Equifax (EFX  ), jeden z największych amerykańskich koncernów zajmujących się analizą kredytową, padł ofiarą cyberataku. Hakerzy zyskali dostęp do danych osobowych 143 milionów mieszkańców USA. Spółka z siedzibą w Atlancie posiada informacje o ponad 820 milionach klientów indywidualnych i 91 milionach firm na całym świecie. W rękach przestępców znalazły się nazwiska oraz numery ubezpieczeń społecznych i praw jazdy. Oznacza to, że niemal połowa Amerykanów narażona jest na szantaż i phishing.

W Equifax doszło do jednego z największych wycieków danych w historii. Wcześniej podobne problemy miała między innymi firma Yahoo - w 2013 i 2014 r. hakerzy przejęli informacje dotyczące ponad miliarda użytkowników. Mimo ogromnej skali ataku niebezpieczeństwo było jednak mniejsze, gdyż przestępcy nie mieli dostępu do danych umożliwiających identyfikację klienta. Avivah Litan, analityk ds. bezpieczeństwa, skomentowała wiadomość o włamaniu do baz danych Equifax następująco: "W skali od 1 do 10 zagrożenie kradzieżą tożsamości oceniam na 10". Hakerzy zdobyli numery kart kredytowych 209 tysięcy osób. Ponadto 182 tysiące klientów Equifax zgłosiły błędy w przygotowanych przez firmę raportach. Spółka twierdzi, że dane, które stanowią podstawę do oceny wiarygodności finansowej, nie zostały wykradzione. Z usług analizy kredytowej korzystają między innymi pożyczkodawcy oraz pracodawcy.

© Washington Post / Youtube.com

Z doniesień wynika, że hakerzy wykorzystali lukę w zabezpieczeniach aplikacji Equifax. Atak został wykryty 29 lipca, lecz firma postanowiła podać tę informację do wiadomości publicznej dopiero po zakończeniu dochodzenia. Powstała specjalna strona internetowa, na której klienci mogą sprawdzić, czy ich dane wpadły w ręce przestępców. Equifax zalecił też bezpośredni kontakt z organami ścigania w przypadku podejrzenia kradzieży tożsamości lub szantażu. Ponadto wskazane jest zablokowanie konta na stronie internetowej firmy. Uniemożliwi to przestępcom zaciągnięcie pożyczki lub kredytu hipotecznego z wykorzystaniem skradzionych danych. Klienci, którzy są zarejestrowani w systemach Experian (LON: EXPN) bądź TransUnion (TRU  ), powinni zastrzec również te konta, gdyż wszystkie firmy zajmujące się analizą kredytową zbierają te same informacje. Łatwo zatem wywnioskować, że incydent w Equifax wpłynął negatywnie także na konkurentów. W czwartek 7 sierpnia cena akcji Experian spadła o 0,53%, zaś TransUnion straciło 4,35%.

© Stephen McKay / http://www.geograph.org.uk

Kilka dni po wykryciu cyberataku trzech dyrektorów zarządzających Equifax - dyrektor finansowy John Gamble, dyrektor ds. rekrutacji Rodolfo Ploder oraz dyrektor ds. rozwiązań informatycznych Joseph Loughran - sprzedało swoje akcje o łącznej wartości 1,8 mln dolarów. Equifax twierdzi, że w momencie transakcji nie wiedzieli oni o włamaniu do baz danych. Po ujawnieniu informacji cena akcji spółki spadła o 13% do 124,10 dolara. Zdaniem Raya Rothrocka, prezesa firmy RedSeal, która zajmuje się oceną poziomu cyberbezpieczeństwa w przedsiębiorstwach, Equifax będzie się odbudowywać przez wiele miesięcy, a nawet lat.

Kradzież danych osobowych milionów obywateli stanowi zagrożenie dla bezpieczeństwa i gospodarki całego kraju. Hakerzy z reguły przechowują pozyskane informacje w bazach dostępnych dla wrogich państw, które mogą je wykorzystać do zaplanowania ataku. Często rząd musi zapłacić za odzyskanie skradzionych danych z tzw. ukrytej sieci.

Przeciwko firmie Equifax zostały już złożone dwa pozwy zbiorowe w związku z podejrzeniem zaniedbań w kwestii ochrony danych osobowych. Incydenty tego typu zawsze godzą w reputację przedsiębiorstwa, lecz dla instytucji zajmującej się oceną wiarygodności klientów jest to szczególnie duży cios.