Här går vi igen: Experian Ansvarig för ett dataintrång som påverkar 24 miljoner

Som det visar sig, behöver du inte alltid bryta mot en organisations säkerhet för att få obehörig tillgång till en enorm mängd information. Experian, ett multinationellt kreditredovisningsbyrå, bevisade att ibland allt du behöver göra är att fråga artigt.

Förra veckan erkände Experians sydafrikanska filial att ett dataöverträdelse hade resulterat i läcka av viss konsumentinformation. Det var dock snabbt att påpeka att händelsen inte innebar någon hacking. I stället utbildade sig en bedrägeri en av Experians kunder, och en anställd i kreditbyrån gav bort informationen frivilligt.

Om vi var tvungna att rangordna cybersäkerhetshändelser till följd av förlägenhet som de orsakar, skulle denna gå ganska nära toppen. Du kan förvänta dig att offret skulle hålla handen upp, erkänna att det gjorde ett dumt misstag och lovar att vidta åtgärder för att undvika liknande incidenter i framtiden. Det ser dock ut som att Experian har andra idéer om att hantera ett dataintrång.

Experian försöker bagatellisera problemet

I stället för att prata om de ändringar som genomförts för att förhindra sådana dataöverträdelser betonar Experians uttalande det faktum att ingen kredit- eller finansiell information har blivit utsatt. Enligt kreditbyrån tillhandahålls uppgifterna som lämnades vanligtvis i "den vanliga affärsverksamheten", och bedrägeri som tog den avsåg att använda den för att organisera en marknadsföringskampanj. Nämnda bedrägeri har identifierats, deras "hårdvara" har beslagts och de läckta uppgifterna har raderats. Alla relevanta tillsynsmyndigheter och brottsbekämpande myndigheter har informerats, och även om utredningen fortfarande pågår finns det inga bevis för att de exponerade uppgifterna missbrukats.

Slutligen uppmanade kreditbyrån konsumenter att kontrollera sina kreditrapporter gratis på www.mycreditcheck.co.za, och Ferdie Pieterse, Experian Afrikas VD, ber om ursäkt för vad han hänvisade till som "besväret."

Det är mycket mer än en besvär

Experian är inte främling för datasäkerhetsproblem. I det som måste vara en av 2015: s största cybersäkerhetshändelser kompromitterade hackare servrarna i kreditbyråns amerikanska filial och stal personliga detaljer för så många som 15 miljoner människor. 2013 fångades ett av dess dotterbolag in i en ID-stöldundersökning som orsakade mycket kontrovers. Dessa två incidenter lämnade många lärdomar att lära sig, men att bedöma hur Experian hanterar det senaste databrottet har inte dragit något från dem.

Även om du bestämde dig för att ignorera det faktum att Experian tillät en av sina anställda att luras att ge bort mycket personlig information, måste du titta på hur byrån avslöjar frågan, och du kommer att se att det finns många problem med det.

Uttalandet säger till exempel att informationen som läckte antingen är tillgänglig för allmänheten eller delas också regelbundet med andra organisationer, men den gör inget försök att avslöja informationens exakta karaktär. Folk vet inte vilka av deras personliga uppgifter som blivit utsatta, och de har inget sätt att veta vilken typ av attacker de behöver vara försiktiga med. Experian sa inte heller när händelsen inträffade.

Ännu värre är det, även om det ber om ursäkt för de berörda parterna, glömde det att nämna hur många av dem som finns där ute. Tack och lov var South African Banking Risk Center (SABRIC), som är inblandad i utredningen, mer generös med detaljerna. Enligt det fick bedrägeri sina uppgifter om informationen till 24 miljoner sydafrikaner och knappt 800 tusen affärsenheter.

SABRIC säger att det för närvarande arbetar med banker och Experian för att identifiera de drabbade individerna. Under tiden rekommenderas alla att vara misstänksamma för alla begäranden om personlig information som kommer via e-post, textmeddelanden eller telefonsamtal.

Du undrar kanske varför Experian misslyckades med att avslöja all den informationen i sitt uttalande. Tyvärr är din gissning lika bra som vår.