Here We Go Again: Experian, der er ansvarlig for en databehandling, der påvirker 24 millioner

Som det viser sig, behøver du ikke altid at krænke en organisations sikkerhed for at få uautoriseret adgang til en lang række informationer. Experian, et multinationalt kreditrapporteringsbureau, beviste, at nogle gange alt hvad du skal gøre er at spørge høfligt.

I sidste uge indrømmede Experians sydafrikanske filial , at en dataovertrædelse havde ført til lækage af nogle forbrugeroplysninger. Det var dog hurtigt at påpege, at hændelsen ikke involverede nogen hacking. I stedet forlikte en svindler en af Experians kunder, og en medarbejder i kreditbureauet gav dataene villigt væk.

Hvis vi skulle rangere cybersikkerhedshændelser efter den forlegenhed, de forårsager, ville denne gå snarere nær toppen. Man kunne forvente, at offeret ville holde hånden op, indrømme, at det begik en fjollet fejl, og lovede at træffe foranstaltninger for at undgå lignende hændelser i fremtiden. Det ser ud til, at Experian har andre ideer til at håndtere en dataovertrædelse.

Experian forsøger at nedtone problemet

I stedet for at tale om de ændringer, der er gennemført for at forhindre sådanne dataovertrædelser, understreger Experians erklæring, at der ikke er udsat for nogen kredit- eller økonomiske oplysninger. Ifølge kreditbureauet leveres de data, der blev overdraget, normalt i "det almindelige forretningsforløb", og svindleren, der tog det, havde til hensigt at bruge dem til at organisere en marketingkampagne. Den nævnte svindler er identificeret, deres "hardware" er blevet beslaglagt, og de lækkede data er blevet slettet. Alle de relevante tilsynsmyndigheder og retshåndhævelsesbureauer er blevet underrettet, og selv om efterforskningen stadig pågår, er der ingen bevis for, at de eksponerede data bliver misbrugt.

Endelig opfordrede kreditbureauet forbrugerne til at tjekke deres kreditrapporter gratis på www.mycreditcheck.co.za, og Ferdie Pieterse, Experian Afrikas administrerende direktør, undskyldte det, han kaldte "ulejligheden."

Det er meget mere end en ulempe

Experian er ikke fremmed for datasikkerhedsspørgsmål. I det, der skal være en af 2015s største cybersikkerhedshændelser, kompromitterede hackere serverne i kreditbureauets amerikanske filial og stjal personlige detaljer for så mange som 15 millioner mennesker. I 2013 blev et af dets datterselskaber fanget i en ID-tyveriundersøgelse, der skabte en hel del kontrovers. Disse to hændelser efterlod mange erfaringer, men vurderet efter, hvordan Experian håndterer det nylige dataovertrædelse, har det ikke trukket noget fra dem.

Selv hvis du besluttede at ignorere det faktum, at Experian lod en af sine ansatte blive narret til at give bort en masse personlige oplysninger, er du nødt til at se på den måde, bureauet afslører problemet, og du vil se, at der er mange problemer med det.

Erklæringen siger for eksempel, at de informationer, der blev lækket, enten er offentligt tilgængelige eller deles også regelmæssigt med andre organisationer, men den gør ikke noget forsøg på at afsløre den nøjagtige karakter af dataene. Folk ved ikke, hvilke af deres personlige detaljer der blev udsat for, og de har ingen mulighed for at vide, hvilken slags angreb de har brug for at være på vagt. Experian sagde heller ikke, hvornår hændelsen skete.

Værre er det, selv om det undskyldte de berørte parter, glemte det at nævne, hvor mange af dem der er derude. Heldigvis var det sydafrikanske bankrisikocenter (SABRIC), der er involveret i efterforskningen, mere generøst med detaljerne. Ifølge det fik svindleren deres hænder på oplysningerne fra 24 millioner sydafrikanere og knap 800 tusinde forretningsenheder.

SABRIC siger, at det i øjeblikket arbejder med banker og Experian for at identificere de berørte personer. I mellemtiden rådes alle til at være mistænkelige over for anmodninger om personlig information, der kommer via e-mails, tekstbeskeder eller telefonopkald.

Du undrer dig måske over, hvorfor Experian ikke kunne afsløre alle disse oplysninger i sin erklæring. Desværre er dit gæt så godt som vores.