "impersonation", and it was the bank's money that had been
  stolen, not my identity. How did things change?"
  https://www.lightbluetouchpaper.org/2017/08/26/is-the-city-f...
 
  odins_caribou88 - 41 minutes ago
  very well said!!
 
  toufka - 34 minutes ago
  Precisely.  In no way was Alice's identity stolen - that's
  tautologically impossible.  Rather, the bank was defrauded by the
  criminal - Alice is of not a party to whether or not the bank
  recovers from its own loss.  Alice's ownership is entirely
  unaffected, though the bank's internal processes might not
  reflect that - again, their problem, not Alice's.Further - this
  rat race, where I have to give ever more intimate details about
  myself to verify who I am, "for my own protection", seems to only
  ratchet away my privacy until there is nothing about me left
  unpublic. Facebook, Banks, Credit Card companies, Telephony
  companies have ALL given me that line when I resist providing
  SSN, DoB, or whatever mine-able nugget they're looking for this
  month.  Every time I give out a new kind of private information
  it inevitably leaks - defeating their point of having asked me -
  all the while my privacy is left scorched while they move on
  unconcerned to the next piece of my private life.  It's
  uncomfortable.
 
  Simon_says - 59 minutes ago
  This is very clearly what's going on.  Fraud is uncommon enough
  and the cost of fraud to the banks is smaller than the cost of
  reducing the velocity of money and loan-making, so the problem
  will never get fixed so long as it depends on the banks to
  initiate the fix.
 
    adrr - 38 minutes ago
    Work at a financial firm and have built a bunch of identity
    theft detection features.   Curious what your fix would be.
    Identity theft and friendly fraud losses are in the tens of
    billions annually and identity verification services is a huge
    industry.
 
      fweespeech - 32 minutes ago
      Banks carry the risk like they do for credit cards, consumers
      carry $100 of the risk and the risk to their credit rating.
 
      wolco - 29 minutes ago
      Change the way checks are issued/redeemed.  Right now the
      customer is on the hook for 7 years because a check isn't
      cleared until it goes back to the bank that issued the check
      .  The customer thinks by seeing the money in the account the
      check was good and can clear a sale.  The reality is the bank
      can take that money back if it is later determined to be
      false/fake.
 
        adrr - 23 minutes ago
        Paper checks are going away. Some of the online banks don't
        even support them.   ACH allows only 60 days to claw back
        the money(disputes) and with same day clearing requirement
        we can get rid of 2 day holds.
 
rdtsc - 30 minutes ago
> The company has found no evidence of unauthorized activity on
Equifax's core consumer or commercial credit reporting
databases.The information accessed primarily includes names, Social
Security numbers, birth dates, addresses and, in some instances,
driver's license numbers.So what are they saying? Was all this
information accessed or not accessed?
 
  raquo - 5 minutes ago
  If it wasn't accessed, they would have been very clear about
  that. They're just mentioning "core consumer or commercial credit
  reporting databases", whatever those are, to dilute the
  horrifying message and confuse everyone.
 
sriram_sun - 30 minutes ago
From the article: "No Evidence of Unauthorized Access to Core
Consumer or Commercial Credit Reporting Databases." Later on they
say "The information accessed primarily includes names, Social
Security numbers, birth dates, addresses and, in some instances,
driver's license numbers."I am having a difficult time reconciling
those two sentences.
 
runesoerensen - 26 minutes ago
"Three Equifax Inc. senior executives sold shares worth almost $1.8
million in the days after the company discovered a security breach
that may have compromised information on about 143 million U.S.
consumers."https://www.bloomberg.com/news/articles/2017-09-07
/three-equ...
 
  OrwellianChild - 13 minutes ago
  So, that should definitely get them busted for insider trading,
  no?
 
  aidos - 4 minutes ago
  Oh wow. Will that be investigated? This isn't a world I know much
  about, but surely that's gonna be a problem?
 
matthewcford - 1 hours ago
Nice for Equifax that this happened before GDPR is enforced and
they would have been fined 4 per cent of turnover.