image

Equifax schikt groot datalek voor 575 miljoen dollar

maandag 22 juli 2019, 13:38 door Redactie, 1 reacties

Het Amerikaanse kredietbureau Equifax waar criminelen in 2017 de gegevens van meer dan 147 miljoen Amerikanen wisten te stelen heeft met de Amerikaanse toezichthouder FTC, het Consumer Financial Protection Bureau (CFPB) en 50 Amerikaanse staten een schikking getroffen.

Da heeft de FTC vandaag bekendgemaakt. Het bedrijf zal in totaal 575 miljoen dollar betalen. Driehonderd miljoen dollar gaat naar een fonds dat wordt gebruikt om getroffen personen minstens 4 jaar lang kredietmonitoring aan te bieden. Personen die hier geen gebruik van willen maken kunnen in aanmerking komen voor een bedrag van 125 dollar. Daarnaast kunnen slachtoffers een bedrag van maximaal 20.000 dollar claimen, afhankelijk van de tijd en geld die ze aan het incident kwijt waren. Als de 300 miljoen dollar niet voldoende is zal Equifax nog eens 125 miljoen dollar toevoegen.

Daarnaast zal Equifax 175 miljoen dollar aan 48 Amerikaans staten betalen en gaat er wegens civiele boetes 100 miljoen dollar naar het CFPB. Volgens de FTC schoot Equifax tekort in het beveiligen van persoonlijke informatie die op het netwerk was opgeslagen. Daardoor kregen aanvallers namen, geboortedata, social security nummers, adresgegevens en andere persoonlijke informatie in handen.

Beveiligingsupdate

Het bedrijf werd gecompromitteerd omdat het een beveiligingsupdate voor Apache Struts niet had geïnstalleerd. Daardoor konden aanvallers toegang tot een server krijgen en daarvandaan allerlei databases met gevoelige gegevens benaderen. Het securityteam van Equifax had beheerders de opdracht gegeven om de kwetsbaarheid binnen 48 uur na het ontvangen van de waarschuwing te patchen, maar voerde geen controle uit of dit ook daadwerkelijk was gedaan.

Verder stelt de FTC dat Equifax geen netwerksegmentatie had toegepast. Hierdoor konden de aanvallers nadat ze de databaseservers hadden gecompromitteerd toegang tot andere delen van het netwerk krijgen. Verder had de kredietbeoordelaar geen intrusion detectiesystemen voor de legacy databases geïnstalleerd en bleek het bedrijf inloggegevens voor het netwerk, wachtwoorden, social security nummers en andere gevoelige consumentengegevens in plaintext te bewaren.

Naast het betalen van de 575 miljoen dollar moet Equifax ook iemand aanstellen die toeziet op het informatiebeveiligingsprogramma, moet het jaarlijks assessments van interne en externe risico's uitvoeren en moet het de effectiviteit van de genomen beveiligingsmaatregelen testen en monitoren. Tevens is Equifax verplicht om elke twee jaar het beveiligingsprogramma door een externe partij te laten beoordelen.

Eerder moest Equifax wegens het datalek in het Verenigd Koninkrijk al een boete van 560.000 euro betalen, omdat ook de gegevens van 15 miljoen Britten waren gestolen. In mei werd bekend dat het datalek de kredietbeoordelaar al 1,35 miljard dollar had gekost.

Reacties (1)
22-07-2019, 22:15 door Anoniem
Equifax:
[X] Geschikt
[X] Ongeschikt
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.