×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Twee kopstukken van gehackte Amerikaanse kredietbeoordelaar stappen op

Door , 69 reacties

Twee kopstukken van Equifax, het bedrijf waarvan vorige week bekend werd dat de persoonsgegevens van maximaal 143 miljoen mensen is buitgemaakt door hackers, stappen per direct op. Het gaat om de chief security officer en de chief information officer.

De twee functies worden in de tussentijd opgevuld door interimfunctionarissen, schrijft Reuters. Het bedrijf maakt ook bekend dat Mandiant, een dochter van securitybedrijf FireEye, op 2 augustus in de arm is genomen om de zaak te onderzoeken. Enkele dagen eerder, op 29 juli, werd het verdachte netwerkverkeer voor het eerst waargenomen. Bij de inbraak zijn onder andere de creditcardgegevens en social security numbers, de Amerikaanse versie van het BSN, buitgemaakt. Bij de 143 miljoen sets persoonsgegevens zou ook de info van 400.000 Britten zitten.

De data in de database is lang niet alle data die het bedrijf in handen heeft. Equifax beheert data van rond zeshonderd miljoen mensen wereldwijd, terwijl het hier gaat om gegevens van maximaal 143 miljoen mensen. Daarbij gaat het vooral om inwoners van de Verenigde Staten. Van meer dan 200.000 mensen hebben de hackers creditcardgegevens ingezien, van nog eens 189.000 gaat het om andere documenten.

Een groep Amerikaanse senatoren heeft een wetsvoorstel ingediend om het mogelijk te maken voor consumenten om hun krediet te laten bevriezen zonder dat dat wat kost. Dit zou misbruik van de gestolen gegevens onmogelijk maken. Intussen neemt de steun voor een class-action lawsuit met de dag toe.

Enkele dagen nadat het verdachte netwerkverkeer ontdekt werd, maar nog voordat dit wereldkundig gemaakt was, hebben drie kopstukken van het bedrijf in totaal bijna twee miljoen dollar aan Equifax-aandelen verkocht. Dat was gemiddeld 8,5 procent van hun aandelen. Een woordvoerster van het bedrijf zegt dat de drie op dat moment geen kennis van de inbraken hadden.

Door Mark Hendrikman

Freelancer

17-09-2017 • 11:33

69 Linkedin Google+

Reacties (69)

Wijzig sortering
Equifax zit behoorlijk in de problemen inderdaad:

De FTC heeft aangekondigd dat ze een onderzoek gaan starten naar de gang van zaken rondom het datalek. Het OM van de staten New York, Illinois, Massachusetts, Connecticut en Pennsylvania starten hun eigen onderzoeken naar het datalek.

In de VS alleen zijn 24 class action zaken aangebracht bij de federale rechtbanken tegen Equifax. Interessant is dat daarbij mogelijk nog heel veel small claims court zaken bij kunnen komen dankzij de inzet van een juridische chatbot door eindgebruikers van Equifax. Elk van die zaken kan een schadevergoedingsplicht tussen 2.500 en 25.000 dollar opleveren.

Het lijkt erop dat in Canada de financiële data en identiteitsgegevens van 10.000 leden van Canada Automobile Association (de Canadese ANWB) op straat zijn beland door de hack.

En tenslotte mag Equifax zich verheugen op twee afzonderlijke Congressional hearrings over het ontstaan van het datalek en de aanpak ervan.

[Reactie gewijzigd door arnovos op 17 september 2017 13:19]

"om het mogelijk te maken voor consumenten om hun krediet te laten bevriezen zonder dat dat wat kost."

want zonder die wet kan je krediet (of je kredietwaardigheid?) omlaag door deze hack?

Kan iemand dat uitleggen? Is het een soort BKR?
Kan iemand dat uitleggen? Is het een soort BKR?
Het is een soort omgekeerde BKR. De opzet van de BKR is voorkomen dat iemand teveel geld leent op verschillende plekken, en dat zou je kunnen zien als consumentbescherming. De opzet van de Amerikaanse Credit Rating Agencies is om bedrijven te beschermen tegen consumenten die teveel willen lenen.

