Amerykańskie przedsiębiorstwo wyda miliony dolarów z powodu potężnego wycieku danych sprzed 2 lat. Cyberprzestępcy zdobyli imiona, nazwiska i numery ubezpieczenia społecznego 147 milionów obywateli Stanów Zjednoczonych, Wielkiej Brytanii i Kanady. Teraz firma podpisała z władzami ugodę.

Equifax to jedno z największych biur informacji gospodarczej w USA. Firma ma swoje przedstawicielstwa na całym świecie i przechowuje dane o 800 milionach osób. We wrześniu 2017 roku prezes Equifaxu przyznał, że dane 145 milionów osób były publicznie dostępne przez 3 miesiące. Niedługo potem okazało się, że liczba poszkodowanych wzrosła do 147 milionów.

Ugoda
Tymczasem Equifax zawarł z amerykańskimi agencjami rządowymi i poszczególnymi stanami ugodę, w ramach której firma musi zapłacić 575 milionów dolarów. To suma grzywien i roszczeń konsumentów. Jeśli okaże się, że kwota będzie zbyt mała, żeby pokryć straty osób dotkniętych wyciekiem, Equifax zapłaci dodatkowo 125 milionów dolarów. Obywatele USA, aby wnieść roszczenia, muszą mieć zgodę sądu. Warunkiem złożenia wniosku jest wcześniejsze wykupienie przez klientów usługi monitorowania kredytów (część osób dla bezpieczeństwa tak robiła).

Equifax przyznał, że zgromadzone przez firmę dane wyciekły z powodu błędu na platformie Apache Struts. Poprawkę oprogramowania wydano dopiero w marcu 2017 roku, na dwa miesiące przed atakiem cyberprzestępców. Equifaxowi zarzucono również niedostateczne szyfrowanie danych i nieskuteczne mechanizmy wykrywania naruszeń. Według raportu amerykańskiej komisji do spraw nadzoru, sytuacji można było zapobiec, ale przedsiębiorstwo nie podjęło odpowiednich działań. Zawarta ugoda zobowiązuje Equifax do poprawy standardów bezpieczeństwa danych.

Konsekwencją wycieku mogła być kradzież tożsamości użytkowników
Wśród informacji znalazły się m.in. numery ubezpieczenia społecznego w Stanach Zjednoczonych. Przestępcy wykorzystują je do kradzieży tożsamości, ponieważ kody pozwalają zidentyfikować i uwierzytelnić konkretną osobę.

Miesiąc po tym, jak prezes Equifaxu poinformował o naruszeniu bezpieczeństwa danych, okazało się, że na stronie firmy TALX (dziś znanej jako Equifax Workforce Solutions) można było znaleźć informacje o wynagrodzeniu pracowników kilkudziesięciu amerykańskich firm. Wystarczyło podać datę urodzenia i numer ubezpieczenia, czyli właśnie informacje, do których dostęp uzyskali cyberprzestępcy. Dodatkowym problemem Equifaxu okazali się menadżer firmy i dyrektor odpowiedzialny za technologie informacyjne. Obaj zostali oskarżeni o wykorzystywanie poufnych danych w celu sprzedaży akcji firmy, zanim publicznie powiadomiono o wycieku.

Polski przypadek – milion złotych
W marcu polski Urząd Ochrony Danych Osobowych zdecydował o pierwszej karze za naruszenie przepisów RODO. Na cenzurowane trafiła firma o podobnym profilu co amerykański Equifax. Bisnode jest nazywany „wywiadownią gospodarczą”. UODO ukarało firmę blisko milionem złotych za to, że pobierając z ogólnodostępnych źródeł dane około 6 milionów osób, nie poinformowała wszystkich zainteresowanych o przetwarzaniu ich informacji.


Źródło: chip.pl