Znowu zaczynamy: Experian odpowiedzialny za naruszenie danych, które dotyczy 24 milionów

Jak się okazuje, nie zawsze trzeba łamać zabezpieczenia organizacji, aby uzyskać nieautoryzowany dostęp do ogromnych zasobów informacji. Experian, międzynarodowe biuro informacji kredytowej, udowodniło, że czasami wystarczy uprzejmie zapytać.

W ubiegłym tygodniu południowoafrykański oddział Experian przyznał, że naruszenie danych spowodowało wyciek niektórych informacji konsumenckich. Szybko jednak wskazano, że incydent nie obejmował żadnego włamania. Zamiast tego oszust podszył się pod jednego z klientów Experian, a pracownik biura informacji kredytowej dobrowolnie ujawnił dane.

Gdybyśmy musieli uszeregować incydenty cyberbezpieczeństwa według wstydu, jaki powodują, ten przypadłby raczej na szczyt. Można się spodziewać, że ofiara podniesie rękę, przyzna, że popełniła głupi błąd i obiecała, że podejmie kroki w celu uniknięcia podobnych incydentów w przyszłości. Wygląda jednak na to, że Experian ma inne pomysły na rozwiązanie problemu naruszenia danych.

Experian próbuje bagatelizować problem

Zamiast mówić o zmianach wprowadzonych w celu zapobiegania takim naruszeniom danych, oświadczenie Experian podkreśla fakt, że żadne informacje kredytowe ani finansowe nie zostały ujawnione. Według biura informacji kredytowej przekazane dane są zwykle przekazywane w ramach „zwykłej działalności”, a oszust, który je wykorzystał, zamierzał wykorzystać je w celu zorganizowania kampanii marketingowej. Wspomniany oszust został zidentyfikowany, jego „sprzęt” został skonfiskowany, a wyciekające dane usunięte. Wszystkie odpowiednie organy regulacyjne i organy ścigania zostały poinformowane i chociaż dochodzenie nadal trwa, nie ma dowodów na niewłaściwe wykorzystanie ujawnionych danych.

Na koniec biuro informacji kredytowej wezwało konsumentów do bezpłatnego sprawdzania raportów kredytowych na stronie www.mycreditcheck.co.za, a Ferdie Pieterse, dyrektor generalny Experian Africa, przeprosił za to, co nazwał „niedogodnością”.

To znacznie więcej niż niedogodność

Experian nie jest obcy kwestiom bezpieczeństwa danych. W jednym z największych incydentów cyberbezpieczeństwa w 2015 roku hakerzy włamali się na serwery oddziału biura informacji kredytowej w USA i ukradli dane osobowe aż 15 milionów osób. W 2013 roku jedna z jej spółek zależnych została wciągnięta w śledztwo w sprawie kradzieży tożsamości, które wywołało wiele kontrowersji. Te dwa incydenty pozostawiły wiele do nauczenia, ale sądząc po sposobie, w jaki Experian radzi sobie z niedawnym naruszeniem danych, nic z nich nie wyciągnął.

Nawet jeśli zdecydowałeś się zignorować fakt, że Experian pozwolił jednemu ze swoich pracowników zostać oszukanym do ujawnienia wielu danych osobowych, musisz spojrzeć na sposób, w jaki biuro ujawnia ten problem, a zobaczysz, że jest ich wiele problemy z tym.

W oświadczeniu powiedziano na przykład, że informacje, które wyciekły, są albo publicznie dostępne, albo są również regularnie udostępniane innym organizacjom, ale nie podejmuje próby ujawnienia dokładnego charakteru danych. Ludzie nie wiedzą, które z ich danych osobowych zostały ujawnione, i nie mają możliwości dowiedzenia się, jakiego rodzaju ataków muszą się wystrzegać. Experian też nie powiedział, kiedy doszło do incydentu.

Co gorsza, chociaż przeprosił zainteresowane strony, zapomniał wspomnieć, ile ich tam jest. Na szczęście Południowoafrykańskie Centrum Ryzyka Bankowego (SABRIC), które jest zaangażowane w dochodzenie, było bardziej szczodre, jeśli chodzi o szczegóły. Według niego oszuści dotarli do 24 milionów mieszkańców RPA i prawie 800 tysięcy podmiotów gospodarczych.

SABRIC mówi, że obecnie współpracuje z bankami i Experian, aby zidentyfikować osoby dotknięte chorobą. W międzyczasie wszyscy powinni być podejrzliwi w stosunku do wszelkich próśb o dane osobowe przychodzących za pośrednictwem e-maili, wiadomości tekstowych lub połączeń telefonicznych.

Możesz się zastanawiać, dlaczego Experian nie ujawnił wszystkich tych informacji w swoim oświadczeniu. Niestety, Twoje przypuszczenia są równie dobre jak nasze.