Een van de voornaamste problemen nu voor de slachtoffers is dat de boef fraude pleegt met een van je creditcards, daardoor je credit rating naar beneden gaat en je alleen nog maar tegen hoge rente geld kunt lenen. Goedkope creditcards in Amerika hebben een rente die per dag aangepast kan worden. Prima als je een goede creditrating hebt, maar als iemand een paar tientjes met een andere creditcard van je fraudeert kan het zijn dat de rente op je kaarten van de ene op de andere dag van 6% APR naar 36% APR gaat. En dat kan honderden dollars extra per maand kosten.

Dat is ook waar het voorgestelde bevriezen van creditratings over gaat: bescherming tegen de gevolgen van fraude met de gestolen gegevens.
In principe kan iedereen nu even ter voorbeeld, onder jouw SSN, een lening of een creditcard afsluiten door de Equifax hack (je gegevens ligt immers allemaal op straat). Voordat deze lening wordt afgesloten, kijkt de bank of het bedrijf naar de kredietwaardigheid van een persoon en of de krediet bevroren staat.

Het nadeel van bevroren krediet is dat je zelf ook niets meer kan doen: bijna alles wat te maken heeft met toekomstig betaalverkeer in de US wordt voor jou dan stopgezet (zie: internet thuis, mobiel internet, leningen, creditcards, auto, verzekeringen e.d.). Voordeel hiervan is dus wel dat niemand onder jouw naam iets kan kopen of 'lenen'

Philip DeFranco heeft een goed segment hierover gemaakt, ik raad je aan om deze te kijken als je geïnteresseerd bent: https://youtu.be/aS6z0bEpVpM?t=3m2s
Met enkel een SSN nummer als bewijs voor de persoon zou de kredietverlener aanspreekbaar horen te zijn bij persoonsverwisseling niet de kredietnemer. Het is in VS de doorgeschoten macht van het geld.
Dat is het risico niet.

Stel ik steel jouw gegevens en leen daarmee geldt, dat zal dan heel snel een probleem zijn voor de bank en voor mij maar niet voor jou voor die lening. Het gebeurt relatief zelden dat jij aansprakelijk kan worden gesteld voor de lening.

Maar jij hebt wel een credit card met een lage rente (voor credit cards dan) omdat jij betrouwbaar bent alleen mijn fraude maakt dat het lijkt dat jij onbetrouwbaar bent en de rente op je credit card schiet omhoog.

En jaren later wil jij een hypotheek afsluiten en iedereen weigert je.

Het is een klein beetje alsof ik een telefoon koop in Nederland op jou naam en jij wil een telefoon kopen en BKR zegt "mag niet, je hebt al een lening uitstaan".

Jij hoeft niet voor mijn telefoon te betalen maar de BKR registratie schaadt jou toch.

Credit Ratings in America zijn niet hetzelfde maar het is de schade aan jou credit rating die hier het issue is. De rating is enorm belangrijk voor al je financiele transacties. Beetje alsof je in Nederland op allerlei zwarte lijsten zou staan.

De US heeft ook minder beschermingen en hoewel de VVD hard werkt om dit ook hier af te breken zul je in Nederland niet opeens zonder bank komen te zitten.
Niet helemaal mee eens, iets te simpel verwoord. Een credit rating is een afspiegeling van jouw betaal- & leengedrag. Wanneer jij altijd keurig op tijd betaald en relatief weinig leningen hebt, levert dat een mooie credit rating op. Doe je dat niet of heb je veel leningen, gaat de rating omlaag.

Wanneer iemand er met jouw identiteit vandoor gaat, kan dit (uiteraard) ook gevolgen hebben voor jouw rating. Maar dat is in Nederland echt niet anders, alleen is er geen rating, alleen een lijstje: sfc1971 betaalt zijn leningen niet terug, 2017-09-17.

Veel (gruwel-) verhalen over credit ratings komen van mensen met tientallen credit cards die het ene gat met het andere gat proberen te dichten, zonder het echte probleem aan te pakken: Hun betaal- & leengedrag.

Het is wel zaak om fraude met cc's snel te melden en je rating in de gaten te houden om te voorkomen dat fraude impact heeft op jouw eigen rating. Iedere maand afschrift controleren is voldoende. En bijna iedereen in de VS heeft al wel eens te maken gehad met fraude via zijn cc, dat is helaas de normaalste zaak van de wereld. Hopelijk gaat EMV het probleem wat kleiner maken.
Je spreekt je zelf tegen. De fraude voor een andermans telefoon huur of wat dan ook zou ik niet hoeven te betalen. Wel eerst alle onderzoeken en incassobureau's op je dak zonder dd schadevergoeding daarvoor.

