Giovedì 7 settembre molti cittadini americani, 143 milioni per l’esattezza (quasi la metà della popolazione) hanno saputo che le proprie informazioni, nomi, data di nascita, indirizzi, e soprattutto i numeri segreti e personali di Social Security (che negli USA hanno enorme valore, potendo essere utilizzati per l’accesso al credito) erano stati rubati dai database di Equifax. “I criminali hanno sfruttato la vulnerabilità applicativa di un website negli USA per accedere ad alcuni file” ha detto la società.
Si tratta di un evento senza precedenti per la gravità e gli impatti che comporta. Nel caso del data breach di Yahoo si era raggiunto un numero superiore di dati (1 miliardo di record) ma si trattava di indirizzi di email. In questo caso invece i dati trafugati sono molto più importanti, mantengono il proprio valore e significato nel tempo, gli impatti negativi si osserveranno per anni.
Equifax è una società di credit rating: assegna un credit score quasi a ogni cittadino americano, un punteggio che serve a ottenere credito, ad affittare una casa, aprire un mutuo o accedere ad un finanziamento di qualsiasi tipo.
In aggiunta Equifax fornisce un servizio di Identity Theft Prevention, ossia segnala ai suoi clienti se qualcuno apre un conto bancario o accede ad altro credito per conto loro (un’attività questa che si sta rivelando utile, sarà offerta per verificare chi e come sta utilizzando i numeri trafugati).
Elemento molto grave, il data breach comunicato la settimana scorsa, è stato scoperto in realtà da Equifax a fine luglio. Sarebbe stato commesso tra maggio e luglio, come ha detto Rick Smith, Chairman e CEO di Equifax, nel video su YouTube in cui si è scusato con le persone e i clienti che stanno subendo il data breach, affermando di essere consapevole che sono state trafugate informazioni su cui la società avrebbe invece dovuto vigilare (trattandosi del proprio core business).
Rick Smith, Chairman and CEO of Equifax, on Cybersecurity Incident Involving Consumer Data
Ma perché far passare oltre un mese prima di renderlo noto? Bloomberg ha rivelato nei giorni scorsi che il CFO e altri 2 manager della società, pochi giorni dopo la scoperta avvenuta internamente all’azienda dei fatti, hanno venduto le loro azioni per 1,8 milioni di dollari. E venerdì scorso, dopo l’annuncio, il valore dell’azione è crollato del 14%, dopo che gli analisti avevano commentato il fatto come uno dei più gravi della storia.
Ad aggravare ulteriormente le cose, per un numero inferiore di persone (209.000) sarebbero stati rubati anche i numeri di carta di credito.
Cosa sta facendo ora Equifax per rimediare?
Le 209.000 persone che hanno subito anche la perdita dei numeri di carta di credito sono state notificate individualmente. Invece per tutti gli altri è stato aperto un portale web (https://www.equifaxsecurity2017.com/ ) in cui i singoli individui possono verificare se le proprie informazioni sono state perse. A chi ha subito il furto, Equifax offre servizi gratuiti per 1 anno di Identity Theft protection e credit monitoring.
Mentre si moltiplicano i consigli ai consumatori americani che potrebbero cadere vittima di truffe (come ad esempio richiedere i propri credit report o mettere degli alert a tutte le operazioni di credito, ben spiegato in “5 things to do right now if you’re worried about the Equifaxhack”) la società si sta muovendo in tutti i modi per scusarsi dell’incidente,
We recently discovered a cybersecurity incident involving consumer information. Once discovered, we acted immediately to stop the intrusion.
— Equifax Inc. (@Equifax) 7 settembre 2017
e soprattutto, a questo punto, per evitare Class Action, oltre che, come riporta ZDnet, ad effettuare le investigazioni di routine con l’aiuto di Mandiant.
A cura di:
Elena Vaciago, The Inovation Group