Nå skjer det igjen: Experian Ansvarlig for et datainnbrudd som påvirker 24 millioner

Som det viser seg, trenger du ikke alltid bryte en organisasjons sikkerhet for å få uautorisert tilgang til en enorm mengde informasjon. Experian, et multinasjonalt byrå for kredittrapportering, beviste at noen ganger alt du trenger å gjøre er å spørre høflig.

Forrige uke innrømmet Experians sør-afrikanske gren at et datainnbrudd hadde resultert i lekkasje av noe forbrukerinformasjon. Det var imidlertid raskt å påpeke at hendelsen ikke innebar noen hacking. I stedet etterlignet en svindler seg en av Experians kunder, og en ansatt i kredittkontoret ga bort dataene villig.

Hvis vi måtte rangere cybersikkerhetshendelser etter forlegenheten de forårsaker, ville denne gå ganske nær toppen. Du kan forvente at offeret vil holde hånden opp, innrømme at det gjorde en tullete feil, og lover å iverksette tiltak for å unngå lignende hendelser i fremtiden. Det ser ut som om Experian har andre ideer om å håndtere et datainnbrudd.

Experian prøver å bagatellisere problemet

I stedet for å snakke om endringene som er implementert for å forhindre slike brudd på data, understreker Experians uttalelse det faktum at ingen kreditt eller finansiell informasjon er blitt utsatt. I følge kredittbyrået er dataene som ble overlevert vanligvis gitt i "det ordinære forretningsforløpet", og svindleren som tok det, hadde til hensikt å bruke dem for å organisere en markedsføringskampanje. Den nevnte svindleren har blitt identifisert, deres "maskinvare" er blitt utslått, og de lekkede dataene er slettet. Alle relevante regulatorer og rettshåndhevingsbyråer er blitt informert, og selv om etterforskningen fortsatt pågår, er det ingen bevis for at de utsatte dataene er misbrukt.

Til slutt oppfordret kredittkontoret forbrukere til å sjekke kredittrapportene sine gratis på www.mycreditcheck.co.za, og Ferdie Pieterse, administrerende direktør i Experian Africa, ba om unnskyldning om det han omtalte som "uleiligheten."

Det er mye mer enn en ulempe

Experian er ikke fremmed for datasikkerhetsproblemer. I det som må være en av 2015s største cyber-sikkerhetshendelser kompromitterte hackere serverne til kredittbyråets amerikanske filial og stjal personopplysningene til så mange som 15 millioner mennesker. I 2013 ble et av datterselskapene fanget opp i en ID-tyveriforskning som forårsaket mye kontrovers. Disse to hendelsene ga mange leksjoner å lære, men å dømme etter hvordan Experian håndterer det nylige datainnbruddet, har det ikke trukket noe av dem.

Selv om du bestemte deg for å ignorere det faktum at Experian lot en av sine ansatte bli lurt til å gi bort mye personlig informasjon, må du se på hvordan byrået avslører problemet, og du vil se at det er mange problemer med det.

Uttalelsen sier for eksempel at informasjonen som ble lekket enten er offentlig tilgjengelig eller deles regelmessig også med andre organisasjoner, men den gjør ikke noe forsøk på å avsløre dataenes nøyaktige karakter. Folk vet ikke hvilke av personopplysningene deres som ble utsatt for, og de har ingen måte å vite hva slags angrep de trenger å være på vakt mot. Experian sa heller ikke når hendelsen skjedde.

Enda verre er det, selv om det ba de berørte parter om unnskyldning, glemte det å nevne hvor mange av dem som er der ute. Heldigvis var det sørafrikanske bankrisikosenteret (SABRIC), som er involvert i etterforskningen, mer sjenerøs med detaljene. I følge den fikk svindleren hendene på informasjonen til 24 millioner sør-afrikanere og i underkant av 800 tusen forretningsenheter.

SABRIC sier at det for tiden jobber med banker og Experian for å identifisere de berørte personene. I mellomtiden blir alle anbefalt å være mistenkelige når det gjelder forespørsler om personlig informasjon som kommer via e-post, tekstmeldinger eller telefonsamtaler.

Du lurer kanskje på hvorfor Experian ikke klarte å avsløre all den informasjonen i uttalelsen. Dessverre er gjetningen din like god som vår.