De zaak kevin goes was duidelijk. Het slachtoffer moest maar dokken ook al was de fraude duidelijk.
Bzk zit met hun meldpunt identiteitsfraude op de zelfde lijn. Het slachtoffer zal vast ergens wat gegevens hebben laten slingeren dat is het probleem waarna ze verwijzen.
Als ze (bzk) nu eens de gedegen persoonscontrole mogelijk zouden maken ....
Equifax biedt inderdaad BKR-achtige diensten. Als je ergens een lening (dus ook kopen op afbetaling of creditcard) aangaat dan wordt je krediet beoordeeld. Omdat de VS nogal fan is van de private sector zijn er bedrijven die dat doen. Een daarvan is Equifax en heeft dus alle gegevens om een lening mee aan te gaan en achtergrond informatie over je. Die gegevens zijn nu gelekt en is het dus heel makkelijk om een identiteit van iemand te stelen om daarmee leningen aan te vragen. Die worden vervolgens niet terugbetaald en dat komt dan op jouw kredietwaardigheid terug. Ook kunnen er deurwaarders bij je langskomen om de schulden te innen. Vaak duurt het jaren en veel tijd en moeite om dit soort dingen op te lossen.
Het is goed nieuws dat voormalig Chief Security Officer Susan Mauldin is opgestapt. Ze heeft geen enkele concrete IT ervaring en was opgeleid tot componist. Helaas is de LinkedIn pagina nu privé verwijderd (mirror), maar het is belachelijk dat een persoon zonder enige kwalificaties of concrete ervaring een dusdanig belangrijke functie heeft kunnen bekleden.

http://www.marketwatch.co...curity-officer-2017-09-15

[Reactie gewijzigd door Soru op 17 september 2017 11:48]

Ze heeft geen enkele concrete IT ervaring
Ze heeft 10 jaar in vergelijkbare functies voor IT-bedrijven gewerkt, al kan ik niet meer zien in precies welke functies, en ze zat bij Equifax al vier jaar op dezelfde stoel. Dat is veertien jaar relevante ervaring. Ook is niet meer te zien wat ze aan cursussen gedaan heeft. Google zegt dat ze bij First Data Corporation Senior Vice President en Chief Security Officer was, dus ze doet dit in ieder geval al meer dan een paar jaar.

We hebben het wel over een industrie waar je 'senior' genoemd wordt als je drie jaar werkervaring hebt.

Dit soort Senior-posities gaan niet over technische kennis maar over het inhuren en vasthouden van de juiste personen en het vormen en uitvoeren van beleid. Ik doe ook iets met security, en op mijn diploma staat loodzetter en hoogdrukker.
Ze is cum laude afgestudeerd als MFA: Master in Fine Art's.
Dat is een keurig resultaat, maar Fine Arts kennis of CTO over 600.000.000 klantgegevens is ff andere koek.
Daarnaast heeft zo ook BA gedaan, ook Cum Laude, maar niet echt IT gerelateerd.
The Bachelor of Arts degree with a major in Music is designed to allow students to study music without the focus of a particular professional major (e.g., Performance, Theory, Music Education). The program is structured to provide a strong emphasis in applied music, theory, and music literature with a broad block of individually determined music credit hours. Due to this flexibility in the degree plan, an A.B. in Music is an excellent candidate for students wanting to pursue a double major or dual degree from UGA. Additionally, admitted students have multiple performance opportunities, including solo recitals and participation in both large and small ensembles. A matriculation plan is available at http://www.music.uga.edu/bachelor-arts-music.
Tuurlijk weet je met iemand met zo'n titel (Cum Laude) dat ze met enige extra training het sneller oppakken dan de gemiddelde MBO-er, maar ik had liever een echte IT-er die met avond school en MBA (Business Administration) die rol willen zien doen. Net ff wat meer relevante ervaring..

