Equifax снова под ударом: прошлогодняя утечка данных оказалась куда серьезнее

В прошлом году бюро Equifax сообщило о масштабной кибератаке, в результате которой были похищены персональные данные 140 млн жителей Соединенных Штатов. Хакеры получили доступ к именам, адресам, номерам социального страхования и кредитных карт.

Однако на прошлой неделе стало известно, что нанесенный ущерб был большим, чем сообщалось ранее. Злоумышленникам также удалось украсть адреса электронной почты, ИНН и номера водительских удостоверений. О реакции экспертов и расследовании — далее.


/ Flickr / waferboard / CC

Информация о краже других данных была получена из документа с результатами судебной экспертизы, переданного Банковскому комитету Сената США самой компанией Equifax. Это сообщение спровоцировало острую реакцию сообщества.

Ознакомившись с документом, сенатор Элизабет Уоррен (Elizabeth Warren) теперь требует предоставить подробности по каждому типу данных, которые, по мнению Equifax, могли быть украдены. Причем ответ она хочет получить уже к концу этой недели.

«Компания продолжает делать спорные заявления, скрывать информацию от Конгресса и публики, — говорит Уоррен. — Equifax должны рассказать, насколько серьезной была утечка на самом деле». Тем временем резиденты Hacker News уже сделали предположение, что взлом систем Equifax был тотальным, и скомпрометированными оказались абсолютно все хранимые персональные данные.

Однако в ответ на обвинение представитель Equifax Мередит Гриффанти (Meredith Griffanti) отметила, что бюро не пыталось каким-либо образом запутать сообщество и в прошлом году раскрыло только ту информацию, которая затрагивала большую часть граждан. А в отчете для Комитета Equifax хотели описать всю ситуацию «максимально прозрачно».

Гриффанти также рассказала, что скомпрометированные данные, о которых было решено умолчать, принадлежат лишь небольшой группе людей, а часть информации, например, номера паспортов, вообще не была украдена. В Equifax также добавили, что общее число граждан, которых затронула эта история, не изменилось.

Расследование инцидента приостановлено

Через несколько недель после объявления о масштабной утечке данных CEO Equifax Ричард Смит (Richard Smith) ушел со своего поста. Следом за ним из компании ушел глава отдела безопасности и начальник информационного отдела. Примерно в то же время Ричард Кордрей (Richard Cordray), глава Бюро по защите прав потребителей в финансовой сфере (Consumer Financial Protection Bureau, CFPB), инициировал расследование инцидента, чтобы установить причины произошедшего и найти виновников.

Однако в ноябре прошлого года Ричард Кордрей покинул свою должность и на его место пришел Мик Малвейни (Mick Mulvaney) из администрации Дональда Трампа. И, как отмечают в Reuters, Малвейни приостановил расследование CFPB в отношении Equifax.

Представитель бюджетного управления Белого дома Джон Чвартацки (John Czwartacki) рассказал, что CFPB имеет все инструменты и ресурсы для исследования вопроса с утечкой данных Equifax, но агентству недозволенно проводить открытое расследование.

Сообщество отреагировало на подобную политику отрицательно. Компания Mozilla даже создала страничку для сбора подписей в поддержку петиции о возобновлении расследования CFPB. При этом группа сенаторов США направила руководству CFPB письмо с требованиями возобновить работу по делу и предоставить подробную информацию о следственных действиях: оформлении повесток в суд, опросе персонала Equifax и инспекциях «на месте».

Представитель CFPB рассказал о том, что они получили это письмо. Он также отметил, что Бюро по защите прав потребителей ведет расследование, а заявления об обратном являются ложными. Поэтому как продолжат развиваться события пока не ясно.


/ Flickr / Nick Gray / CC

Последствия с точки зрения законодательства

Сейчас в Соединенных Штатах получить возмещение за расходы от банка или компании, по вине которых произошла утечка, можно в судебном порядке. Общественный резонанс, связанный громкими утечками персональных данных, подталкивает правительство к ужесточении ответственности для организаций на законодательном уровне.

В январе этого года два сенатора США предложили законопроект, который позволит Федеральной торговой комиссии накладывать штрафные санкции на кредитные агентства, допустившие «слив». И если бы такой закон уже действовал, Equifax пришлось бы заплатить полтора миллиарда долларов. Такая сумма складывается из расчета 100 долларов за каждого гражданина, чьи персональные данные были украдены хакерами, а также 50 долларов за каждый тип украденных ПД – номер паспорта, адрес, ИНН и так далее.

Что касается России, то в нашей стране масштабы штрафных санкций поскромнее, однако регулирование может последовать за примером Запада. Вскоре могут быть приняты новые меры защиты пользователей от последствий подобных взломов — по информации «Ведомостей» государство планирует заставить компании, работающие с персональными данными граждан, страховать риски утечки этих ПД.

Как отмечают эксперты отрасли, подобная программа позволит выработать стандарты киберстрахования, применимые в российских реалиях. Минфин уже начал проработку инициативы. Решить, имеет ли смысл подобный закон, регулятор должен к июлю 2018 года.

Материалы по теме из нашего блога:

FavoriteLoadingДобавить в избранное

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *