Se qualcuno negli USA poteva ancora sperare che i propri dati personali e finanziari fossero ben custoditi, ora avrà invece la certezza che sono stati rubati: il sistema è da troppo tempo preso di mira dagli hacker! Per Equifax, che a inizio settembre aveva dichiarato un data breach di dimensioni colossali – il furto di dati personali come nomi, date di nascita, indirizzi e Social Security Number per 143 milioni di persone negli USA, oltre che per 100.000 canadesi e 400.000 inglesi – l’impatto dell’incidente informatico sembra diventare ogni giorno più disastroso.
Innanzi tutto il perimetro del data breach si sta sempre più ampliando via via che passa il tempo e procedono le attività investigative post incidente: a distanza di 1 mese, sono stati individuati altri 2,5 milioni di persone impattate dal data breach (portando il conto totale a 145,5 milioni di americani), mentre i clienti UK impattati sarebbero stati, si è saputo di recente, 694.000. Come riporta la BBC, in realtà sarebbero stati rubati anche 14 milioni di record riguardanti clienti UK, ma contenenti soltanto informazioni come nomi e date di nascita.
Equifax nel frattempo ha subito le dimissioni del CEO Richard Smith, che se ne è andato dichiarando: “Sono debitore nei confronti di oltre 10 mila dipendenti che hanno dedicato la loro vita per rendere l’azienda migliore. L’incidente che ha coinvolto milioni di consumatori mi interessa in prima persona e dunque sono convinto che, a questo punto, sia giusto lasciare la guida nelle mani di chi potrà guidarla verso il futuro”.
Inoltre si è saputo che la società USA di credit reporting sarebbe stata vittima di un incidente informatico già a marzo, 4 mesi prima di scoprire il data breach che è poi stato comunicato il 7 settembre.
Quali errori possono essere imputati a Equifax?
La posizione del management della società è aggravata dal fatto che le sono imputate molte inadempienze sul fronte della gestione della sicurezza.
A dimostrazione che la società è stata sotto attacco per un periodo prolungato di tempo, sono state individuate su un sito russo della darknet, in vendita, le password e userid di 2.000 account email di dipendenti. Come hanno rilevato diverse società di security, le password rubate, che erano quelle utilizzate dai dipendenti della società, erano di tipo molto semplice, facili da indovinare.
Sul fronte delle misure di sicurezza, nonostante il management di Equifax abbia più volte dichiarato di aver “fatto tutto il possibile”, sono emersi molti aspetti discutibili. Con l’avvio dell’investigazione sul data breach, per cui è stata chiamata Mandiant, si è scoperto l’attacco avrebbe sfruttato una vulnerabilità del software di web server Apache Struts per la quale però era stata rilasciata la patch a marzo.
Inoltre Equifax (che ha visto anche le dimissioni del CIO, David Webb, e del Security Officer, Susan Mauldin) è accusata di non aver gestito bene l’incidente, facendo passare troppo tempo (40 giorni!) prima della dovuta comunicazione ai clienti, che nel frattempo avrebbero potuto cadere vittima di frodi. Secondo il GDPR, il nuovo regolamento europeo sulla data protection, che sarà pienamente in vigore dal 25 maggio 2018, la notifica di data breach deve avvenire obbligatoriamente entro 72 ore, e già oggi gli operatori TLC hanno obblighi di notifica in caso di data breach entro le 24 ore.
Infine, nel periodo in cui la società si preparava ad affrontare l’incidente e a notificarlo ai suoi clienti, sarebbero avvenuti alcuni fatti molto gravi:
- A inizio agosto 3 dirigenti, tra cui il CFO John Gamble, hanno venduto 1,8 milioni di dollari di azioni in loro possesso (la società ha dichiarato che non erano a conoscenza del data breach, ma il Dipartimento di Giustizia USA ha aperto un’investigazione per chiarire i fatti)
- Il sito registrato il 22 agosto per informare dell’incidente (www.equifaxsecurity2017.com/) è stato ampiamente criticato per la scarsa professionalità e mancanza di sicurezza lui stesso. Inoltre avrebbe fornito il servizio di credit monitoring gratuito solo a chi avesse garantito di non partecipare ad azioni legali come class action contro la società – una condizione che dopo le critiche è stata tolta.
Quali saranno le conseguenze del data breach per Equifax e per tutti gli altri?