[Reactie gewijzigd door weeraanmelden op 17 september 2017 17:30]

Ik ben het met je eens dat het gehalte fundamentele IT opgeleide IT'ers bedroevend laag is, maar ik ben er wel een en heb precies 1 vak (3 punten = 120 uur) security gehad. De rest is voornamelijk wiskunde, fundamentele informatica en aanverwante vakken. Relevantie voor een security officer hiervan is nihil (leuk dat je weet dat iets in orde O(n) loopt, maar dat helpt je niet). Een security officer moet zwaar leunen op alle disciplines in het bedrijf: security kan heel eenvoudig supergoed gemaakt worden door alle netwerk kabels eruit te trekken (de harde IT security kant) maar dan staat de business stil (dus nee, dat wordt het niet). In het geval equifax is het proces tussen een signaal van een lek (in dit geval struts) en de implementatie in de organisatie (de patch rollout) het probleem. Dat is geen IT probleem. Dat is een organisatie probleem. In mijn ervaring zijn dat soort problemen het best op te lossen met een de juiste persoonlijkheid in die rol. De opleiding is dan irrelevant. Een drill-sargeant kan heel goed werken. Je hebt een bijtertje nodig met oog voor detail. Op basis van de opleiding kan ik niet inschatten of deze persoon de juiste is, maar in mijn ervaring zijn ITers de slechtste security officers door het gebrek aan _breed_ organisatorisch inzicht gecombineerd met excellente communicatie vaardigheden en een dosis overtuigingskracht.
maar ik had liever een echte IT-er die met avond school en MBA (Business Administration) die rol willen zien doen. Net ff wat meer relevante ervaring..
Misschien heb je het gemist, maar Equifax is geen IT-bedrijf, maar een financieel dienstverlener. Een CSO dient zich in eerste instantie met bedreigingen voor de primaire bedrijfsvoering bezig te houden, en IT is geen primair bedrijfsproces maar een hulpmiddel.

Haar IT-achtergrond zal geholpen hebben, maar het primaire punt in haar sollicitatiegesprek zal eentje met een financiële insteek geweest zijn.
Achja, kwalificaties zijn overrated. Het is veel belangrijkers om aan diversiteitsquota te doen...
[...] IT is geen primair bedrijfsproces maar een hulpmiddel.
Dat is - hoop ik - sarcastisch. IT is bij bedrijven van deze grootte natuurlijk altijd een primair proces. Waarom zou je anders IT-functionarissen in het management zetten?
Toch is dit wat vaak fout gaat. Beslissen over technieken waar je eigenlijk geen verstand van hebt. Dat betekent niet dat je niet capabel bent om een team te leiden, alleen kan je vaak niet inschatten wat het risico nu daadwerkelijk is.

Voorbeelden daarvan zijn legio. de NS/Prorail en het stroomnetwerk zijn er twee van. Preventief onderhoud is goedkoper op de lange duur maar duurder als je op de korte termijn gaat kijken. We zien nu stroomstoringen regelmatiger gebeuren en ook de NS heeft het niet gemakkelijk gemaakt voor zichzelf.

Het is ook een teken van de tijd dat concurrentie en geld zo belangrijk is dat we de bochten afsnijden om geld te besparen. En je bent zo zwak als je zwakste schakel, dus als een onderhoudsmedewerker een standaard wachtwoord laat staan, ben je als bedrijf de pisang.

'Vroegah' gold kennis is macht en had je andere problemen. Nu lijkt het vaak dat mensen met de juiste kennis maar minder sociaal vaardig zijn ondergesneeuwd raken door mensen zonder de juiste kennis maar wel belust op de hoger betaalde functies.

Sorry voor deze maatschappijkritische reactie, maar sinds de jaren zeventig is de welvaart steeds minder verdeeld. Dat wil niet zeggen dat individueen niet geschikt omgeschoold kunnen worden!
Ach, doet me alleen maar weer denken aan dat gezegde:

Diegene die willen regeren, kunnen het niet.
Diegene die kunnen regeren, willen het niet.

Of, een ietwat recentere quote uit de musical Wicked (geniale musical trouwens, vol met commentaar op de huidige sociale maatschappij):
"It's not about aptitude, it's the way you're viewed." (uit het liedje 'Popular')
[...]

Ik doe ook iets met security, en op mijn diploma staat loodzetter en hoogdrukker.
Papieren zeggen inderdaad niets;

Ik ben afgestudeerd (zonder diploma) als striptekenaar en werk al 25 jaar als senior full-stack developer...

