Jó eséllyel pályázhat minden idők legsúlyosabb adatszivárgásának címére az Equifax, az Egyesült Államok egyik legnagyobb hitelbírálója. Az eset nem is elsősorban az érintett ügyfelek számával emelkedik ki az utóbbi időkben egyébként egyre gyakrabban felbukkanó adatlopások közül, hanem a támadók birtokába került információk érzékenysége miatt.

Persze a támadás azért nem mondható aprónak, annak során mintegy 143 millió ügyfél adatai kerültek ki - esetükben viszont nem elég egy jelszócsere, netán egy új bankkártya, hogy elhárítsák az adatlopás jelentette veszélyeket. A támadók ugyanis ezeknél jóval érzékenyebb információkkal távoztak: az ügyfelek teljes neve, születési dátuma, lakcíme, társadalombiztosítási száma, sőt sok esetben még vezetői engedélyének száma is ott volt a megszerzett adatok között. Mindezek mellett 209 ezer ügyfél bankkártyaszáma és 182 ezer ügyfél egyéb, személyi azonosításra alkalmas dokumentuma is illetéktelen kezekbe került. Ezeket az információkat az ügy mögött álló bűnözők - vagy épp vásárlóik - illetéktelen hitelfelvételre, személyazonosság-lopásra is felhasználhatják, de akár kevéssé jóindulatú külföldi kormányzatok is profitálhatnak belőlük, nem csak a következő néhány hétben-hónapban, de akár éveken keresztül.

A hitelintézet nem közölte, hogy pontosan milyen biztonsági résen keresztül sikerült a támadóknak hozzáférni az irdatlan mennyiségű ügyféladathoz, mindössze annyit árult el, hogy egy "alkalmazás sebezhetőségét" használták az akcióhoz. Hogy a pontos technikáról az intézet egyelőre hallgat érthető, az viszont már kevésbé, hogy a katasztrofális bakit miért csak megkésve, és még akkor is erősen kifogásolható módon kezeli. A szóban forgó adatlopás felfedezését ugyanis július 29-éra datálja az Equifax, annak bejelentésével ugyanakkor még jó 5 hetet várt a cég. A támadás pontos időpontja egyelőre nem ismert, az intézet mindössze annyit közölt, hogy az valamikor május közepe és július között történt.

Az Ars Technica rámutat továbbá arra is, hogy a várakozás alatt, alig néhány nappal a támadás felfedezése után, három Equifax-vezető is túladott a birtokában lévő vállalati részvényeken, összesen mintegy 1,8 millió dollár értékben. Bár a hitelintézet szerint az elmúlt hetekben az alkalmazottakat sem tájékoztatták az incidensről, a szóban forgó három vezető gyors szabadulása részvényeiktől nem vet túl jó fényt a cégre. A botrány kirobbanásában egyébként az is közrejátszhatott, hogy a cég sokáig keresett megfelelő jelentkezőt az információbiztonsági igazgató pozíciójára, amelyet csak a közelmúltban sikerült betölteni.

De a ballépések ezzel nem érnek véget: az Equifax által létrehozott weboldal, amelyen az ügyfelek ellenőrizhetik, érintettek-e a támadásban, maga is biztonsági problémákba ütközik. Az equifaxsecurity2017.com webhely ugyanis amellett, hogy WordPress alapjainak köszönhetően nem ad nagyvállalati szintű védelmet a látogatóknak, a Krebs On Security szerint annak SSL tanúsítványaival sincs minden rendben, ezért például az OpenDNS blokkolta is a webhelyet, amelyet rosszindulatú, phishing weboldalnak bélyegzett. Az Equifax által létrehozott (ugyanakkor nem hozzá regisztrált domain alatt működő) oldalon egyébként az ügyfelek vezetéknevükkel és társadalombiztosítási számuk utolsó hat számjegyével ellenőrizhetik, hogy adataik biztonságban vannak-e - hasonló adatok bekérésénél nem csoda, hogy a kifogásolható védelmű weboldalnál felmerül a phishing-gyanú.

Az Equifax vezérigazgatója, Richard F. Smith videóüzenetben reagált az eseményekre, amelyben elnézést kért az intézet ügyfeleitől az eseményekért, illetve elmondta, a hiba felfedezését követően azonnal kapcsolatba léptek a hatóságokkal, illetve egy meg nem nevezett, független biztonsági céggel, az ügy felgöngyölítése érdekében. A hitelintézet az érintetteknek egy éves ingyenes személyazonosság lopás elleni védelmet, illetve hitelmonitoring szolgáltatást kínál fel, továbbá a fentebb tárgyalt weboldal mellett egy telefonos ügyfélszolgálatot is indít, amelyen keresztül a károsultak további információkhoz juthatnak.

Az eset a Krebs on Security szerint arra is rávilágít, hogy az Egyesült Államokban alaposan újra kell gondolni a jelenleg érvényes adatvédelmi szabványokat és szabályozásokat, nem csak önmagában a biztonsági rendszerek megerősítése végett, de azért is, hogy az Equifaxhoz hasonló intézetek ha nem feltétlenül szükséges, megpróbálják inkább elkerülni, hogy nagy mennyiségben gyűjtsenek be érzékeny ügyféladatokat, illetve hogy azokat egy központosított rendszerben tárolják. Mindezek mellett, egy egységesített értesítési szabványra is szükség van, amely kereteket - és kötelezettségeket - adna a cégeknek a hasonló biztonsági incidensek megfelelő időben történő bejelentésére.