Oggi Equifax deve affrontare un numero spropositato di azioni legali, almeno 300, con class action da parte di consumatori che si appellano alle leggi americane sulla data privacy o legate al Fair Credit Reporting Act del 1970 (e anche da parte di stati e città, come Chicago e San Francisco, che si stanno muovendo in difesa dei propri cittadini), investigazioni da parte dell’US Federal Trade Commission e dell’FBI. Alcuni ipotizzano che in questo caso il rimborso che la società dovrà pagare a tutti i consumatori impattati arriverà a una spesa record superiore a 1 miliardo di dollari.
Subito dopo la notizia del data breach l’azione nel giro di una settimana ha perso il 30% del valore. Ma non si tratterà certamente dell’unica conseguenza negativa per la società: secondo il “2017 Cost of Data Breach Study” di Ponemon, bisogna considerare sia i costi diretti imputabili alle attività di detection, investigation, crisis management, sia quelli di notifica ai clienti (in questo caso anche i servizi di credit monitoring offerti gratuitamente), sia anche a tutti i costi indiretti come perdita di reputazione e di business.
Va poi considerato che un data breach di questa dimensione e gravità avrà effetti negativi molto ampi e concatenati tra loro, che non riguarderanno solo la società e i costi che dovrà affrontare nei prossimi anni, ma anche singoli consumatori, il sistema finanziario americano, il largo consumo.
Equifax, insieme a Transunion e Experian, è infatti una delle maggiori società USA di controllo del credito dei consumatori. Produce i credit report con tutte le informazioni e un credit score che aiuta chi deve decidere su un credito: la cosa assurda è che ora, chi ha subito il data breach, per verificare se ci sono frodi in corso con la sua identità dovrà controllare con frequenza il proprio credit report. Le informazioni che trattano queste società sono riservatissime, non è possibile che la sicurezza dei dati dei consumatori non sia vissuta internamente come una priorità assoluta.
Dal punto di vista di chi ha subito il data breach, i danni maggiori possono venire in futuro da frodi finanziarie basate sul furto di identità: in particolare, l’utilizzo del Social Security Number da parte di terzi può servire ad acquistare un mutuo, un automobile, ottenere credito al consumo, un rimborso sulle tasse, accedere a un lavoro. Una raccomandazione che in tanti danno in questo momento ai consumatori americani (illuminante in questo senso il sito della FTC IdentityTheft.gov) è di effettuare un “Credit Freeze” in modo da impedire l’accesso al proprio credit report e quindi impedire un facile accesso a linee di finanziamento da parte di esterni (una misura che comunque non basta a impedire frodi bancarie di altro tipo, come accesso al conto corrente bancario o utilizzo del numero di carta di credito). Nel caso in cui sia impostato il Credit Freeze, una persona può continuare a fare qualsiasi attività, deve solo tutte le volte togliere il Freeze (con un costo e un po’ di perdita di tempo) per permettere l’accesso al proprio credit report da parte dell’ente a cui si rivolge (banca o altro). Un’alternativa al Credit Freeze è quella dei Fraud Alert, un avviso per verificare l’identità della persona ogni volta che vengono utilizzate le sue credenziali. Come è stato reso noto, Equifax offrirà credit freezes gratuiti fino al 21 novembre 2017, e ha anche dichiarato che rifonderà chi ha speso per i credit freezes da settembre 7, quando è stato annunciato il data breach.
Anche il sistema bancario americano dovrà probabilmente subire i costi del data breach (motivo per cui la Summit Credit Union del Wisconsin, con base a Madison e 34 sedi nello stato, è la prima banca che ha deciso di intentare un’azione legale a Equifax). Inoltre è stato ipotizzato che l’accesso ai sistemi interni di Equifax potesse essere usato dagli hacker per colpire in un secondo momento le banche collegate: addirittura, come riportato in “Equifax Suffered a Hack Almost Five Months Earlier Than the Date It Disclosed”, una banca canadese avrebbe individuato, tra le informazioni rivenute sul dark web che fanno riferimento al data breach Equifax, anche username e password per un’application programming interface (API) utilizzata dalla banca canadese per collegarsi ai server di back end di Equifax.
Le cattive notizie purtroppo non sono finite. La buona notizia è che probabilmente questo evento servirà a favorire un cambiamento normativo negli USA, sulla linea di quanto sta avvenendo in EU con il nuovo regolamento per la Data Protection, che tra le varie cose, impone una risposta molto veloce in caso di data breach: entro le 72 ore.
A cura di:
Elena Vaciago, The Innovation Group