Papieren en LinkedIn zijn al 25 jaar deprecated; het zegt gewoon niets over je kennis en kunde.
In de jaren dat ik bij HP werkte is zij gedurende 2 jaar mijn directe manager geweest. Ik heb haar toen leren kennen als goede people manager, waar ik met plezier voor heb gewerkt. Inderdaad niet technisch opgeleid, maar dat zijn vrij veel mensen, die binnen de IT werkzaam zijn. Ook succesvolle mensen. Als ik zelf een manager aannam, dan keek ik eerder naar de persoonlijke eigenschappen van het individu, dan naar zijn/haar technische kennis. Persoonlijke eigenschappen zijn lastiger te verbeteren, dan kennis.
Dat er een grote fout is gemaakt binnen haar team en er iets vreselijk mis is gegaan, daar heeft ze als eindverantwoordelijke netjes haar conclusie uit getrokken en is opgestapt. Niks mis mee, naar mijn mening.
In Amerika heeft men over het algemeen meer respect voor mensen die een fout maken, daarvan leren en het vervolgens opnieuw proberen ("the comeback kid"), dan binnen de Nederlandse (zaken)cultuur. Bij ons is het eerder "dikke bult eigen schuld" met een trap na.
Dit is meer een probleem die het bedrijf Equifax zelf heeft veroorzaakt. Dat zij is aangenomen op die positie, dat lijkt mij het falen van het selecteren van kandidaten voor die baan bij het solliciteren. Of iets met vriendjespolitiek binnen het bedrijf waardoor ze zich omhoog heeft kunnen werken.

Dat het leven van die mevrouw nu (zakelijk) zo goed als over is vind ik wel een stap te ver gaan. Als je ziet hoeveel mensen haar al belachelijk gemaakt hebben, met volledige naam en alles. Dat vind ik toch wel een beetje hard.
De creditcardgegevens, NAW, bankgegevens, burgerservicenummers en andere persoonsgegevens van 44% van alle Amerikaanse staatsburgers zijn gelekt door deze catastrofe. Vervolgens heeft Equifax (onder leiding van Susan Mauldin) een data-breach website opgezet waar mensen kunnen controleren of de gegevens gestolen zijn. Deze website stuurt random resultaten terug. Daarbij werd er in de terms & condition van de data breach checker een clausule verstopt dat het gebruik van deze service het recht op toekomstige class-action aanklachten gerelateerd aan het data lek doet vervallen.

Zou je misschien willen toelichten wanneer de professionele carrière van iemand wel beschadigd zou mogen worden door het eigen wanbeleid?

[Reactie gewijzigd door Soru op 17 september 2017 12:07]

Dat is kwalijk. En ja, dat iemands carriere daarom kapot gaat lijkt me prima.

Maar het heeft weinig te maken met de opleiding van de betreffende CSO, en dat is wat je in je eerdere bericht als voornaamste argument aangaf. Een relevante opleiding in de IT maakt je echt niet integerder, en een CSO aanvallen op grond van een wel/niet relevante opleiding 14 jaar terug, ipv verregaand immoreel handelen nu, vind ik een rare keuze.
Dit is voor mij onbekende informatie. Jammer dat het ook niet in het artikel staat.

Misschien heb ik het verkeerd verwoord; die mevrouw moet wel degelijk verantwoordelijk gehouden worden voor deze "hack", maar het is voornamelijk het bedrijf zelf die deze incompetente werknemers aanstelt tot deze posities. Om alle schuld bij mevrouw Mauldin te leggen vind ik te ver gaan.
Als Chief Security Officer draag je alle verantwoordelijkheid rondom security. Als C-level executive zit je op bestuursniveau en was haar taak om te zorgen dat het er juiste werknemers aangesteld worden zodat een goed beleid kan worden uitgevoerd. Dee definitie van schuld is "verantwoordelijkheid die is ontstaan door een tekortkoming". Aangezien ze de volledige verantwoordelijkheid draagt heb ik er geen problemen mee om alle schuld bij deze mevrouw te leggen.
Je hebt bepaalde verplichtingen bij bepaalde posities binnen je vak.

Als je de LinkedIn pagina etcetera mag geloven is zij echt geen IT-gerelateerde dame. Bedrijven die mensen op zo'n hoog niveau en bedrijfstak inhuren hoor je gewoon een It-background van gronds af aan te hebben.
De creditcardgegevens, NAW, bankgegevens, burgerservicenummers en andere persoonsgegevens van 44% van alle Amerikaanse staatsburgers zijn gelekt door deze catastrofe.
Dat lijkt me wat veel, zeker gezien er 'maar' 167 miljoen Amerikaanse volwassenen zijn met ten minste één creditcard (voor het gemak ongeveer 52% van de totale bevolking). Dan zou Equifax dus de gegevens hebben maar meer dan 3/4 van alle creditcardhouders. Je vergeet dat veel van deze gegevens
- niet unieke personen hoeven te betreffen (een persoon heeft meerdere entries), of;
- van overleden personen kunnen zijn, of;
- in zijn algemeen verouderd kunnen zijn (creditcardnummer bestaat niet meer).

Desalniettemin een erg slechte zaak natuurlijk. Zeker het punt dat je aanhaalt, dat als je je gegevens zou willen controleren je daarmee afstand zou doen van je recht.

[Reactie gewijzigd door SteveWoz op 17 september 2017 14:55]

Er zijn 300+ mln. amerikanen. Bijna iedereen heeft een SSN of een tax id.
Dus die nummer lijkt maar wel waar te kunnen zijn.
Credit card gegevens zijn van veel minder belang - die zijn makelijk om te vervangen. SSN is een grote probleem.
Je moet geen credit card hebben om in hun file te staan.
Klopt, en je ziet dat bij redelijk veel management posities dat enige kennis van de zaken waar de manager over zou moeten besluiten gewoon niet aanwezig is.
Want een manager moet vooral managen, de inhoudelijke kennis heb je dan wel je mensen. Right.

Ik heb dat nog nooit begrepen, maar ja, ik ben natuurlijk ook geen manager zonder technische skills, dus ik zal er wel geen verstand van hebben 😎

Moet direct zeggen dat een techneut die manager wordt, ook niet de meest ideale oplossing is. Want heel veel techneuten bezitten dan ook weer niet de management of people skills.

Dus voor de HR afdelingen is het zoeken naar de manager met de goede achtergrond, die de business/techniek snapt, en die ook nog eens nadenkt op een meer abstract management niveau.
Die mensen zijn zeldzaam.
Ik denk dat de sleutel in beide gevallen ligt in de bereidheid je verder te bekwamen op enerzijds managementvlak of anderzijds technisch vlak.

Overigens ben ik van mening dat een manager met aangeleerde technische skills het in bijna alle gevallen beter doet dan een technicus met aangeleerde managementskills.

Dat wat je de hele dag doet moet in je vezels zitten.
Wel grappig, de beste stuurlui staan weer aan wal :-)

Een goed voorbeeld daarvan is het feit dat jij klaagt over haar gebrek aan concrete IT ervaring terwijl ze Chief Security Officer was; Dat heeft slechts deels iets met IT te maken.

Verder: Als er één vakgebied is waar opleiding je nauwelijks helpt is het wel security. De beste programmeurs zijn zeker niet de beste IT securityspecialisten, en je grootste lek zit op een stoel, eet brood en drinkt water.

Het legal-stuk is denk ik nog wel het belangrijkst. Je wil de zaak dichttimmeren voor zover nodig, en dan nog voor zover in alle redelijkheid mogelijk is. Als het misgaat, moet je juridisch en naar de pers een goed verhaal hebben over hoe het gekomen is en wat je eraan kan doen.

[Reactie gewijzigd door kakanox op 17 september 2017 14:48]

Het is goed nieuws dat voormalig Chief Security Officer Susan Mauldin is opgestapt. Ze heeft geen enkele concrete IT ervaring en was opgeleid tot componist.
Ze zingt nu wel een toontje lager...
Bruce Schneier heeft een goed stuk geschreven over deze hack in zijn Crypto-Gram newsletter. Met dit nieuws in het verlengde kan je concluderen dat het allemaal niets uitmaakt. Zonder regulering en handhaving vanuit de regering gaan dit soort hacks alleen maar vaker gebeuren. Het betreft niet de data van klanten van Equifax, dus een tik op de vingers en wat mensen eruit, en men gaat weer door waar ze gebleven zijn. Stel dat Equifax in het ergste geval failliet zou gaan, dan doet dat nog niets aan de mensen en de houding die de oorzaak zijn van het achterliggende probleem.

