Hier gaan we weer: Experian verantwoordelijk voor een datalek dat 24 miljoen treft
Het blijkt dat u niet altijd de beveiliging van een organisatie hoeft te schenden om ongeautoriseerde toegang te krijgen tot een enorme hoeveelheid informatie. Experian, een multinationaal kredietrapportagebureau, heeft bewezen dat u het soms alleen beleefd hoeft te vragen.
Vorige week gaf de Zuid-Afrikaanse vestiging van Experian toe dat een datalek had geleid tot het lekken van consumenteninformatie. Al snel werd er echter op gewezen dat er bij het incident geen sprake was van hacking. In plaats daarvan deed een oplichter zich voor als een van de klanten van Experian, en een medewerker van het kredietbureau gaf de gegevens vrijwillig weg.
Als we cyberveiligheidsincidenten zouden moeten rangschikken aan de hand van de schaamte die ze veroorzaken, zou deze eerder in de buurt van de top komen. Je zou verwachten dat het slachtoffer zijn hand zou opsteken, toegeven dat het een dwaze fout heeft gemaakt en zou beloven maatregelen te nemen om soortgelijke incidenten in de toekomst te voorkomen. Het lijkt erop dat Experian andere ideeën heeft over het omgaan met een datalek.
Experian probeert het probleem te bagatelliseren
In plaats van te praten over de wijzigingen die zijn doorgevoerd om dergelijke datalekken te voorkomen, benadrukt de verklaring van Experian het feit dat er geen krediet- of financiële informatie is blootgesteld. Volgens het kredietbureau worden de overhandigde gegevens meestal verstrekt in "de normale gang van zaken", en de oplichter die de gegevens nam, was van plan deze te gebruiken om een marketingcampagne te organiseren. De genoemde oplichter is geïdentificeerd, hun "hardware" is in beslag genomen en de gelekte gegevens zijn verwijderd. Alle relevante toezichthouders en wetshandhavingsinstanties zijn op de hoogte gebracht, en hoewel het onderzoek nog loopt, is er geen bewijs dat de blootgestelde gegevens worden misbruikt.
Ten slotte drong het kredietbureau er bij consumenten op aan om hun kredietrapporten gratis te raadplegen op www.mycreditcheck.co.za, en Ferdie Pieterse, de CEO van Experian Africa, verontschuldigde zich voor wat hij 'het ongemak' noemde.
Het is veel meer dan een ongemak
Experian is geen onbekende in problemen met gegevensbeveiliging. In wat een van de grootste cyberbeveiligingsincidenten van 2015 moet zijn, hebben hackers de servers van de Amerikaanse tak van het kredietbureau gecompromitteerd en de persoonlijke gegevens van maar liefst 15 miljoen mensen gestolen. In 2013 raakte een van haar dochterondernemingen verwikkeld in een onderzoek naar identiteitsdiefstal dat voor veel controverse zorgde. Deze twee incidenten lieten veel lessen trekken, maar te oordelen naar de manier waarop Experian omgaat met het recente datalek, heeft het er niets uit getrokken.
Zelfs als u besluit het feit te negeren dat Experian heeft toegestaan dat een van zijn werknemers wordt misleid om veel persoonlijke informatie weg te geven, moet u kijken naar de manier waarop het bureau het probleem openbaar maakt, en u zult zien dat er veel zijn problemen ermee.
In de verklaring staat bijvoorbeeld wel dat de informatie die is gelekt publiekelijk beschikbaar is of ook regelmatig met andere organisaties wordt gedeeld, maar er wordt geen poging gedaan om de precieze aard van de data vrij te geven. Mensen weten niet welke van hun persoonlijke gegevens zijn blootgesteld, en ze kunnen niet weten voor wat voor soort aanvallen ze op hun hoede moeten zijn. Experian zei ook niet wanneer het incident plaatsvond.
Erger nog, hoewel het zijn excuses aanbood aan de betrokken partijen, vergat het te vermelden hoeveel van hen er zijn. Gelukkig was het South African Banking Risk Center (SABRIC), dat bij het onderzoek betrokken is, genereuzer met de details. Volgens het rapport heeft de fraudeur de informatie in handen gekregen van 24 miljoen Zuid-Afrikanen en iets minder dan 800 duizend zakelijke entiteiten.
SABRIC zegt dat het momenteel samenwerkt met banken en Experian om de getroffen individuen te identificeren. In de tussentijd wordt iedereen geadviseerd om achterdochtig te zijn bij verzoeken om persoonlijke informatie die via e-mails, sms-berichten of telefoontjes binnenkomen.
Je vraagt je misschien af waarom Experian niet al die informatie in zijn verklaring openbaar heeft gemaakt. Helaas is uw gok net zo goed als die van ons.