Jeden z większych wycieków ever. Equifax zapłaci 700 mln?

Zakończono śledztwo w sprawie wycieku danych z serwerów firmy Equifax. Amerykańskie przedsiębiorstwo dopuściło do nielegalnego przechwycenia informacji dotyczących prawie 148 milionów klientów. Konsekwencje zaniedbania będą dotkliwe: suma grzywien i roszczeń klientów może osiągnąć wysokość 700 milionów dolarów.

Nawet połowa Amerykanów zagrożona

To już prawie dwa lata, odkąd do osób korzystających z usług amerykańskiego przedsiębiorstwa Equifax dotarły bardzo złe wiadomości. To wtedy okazało się, że klienci firmy zajmującej się analizą kredytową i doradztwem mają poważne powody do niepokoju. Doszło do ogromnego wycieku, w związku z którym w niepowołane ręce mogły trafić dane nawet połowy Amerykanów. Obecnie, po przeprowadzonym śledztwie, wiemy, że wysokość kary, na którą narażony jest Equifax, może wynosić od 575 do 700 milionów dolarów. Dokładna kwota nie jest jeszcze znana z kilku powodów.

Ogromny wyciek

Imiona, nazwiska, adresy, numery polis ubezpieczeniowych, a w wypadku części osób również numery kart kredytowych – zbiór kompletów takich właśnie informacji wyciekł za sprawą niewłaściwego zabezpieczenia danych przechowywanych przez Equifax. O tym, jak groźne mogą być konsekwencje przechwycenia tego typu danych, nie trzeba przekonywać nikogo. To jeden z większych wycieków wrażliwych danych w Stanach Zjednoczonych, a co za tym idzie na świecie (niechlubny rekord należy do firmy Yahoo, która padła ofiarą dwóch ataków, w wyniku których hakerzy uzyskali dostęp do danych niemal miliarda klientów).

O ataku na serwery amerykańskiej firmy opinia publiczna dowiedziała się we wrześniu 2017 roku, gdy prezes Equifaxu przyznał, że cyberprzestępcy uzyskali dostęp do danych 145 milionów obywateli USA. Niedługo potem okazało się, że liczba ta wzrosła do niemal 148 milionów. To olbrzymia skala, szczególnie biorąc pod uwagę, że jedną z gałęzi działalności tego biura informacji gospodarczej jest doradztwo w zakresie bezpieczeństwa danych. Nie dziwi zatem, że opisywana sytuacja poskutkowała nagłym uszczupleniem kadry przedsiębiorstwa. Prezes firmy złożył wypowiedzenie, a jeden z dyrektorów działów został nawet skazany na cztery miesiące więzienia po tym, jak udowodniono mu, że sprzedawał akcje Equifax na chwilę przed oficjalnym ujawnieniem gigantycznego wycieku.

Fatalne zaniedbanie

Śledztwo wykazało, że przyczyną powstania tak groźnej podatności był brak aktualizacji oprogramowania, w którym wcześniej wykryto niebezpieczne luki. Przestępcy dysponowali nieuprawnionym dostępem do danych przez trzy miesiące. Equifax ogłosił, że gromadzone dane wyciekły w wyniku błędu na platformie Apache Struts. Firmie zarzucano również nieudolne szyfrowanie danych i stosowanie nieskutecznych mechanizmów wykrywania naruszeń. Według raportu amerykańskich instytucji badających sprawę, groźnej sytuacji można było zapobiec, ale nie podjęto odpowiednich działań.

Mowa tutaj o bardzo poważnym zaniechaniu, co wiąże się z odpowiednio dotkliwą karą dla przedsiębiorstwa. W myśl postanowień ugody zawartej pomiędzy firmą a amerykańskimi agencjami rządowymi i poszczególnymi stanami (każdy stan posiada samodzielną osobowość prawną) Equifax musi zasilić kwotą 300 milionów dolarów specjalny fundusz, który prześledzi historie kredytowe klientów firmy – przy zastrzeżeniu, że jeśli kwota ta okaże się niewystarczająca, to będzie trzeba uiścić obowiązkową dopłatę w wysokości 125 milionów dolarów. Kolejne 175 milionów przedsiębiorstwo przeznaczy na pokrycie kosztów sądowych, a dodatkowe 100 milionów dolarów to zasądzona wpłata na rzecz Biura Ochrony Finansowej Konsumentów. Kara stanowi zatem sumę wartości adekwatnych grzywien oraz roszczeń klientów (najpewniej już byłych) firmy. Obywatele musieli uzyskać specjalną zgodę sądu, aby móc wnieść roszczenia. Do składania wniosków byli upoważnieni klienci, którzy wcześniej wykupili usługę monitorowania kredytów.


Źródło: cnet.com, komputerswiat.pl. Zdjęcie główne artykułu pochodzi z unsplash.com.

Patronujemy

 
 
Polecamy
Boston Dynamics dostępne na rynku. Prasówka Technologiczna: 20.07.2019 r.