Equifax снова под ударом: прошлогодняя утечка данных оказалась куда серьезнее

    В прошлом году бюро Equifax сообщило о масштабной кибератаке, в результате которой были похищены персональные данные 140 млн жителей Соединенных Штатов. Хакеры получили доступ к именам, адресам, номерам социального страхования и кредитных карт.

    Однако на прошлой неделе стало известно, что нанесенный ущерб был большим, чем сообщалось ранее. Злоумышленникам также удалось украсть адреса электронной почты, ИНН и номера водительских удостоверений. О реакции экспертов и расследовании — далее.


    / Flickr / waferboard / CC

    Информация о краже других данных была получена из документа с результатами судебной экспертизы, переданного Банковскому комитету Сената США самой компанией Equifax. Это сообщение спровоцировало острую реакцию сообщества.

    Ознакомившись с документом, сенатор Элизабет Уоррен (Elizabeth Warren) теперь требует предоставить подробности по каждому типу данных, которые, по мнению Equifax, могли быть украдены. Причем ответ она хочет получить уже к концу этой недели.

    «Компания продолжает делать спорные заявления, скрывать информацию от Конгресса и публики, — говорит Уоррен. — Equifax должны рассказать, насколько серьезной была утечка на самом деле». Тем временем резиденты Hacker News уже сделали предположение, что взлом систем Equifax был тотальным, и скомпрометированными оказались абсолютно все хранимые персональные данные.

    Однако в ответ на обвинение представитель Equifax Мередит Гриффанти (Meredith Griffanti) отметила, что бюро не пыталось каким-либо образом запутать сообщество и в прошлом году раскрыло только ту информацию, которая затрагивала большую часть граждан. А в отчете для Комитета Equifax хотели описать всю ситуацию «максимально прозрачно».

    Гриффанти также рассказала, что скомпрометированные данные, о которых было решено умолчать, принадлежат лишь небольшой группе людей, а часть информации, например, номера паспортов, вообще не была украдена. В Equifax также добавили, что общее число граждан, которых затронула эта история, не изменилось.

    Расследование инцидента приостановлено


    Через несколько недель после объявления о масштабной утечке данных CEO Equifax Ричард Смит (Richard Smith) ушел со своего поста. Следом за ним из компании ушел глава отдела безопасности и начальник информационного отдела. Примерно в то же время Ричард Кордрей (Richard Cordray), глава Бюро по защите прав потребителей в финансовой сфере (Consumer Financial Protection Bureau, CFPB), инициировал расследование инцидента, чтобы установить причины произошедшего и найти виновников.

    Однако в ноябре прошлого года Ричард Кордрей покинул свою должность и на его место пришел Мик Малвейни (Mick Mulvaney) из администрации Дональда Трампа. И, как отмечают в Reuters, Малвейни приостановил расследование CFPB в отношении Equifax.

    Представитель бюджетного управления Белого дома Джон Чвартацки (John Czwartacki) рассказал, что CFPB имеет все инструменты и ресурсы для исследования вопроса с утечкой данных Equifax, но агентству недозволенно проводить открытое расследование.

    Сообщество отреагировало на подобную политику отрицательно. Компания Mozilla даже создала страничку для сбора подписей в поддержку петиции о возобновлении расследования CFPB. При этом группа сенаторов США направила руководству CFPB письмо с требованиями возобновить работу по делу и предоставить подробную информацию о следственных действиях: оформлении повесток в суд, опросе персонала Equifax и инспекциях «на месте».

    Представитель CFPB рассказал о том, что они получили это письмо. Он также отметил, что Бюро по защите прав потребителей ведет расследование, а заявления об обратном являются ложными. Поэтому как продолжат развиваться события пока не ясно.


    / Flickr / Nick Gray / CC

    Последствия с точки зрения законодательства


    Сейчас в Соединенных Штатах получить возмещение за расходы от банка или компании, по вине которых произошла утечка, можно в судебном порядке. Общественный резонанс, связанный громкими утечками персональных данных, подталкивает правительство к ужесточении ответственности для организаций на законодательном уровне.

    В январе этого года два сенатора США предложили законопроект, который позволит Федеральной торговой комиссии накладывать штрафные санкции на кредитные агентства, допустившие «слив». И если бы такой закон уже действовал, Equifax пришлось бы заплатить полтора миллиарда долларов. Такая сумма складывается из расчета 100 долларов за каждого гражданина, чьи персональные данные были украдены хакерами, а также 50 долларов за каждый тип украденных ПД – номер паспорта, адрес, ИНН и так далее.

    Что касается России, то в нашей стране масштабы штрафных санкций поскромнее, однако регулирование может последовать за примером Запада. Вскоре могут быть приняты новые меры защиты пользователей от последствий подобных взломов — по информации «Ведомостей» государство планирует заставить компании, работающие с персональными данными граждан, страховать риски утечки этих ПД.

    Как отмечают эксперты отрасли, подобная программа позволит выработать стандарты киберстрахования, применимые в российских реалиях. Минфин уже начал проработку инициативы. Решить, имеет ли смысл подобный закон, регулятор должен к июлю 2018 года.

    Материалы по теме из нашего блога:

    1cloud.ru 163,55
    IaaS, VPS, VDS, Частное и публичное облако, SSL
    Поделиться публикацией
    Комментарии 0

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое