Ci risiamo: Experian responsabile di una violazione dei dati che colpisce 24 milioni

A quanto pare, non è sempre necessario violare la sicurezza di un'organizzazione per ottenere accesso non autorizzato a una vasta raccolta di informazioni. Experian, un ufficio multinazionale di segnalazione del credito, ha dimostrato che a volte, tutto ciò che devi fare è chiedere educatamente.

La scorsa settimana, la filiale sudafricana di Experian ha ammesso che una violazione dei dati aveva provocato la fuga di alcune informazioni dei consumatori. Si è subito fatto notare, tuttavia, che l'incidente non ha comportato alcun hacking. Invece, un truffatore ha impersonato uno dei clienti di Experian e un impiegato dell'ufficio di credito ha ceduto i dati volontariamente.

Se dovessimo classificare gli incidenti di sicurezza informatica in base all'imbarazzo che causano, questo andrebbe piuttosto vicino alla cima. Ti aspetteresti che la vittima alzi la mano, ammetta di aver commesso uno stupido errore e prometta di prendere misure per evitare incidenti simili in futuro. Tuttavia, sembra che Experian abbia altre idee per gestire una violazione dei dati.

Experian cerca di minimizzare il problema

Invece di parlare delle modifiche implementate per prevenire tali violazioni dei dati, la dichiarazione di Experian sottolinea il fatto che nessuna informazione finanziaria o creditizia è stata esposta. Secondo l'ufficio di credito, i dati che sono stati consegnati sono solitamente forniti "nel normale corso degli affari" e il truffatore che li ha presi intendeva utilizzarli per organizzare una campagna di marketing. Il suddetto truffatore è stato identificato, il loro "hardware" è stato sequestrato e i dati trapelati sono stati cancellati. Tutti i regolatori e le forze dell'ordine competenti sono stati informati e, sebbene l'indagine sia ancora in corso, non ci sono prove che i dati esposti siano stati utilizzati in modo improprio.

Infine, l'ufficio del credito ha esortato i consumatori a controllare gratuitamente i loro rapporti di credito su www.mycreditcheck.co.za e Ferdie Pieterse, CEO di Experian Africa, si è scusato per quello che ha definito "l'inconveniente".

È molto più di un inconveniente

Experian non è estraneo ai problemi di sicurezza dei dati. In quello che deve essere uno dei più grandi incidenti di sicurezza informatica del 2015, gli hacker hanno compromesso i server della filiale statunitense dell'ufficio di credito e hanno rubato i dati personali di ben 15 milioni di persone. Nel 2013, una delle sue controllate è stata coinvolta in un'indagine per furto di documenti d'identità che ha causato molte controversie. Questi due incidenti hanno lasciato molte lezioni da imparare, ma a giudicare dal modo in cui Experian sta gestendo la recente violazione dei dati, non ne ha tratto nulla.

Anche se hai deciso di ignorare il fatto che Experian ha permesso che uno dei suoi dipendenti fosse indotto con l'inganno a fornire molte informazioni personali, devi guardare al modo in cui l'ufficio sta rivelando il problema e vedrai che ce ne sono molti problemi con esso.

La dichiarazione afferma, ad esempio, che le informazioni trapelate sono disponibili pubblicamente o vengono regolarmente condivise anche con altre organizzazioni, ma non fa alcun tentativo di rivelare la natura precisa dei dati. Le persone non sanno quali dei loro dettagli personali sono stati esposti e non hanno modo di sapere di quale tipo di attacchi devono essere cauti. Neanche Experian ha detto quando è avvenuto l'incidente.

Peggio ancora, tuttavia, sebbene si sia scusato con le parti interessate, si è dimenticato di menzionare quante di loro ci sono là fuori. Per fortuna, il South African Banking Risk Center (SABRIC), coinvolto nell'indagine, è stato più generoso con i dettagli. Secondo esso, il truffatore ha messo le mani sulle informazioni di 24 milioni di sudafricani e di poco meno di 800mila entità aziendali.

SABRIC afferma che sta attualmente lavorando con banche ed Experian per identificare le persone colpite. Nel frattempo, si consiglia a tutti di diffidare di eventuali richieste di informazioni personali provenienti tramite e-mail, messaggi di testo o telefonate.

Forse ti starai chiedendo perché Experian non ha rivelato tutte queste informazioni nella sua dichiarazione. Sfortunatamente, la tua ipotesi è valida quanto la nostra.