И снова: Experian несет ответственность за утечку данных, затронувшую 24 миллиона человек

Оказывается, не всегда нужно взламывать систему безопасности организации, чтобы получить несанкционированный доступ к огромному количеству информации. Experian, международное бюро кредитной информации, доказало, что иногда все, что вам нужно сделать, - это вежливо попросить.

На прошлой неделе южноафриканский филиал Experian признал, что утечка данных привела к утечке некоторой информации о потребителях. Однако сразу же стало понятно, что инцидент не связан с взломом. Вместо этого мошенник выдал себя за одного из клиентов Experian, а сотрудник кредитного бюро охотно раздал данные.

Если бы нам пришлось ранжировать инциденты, связанные с кибербезопасностью, по степени смущения, которую они вызывают, этот был бы скорее одним из первых. Можно было ожидать, что жертва поднимет руку, признает, что допустила глупую ошибку, и пообещает принять меры, чтобы избежать подобных инцидентов в будущем. Однако похоже, что у Experian есть другие идеи по устранению утечки данных.

Experian пытается преуменьшить значение проблемы

Вместо того, чтобы говорить об изменениях, внесенных для предотвращения таких утечек данных, в заявлении Experian подчеркивается тот факт, что кредитная или финансовая информация не была раскрыта. По данным кредитного бюро, переданные данные обычно предоставляются «в ходе обычной деятельности», и взявший их мошенник намеревался использовать их для организации маркетинговой кампании. Указанный мошенник был идентифицирован, его «оборудование» конфисковано, а утекшие данные были удалены. Все соответствующие регулирующие органы и правоохранительные органы были проинформированы, и, хотя расследование все еще продолжается, нет никаких доказательств неправомерного использования раскрытых данных.

Наконец, кредитное бюро призвало потребителей бесплатно проверять свои кредитные отчеты на сайте www.mycreditcheck.co.za, а Ферди Питерс, генеральный директор Experian Africa, извинился за то, что он назвал «неудобствами».

Это намного больше, чем неудобство

Experian не новичок в вопросах безопасности данных. В ходе того, что должно было стать одним из крупнейших инцидентов в области кибербезопасности 2015 года, хакеры взломали серверы отделения кредитного бюро в США и украли личные данные 15 миллионов человек. В 2013 году одна из его дочерних компаний была вовлечена в расследование кражи личных данных, которое вызвало много споров. Эти два инцидента оставили много уроков, но, судя по тому, как Experian справляется с недавней утечкой данных, ничего из них не извлек.

Даже если вы решили проигнорировать тот факт, что Experian позволила обманом обмануть одного из своих сотрудников, чтобы он выдал много личной информации, вы должны посмотреть на то, как бюро раскрывает проблему, и вы увидите, что существует множество проблемы с этим.

В заявлении действительно говорится, например, что информация, которая была просочена, либо общедоступна, либо регулярно передается другим организациям, но не предпринимается попыток раскрыть точный характер данных. Люди не знают, какие из их личных данных были раскрыты, и у них нет возможности узнать, каких атак им следует опасаться. Experian также не сказал, когда произошел инцидент.

Что еще хуже, хотя он извинился перед пострадавшими сторонами, он забыл упомянуть, сколько их там. К счастью, Южноафриканский центр банковских рисков (SABRIC), участвующий в расследовании, предоставил более подробную информацию. По его данным, в руки мошенника попала информация о 24 миллионах южноафриканцев и чуть менее 800 тысячах субъектов хозяйствования.

SABRIC заявляет, что в настоящее время работает с банками и Experian для выявления пострадавших. В то же время всем рекомендуется с подозрением относиться к любым запросам о предоставлении личной информации, поступающим по электронной почте, текстовым сообщениям или телефонным звонкам.

Вам может быть интересно, почему Experian не раскрыла всю эту информацию в своем заявлении. К сожалению, ваше предположение так же хорошо, как и наше.