Úvěrovou kancelář Equifax postihl masivní únik dat

12. 9. 2017 v sekci Článek

Společnost Equifax, která působí ve Spojených státech, se zabývá odhady úvěrových rizik a funguje podobně jako registr dlužníků. Úvěrová kancelář Equifax samozřejmě zpracovává řadu citlivých údajů, z nichž se některé nyní ocitly v rukách kyberzločinců. Neznámí útočníci mají přístup k údajům o 143 milionech lidí, jde přitom o data narození, čísla sociálního pojištění, adresy a další. Vzhledem k množství a povaze uniklých údajů se o kauze Equifax mluví jako o jednom z nejzávažnějších úniků, přestože nejde zdaleka o největší incident tohoto druhu (vzpomeňme na Yahoo!).

Podle vyjádření společnosti útočníci využili zranitelnost ve webové aplikaci, přes kterou se dostali k souborům obsahujícím citlivá data o více než 40 % americké populace. Během úniku, který probíhal od poloviny května do července 2017, byly také kompromitovány informace o řidičských oprávněních, což postihlo zatím nespecifikovaný počet obětí a ven se dostaly také údaje o kreditních kartách.

Není to přitom poprvé, co se něco podobného stalo – v roce 2015 došlo k internímu úniku v úvěrové kanceláři Experian. Kompromitována byla jména, čísla sociálního zabezpečení, data narození a další informace zahrnující 15 milionů lidí, kteří žádali o financování T-Mobile USA.

Equifax neposkytl žádné vyjádření a o incidentu okamžitě neinformoval. Společnost uvedla, že oběti dostanou jako kompenzaci jeden rok bezplatného monitoringu úvěrů a nasměrovala své klienty na webovou stránku, na níž mohou zkontrolovat, zda byly jejich údaje kompromitovány a přihlásit se k monitorování. Společnost se také omluvila za způsobené komplikace a problémy. Podle informací Equifax zatím nic nenasvědčuje tomu, že by se útočníci dostali také do databáze spotřebitelských a obchodních úvěrových zpráv.

Nepříjemnosti ale čekají také samotný Equifax. Po přiznání úniku klesly ceny akcií firmy o 15 %. Na společnost se také pochopitelně snesla vlna kritiky. Nejzávažnější ohrožení představují hlavně krádeže identit. Údaje, které unikly, využívají na denní bází k ověření totožnosti všechny druhy institucí včetně bank, nemocnic, poskytovatelů mobilních služeb, pojišťoven a inženýrských sítí. Únik bude mít dopad také na mechanismus autentizace pomocí informací o úvěrech a půjčkách, který některé organizace v USA hojně využívaly.

Vzhledem k tomu, že se společnost Equifax podrobněji k úniku nevyjádřila, spekulují odborníci o tom, co se mohlo přesně stát. Mnoho z nich považuje únik za další názorný příklad selhání ze strany společnosti a za důsledek nedodržování správných standardů a postupů zabezpečení aplikací. Na problém zabezpečení webových aplikací upozorňují odborníci už několik let, stejně tak je na denním pořádku opakování, že společnosti, které shromažďují velké množství citlivých údajů, musí dodržovat přísná bezpečnostní opatření. A ne je začít řešit až s prvním závažných incidentem.

Zdroj: Darkreading