Equifax-hack wordt ook in Verenigd Koninkrijk onderzocht door toezichthouders

Toezichthouders uit het Verenigd Koninkrijk gaan onderzoek doen naar de hack op de Amerikaanse kredietbeoordelaar Equifax. De toezichthouders kunnen uiteindelijk een boete opleggen of de vergunning van Equifax intrekken.

Zowel de Financial Conduct Authority en Information Commissioner's Office zijn een onderzoek gestart. Omdat de hack ook honderdduizenden Britse mensen heeft getroffen, willen de toezichthouders onder andere meer weten over de omstandigheden waarin de hack heeft kunnen plaatsvinden. Equifax zegt de nieuwe onderzoeken te verwelkomen zodat er 'lessen kunnen worden geleerd', zodat bedrijven hun klanten in de toekomst beter kunnen beschermen tegen hacks. Er zijn al onderzoeken gestart door meerdere Amerikaanse en Canadese toezichthouders.

In mei 2017 vond er een grote hack op Equifax plaats via een lek in Apache Struts dat sinds maart bekend was. In eerste instantie ging het voornamelijk om buitgemaakte Amerikaanse persoonsgegevens, maar de kredietbeoordelaar maakte eerder bekend dat ook een bestand met gegevens van in totaal 15,2 miljoen Britse klanten onderdeel was van de hack. Equifax zegt dat het bij 14,5 miljoen Britse klanten gaat om een mogelijk lek waarbij alleen de naam en de geboortedatum zijn buitgemaakt. Bij de overgebleven 700.000 klanten gaat het vooral om buitgemaakte telefoonnummers.

Bij de hack kregen onbevoegden toegang tot de gegevens van voornamelijk 146 miljoen Amerikanen. Van enkele honderdduizenden konden de creditcardgegevens ingezien worden. De criminelen kwamen binnen via een al maanden bekend lek in Apache Struts. Als gevolg van de hack besloot de directeur eind september zijn functie neer te leggen. Eerder vertrokken de chief security officer en de chief information officer al.

IT-banen

Reacties (8)

supersnathan94 25 oktober 2017 09:58

Volgens mij heb je geen onderzoek nodig om te stellen dat er grove nalatigheid is geweest bij equifax. Standaard admin password gebruiken in medewerkers portaal, passwords in plaintext naar achterliggende HTML bestanden, niet patchen van kritieke software. Dit zijn geen bad practices meer, maar absolute no-go’s.

Zoop @supersnathan94 • 25 oktober 2017 10:25

Heeft inderdaad weinig met bad practice te maken maar wat je zegt nalatigheid. Typisch onderschoven kind, er zal vast wel een IT-er hard geroepen hebben dat het niet kan op deze manier, maar er is dan geen tijd / geld / mankracht voor en waarom iets fixxen als het werkt, toch?
Don't fix it if it ain't broken, probleem is dat de mensen die de beslissingen nemen niet kunnen (willen) zien dat het al broken is.

99 van de 100 keren zal het zo'n soort reden zijn.

supersnathan94 @Zoop • 25 oktober 2017 11:43

Ja precies. Dat het werkt betekent niet dat het niet broken is. Zo blijkt ook maar weer uit de RNG implementatie van Ansi X9.31. Het werkt prima, maar veilig is het niet echt.

De implementatie kan functioneel gewoon doen wat het moet doen, maar of het broken is of niet hangt niet per se af van de werking. Als een rsa keypair generator goede keys maakt die op een juiste manier zijn gemaakt, maar vervolgens de private key doodleuk naar het internet wegschrijft (bij wijze van wikipedia pagina met daarbij de toepassingen waarvoor de key gebruikt wordt ofzo) werkt de generator prima.

Dat de implemenatatie kompleet kapot is door het openbaar wegzetten van de privé sleutel maakt het alleen totaal onbruikbaar voor eender welk doeleinde waar je rsa keys voor nodig hebt.

Soethaud @Zoop • 25 oktober 2017 12:23

Ja, behalve dat die ITer US Homeland Security was

Het kwalijke is, dat ze hier gewoon mee wegkomen. Echt niet dat ze onderzoeken verwelkomen als daar keiharde consequenties, zoals faillietmakende boetes en gevangenisstraf, aan verbonden zijn.

rxr1991 25 oktober 2017 09:29

"zodat er 'lessen kunnen worden geleerd', zodat bedrijven hun klanten in de toekomst beter kunnen beschermen tegen hacks."

Interessante statement. De klanten zijn hier niet geschaad. De klanten zijn de bedrijven die deze gegevens opkopen van burgers, of althans een indicatie willen of het verstandig is dat ze een kredietverstrekking moeten goedkeuren of niet. Het feit dat er miljoenen burgers geschaad zijn, doet de klanten van Equifax dus niets. Sterker nog, mocht deze data publiekelijk worden zou je zelfs kunnen stellen dat de klanten van Equifax er baat bij hebben, ze hoeven dan immers op de korte termijn geen dure data meer in te kopen.

Ik vind het ook bijzonder dat het zo weinig aandacht heeft gekregen tot nou toe. Aangezien het best een groot ding is wat hier gebeurd is, bij de amerikaanse burgers zijn zelfs veel sofinummers buitgemaakt. Dus de kans op identiteitsfraude is in de VS enorm toegenomen. Toch wordt er nonchalant gedaan en worden er althans publiekelijk niet echt maatregelen genomen dat dit soort bedrijven A) niet kunnen bestaan in commerciële vorm of B ) dergelijke wetgeving opgetuigd wordt dat dit in goede banen geleid wordt.

[Reactie gewijzigd door rxr1991 op 1 augustus 2024 10:47]

Aeternum 25 oktober 2017 09:57

https://www.youtube.com/watch?v=mPjgRKW_Jmk Hier de uitleg op een leuke manier

majetta 25 oktober 2017 16:39

Meanwhile in America, De Amerikaanse Senaat heeft een wetvoorstel geblokkeerd wat ervoor zou zorgen dat gedupeerde consumenten een class-action rechtzaak tegen Equifax konden starten.

http://www.latimes.com/bu...enate-20171024-story.html

xIReaperS 25 oktober 2017 09:12

Hmmm ben benieuwd hoe het met onze gegevens zal gaan zodra het sleepnet hier is

[Reactie gewijzigd door xIReaperS op 1 augustus 2024 10:47]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (8)

Sorteer op:

Weergave: