660 ezer dollárra büntetik a britek az Equifaxot

Az elérhető legmagasabb adatvédelmi bírságot, 660 ezer dollárnak megfelelő fontot szab ki a brit adatvédelmi hatóság (ICO) az Equifax hitelbíráló intézetre a tavalyi súlyos adatszivárgás miatt - értesítette erről a vállalatot. Bár a biztonsági probléma elsősorban az amerikai felhasználókat érintette, de a közel 150 millió amerikai ügyfél adatai mellett a támadók 15 millió brit ügyfél érzékeny adatát is megszerezték. A hatalmas biztonsági rést az Apache Struts sebezhetősége okozta, mivel a vállalat elmulasztotta a biztonsági frissítés telepítését, amelynek hiányára ráadásul a céget néhány hónappal előtte kifejezetten figyelmeztette is az amerikai hatóság.

Részleteiben, az Equifax tavaly márciusban kapott értesítést a nem biztonságos rendszere miatt, amely ellen a májusi támadásig láthatóan semmit nem tett. Ezt követően a vállalat telepített egy eszközt a "gyanús hálózati tevékenységek" vizsgálata érdekében, viszont eközben az informatikai részleg hónapokig nem újította meg a digitális tanúsítványt az eszközein. Így a titkosított kapcsolatokat a csapat nem is ellenőrizte, ezáltal pedig a támadók figyelmeztetés nélkül meg tudták csapolni az adatokat. Végül az adminisztrátorok a tanúsítvány megújításakor, azaz tavaly július végén szereztek tudomást az amerikai részleget érő adatszivárgásról, de csak augusztus végén tudták megállapítani a belső teszteket követően, hogy a brit részleget is támadás érte. Az anyacég szeptember 7-én értesítette a brit leánycéget, amely másnap jelentést is tett a helyi adatvédelmi hatóságnak a problémáról - foglalja össze a The Register.

Könnyű dolga volt a támadóknak

Az ICO megállapítása szerint az Equifax brit leánycége mulasztást követett el, hogy "nem tett megfelelő lépéseket" az amerikai rendszeren keresztül a brit ügyfelek védelme érdelében. Először a cég ráadásul csak 400 ezer brit érintett adatainak kiszivárgását jelentette a hatóság felé, majd 700 ezerre emelte a számot. A cég közlése szerint a további 14,5 millió ügyfél nem volt veszélyben az adatszivárgás miatt.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

Végül a brit adatvédelmi hatóság megállapítás szerint három kategóriába sorolható a megszerzett több mint 15 millió brit ügyféladat. Ezek közül 20 ezer felhasználó esetében szerepelt a rekordok között név, születési dátum, telefonszám és jogosítványszám is együttesen. További 637 ezer rekord csak nevet, születés adatot és telefonszámot tartalmazott a felsoroltak közül. Több millió felhasználónál pedig "csak" a nevet és születési dátumot tartalmazó rekord szivárgott ki.

Emellett viszont 27 ezer brit ügyfél email címét is megszerezték a támadók, de ami a legsúlyosabb, 15 ezer esetben a felhasználónévvel, plaintextben tárolt jelszavával, a "titkos" kérdéssel és válasszal, valamint a hitelkártya számokkal és a kiadások teljes listájával együtt. Mindennek tetejébe az összes adatot tartalmazó 15 ezres listához a támadók egészen egyszerűen és egyben férhettek hozzá. Azt ugyanis a rendszergazdák és az informatikai részleg egy egymással megosztott dokumentumban tárolta, amelyet a vállalat csalásfelderítő csapata napi összeállításban kapott meg a hitelkártyacsalások felderítéséhez.

Érthető módon, az ICO a legmagasabb bírságot szabta ki az ügyben érintettek száma, a veszélyben lévő adatok típusa, valamint a belső ellenőrzés hiánya és a törvény megszegése miatt. A legmagasabb adatvédelmi bírság viszont az Egyesült Királyságban az incidenskor érvényben lévő 1998-as adatvédelmi törvény szerint maximum 500 ezer font, amely 662 ezer dollárnak felel meg. Úgyhogy a hivatal ennyit akar beszedni a hitelbírálótól, akárcsak például a Cambridge Analytica botrány miatt a Facebooktól. Mindkét esetben igaz, hogy a büntetés kevesebbnek tűnik a vétség arányánál, hiszen a GDPR-nak megfelelően az összeg akár a világpiaci forgalom 4 százalékának megfelelő összeg is lehetne - miközben 2017-ben 4,3 milliárd dollár volt a cég bevétele. A szabályozás azonban nem alkalmazható visszafelé, így az akkor érvényes büntetési tételt lehet kiszabni.

Az Equifax szóvivője hozzátette, hogy a cég csalódott a büntetés miatt, hiszen ahogy az ICO is megállapította, végül széles körű intézkedéseket tett a hasonló bűncselekmények megakadályozása érdekében. A brit hatóság álláspontja szerint viszont ez már a történteken nem fog segíteni. Ezzel párhuzamosan az amerikai Szövetségi Kereskedelmi Bizottság (FTC) is vizsgálatot végez az ügyben, de egyelőre nincs róla tudomásunk, hogy az Egyesült Államok is kiszabott volna már büntetést az Equifaxra a tavalyi biztonsági botrány miatt.