Iets als de Sarbanes-Oxley Act is nodig voor informatiebeveiliging om organisaties in het gareel te krijgen.

[Reactie gewijzigd door The Zep Man op 17 september 2017 12:55]

"Enkele dagen nadat het verdachte netwerkverkeer ontdekt werd, maar nog voordat dit wereldkundig gemaakt was, hebben drie kopstukken van het bedrijf in totaal bijna twee miljoen dollar aan Equifax-aandelen verkocht. Dat was gemiddeld 8,5 procent van hun aandelen. Een woordvoerster van het bedrijf zegt dat de drie op dat moment geen kennis van de inbraken hadden."

En dat geeft mij toch een zeer wrange smaak in de mond, zeker als t door een eigen woordvoerder wordt gebracht. Ik ben benieuwd na alle onderzoeken wat er allemaal boven komt ;)
Tsss, 3 topmensen verkopen even 8,5% van hun aandelen voor 2 miljoen. Dan hebben ze met z'n drietjes dus al 23,5 miljoen aan aandelen. Maar dan wel de inlog van het CMS admin/admin laten zijn en de wachtwoorden van 111 medewerkers hard in de html-code hebben staan. ( nieuws: Hack bij kredietbeoordelaar kwam door bekend lek in Apache Struts )

Terecht dat ze opstappen. Maar maakt het wat uit? Kunnen ze weer als sprinkhanen op naar de volgende...
Dat verkopen van aandelen kan ze persoonlijk nog het duurst komen te staan - wetgeving in de US is behoorlijk scheef richting beschermen van belangen van aandeelhouders. Mede daarom wordt handelen met voorkennis (lees: de rest van je aandeelhouders hard naaien) consequent en streng aangepakt, en dat op persoonlijke titel. De directieleden die dit deden kunnen zich dus niet achter hun bedrijf of medewerkers verschuilen. De standaardstraf is een geldstraf van drie keer de hoogte van de winst die ze gerealiseerd hebben cq (in dit geval) het verlies wat ze vermeden hebben door te handelen met voorkennis. Ik hoop ten zeerste dat die straf opgelegd gaat worden.

Volledig laks zijn in operationele veiligheid is laakbaar, maar er kunnen (en zullen) smoesjes en verzachtende omstandigheden voor de betrokkene verantwoordelijken komen. Er is in het geheel geen smoes of verzachtende omstandigheid te verzinnen mbt aandelenverkoop. Zij wisten dat de boel in ging storten en hebben in eigen belang en tegen die van de rest van de aandeelhouders gehandeld.
Dat kan dus alleen als aantoonbaar gemaakt kan worden dat die mensen dat ook echt wisten. Ik kan me voorstellen dat dit bij grote multinationals echt wel een paar dagen kan duren voordat dit op de hoogste laag bekend is. Mederwerkers van het bedrijf geven dan ook aan dat de betreffende directieleden hiervan nog niet op de hoogte waren gebracht
De personen die zijn opgestapt zijn niet dezelfde als de personen die aandelen verkocht hebben...
Nee, dan hadden degenen die verantwoordelijkheid genomen hebben nog net iets meer moreel besef dan de collegas die wel verkochten.
Meer info over de hack en de 200k gestolen cc gegevens link Krebs.
"Enkele dagen nadat het verdachte netwerkverkeer ontdekt werd, maar nog voordat dit wereldkundig gemaakt was, hebben drie kopstukken van het bedrijf in totaal bijna twee miljoen dollar aan Equifax-aandelen verkocht. Een woordvoerster van het bedrijf zegt dat de drie op dat moment geen kennis van de inbraken hadden"

Oohhh, ik dacht al !

[Reactie gewijzigd door pangolin2 op 17 september 2017 13:36]

Niet meer dan terecht lijkt me.
Ik meende trouwens ergens te hebben gehoord dat de chief security officer afgestudeerd was met een diploma muziek en niet, weet ik veel, cyber security ofzo. kan iemand dit bevestigen / ontkrachten?

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*