'Equifax betaalt 700 miljoen dollar voor gebrekkige security persoonsgegevens'

De Amerikaanse kredietbeoordelaar Equifax gaat naar verluidt rond de 700 miljoen dollar betalen aan vergoedingen voor de gebrekkige beveiliging van persoonsgegevens van miljoenen Amerikanen. Die gegevens werden in 2017 buitgemaakt.

Het leeuwendeel van het geld gaat volgens de bronnen van The Wall Street Journal en The New York Times naar de consumenten die getroffen zijn door het datalek. Velen hebben zich bij een class-action lawsuit gevoegd, waardoor het uiteindelijke bedrag dat Equifax kwijt is aan de zaak nog kan verschillen, aangezien mensen zich daar nog bij kunnen voegen. Deze overeenkomst zou het einde betekenen van de onderzoeken naar het bedrijf die uitgevoerd worden door de overheid en verschillende staatsoverheden van de VS. Maandag wordt mogelijk een officiële bekendmaking gedaan.

Ook onderdeel van deze schikking zou zijn dat er meer beveiligingsmaatregelen getroffen worden. Volgens de twee Amerikaanse nieuwsmedia koerst Equifax af op een totale uitgave van 1,25 miljard dollar aan beveiliging sinds de hack.

Bij het uitbuiten van het datalek door onbekende hackers werden onder andere burgerservicenummers, geboortedata en adressen buitgemaakt. Het lek bleek in Apache Struts te zitten, maar die kwetsbaarheid was al een half jaar eerder door Apache gedicht. De kredietbeoordelaar had kennelijk zijn software niet bijgewerkt om zich te wapenen tegen deze aanval.

Update, maandag: De Amerikaanse Federal Trade Commission bevestigt het nieuws. Equifax betaalt minimaal 575 miljoen dollar en dat kan oplopen tot 700 miljoen dollar.

Door Mark Hendrikman

Redacteur

21-07-2019 • 15:01

46

Reacties (46)

Sorteer op:

Weergave:

Kosten lekken gevoelige informatie waarmee relatief makkelijk identeitsfraude kan worden gepleegd, voor circa 150 miljoen Amerikanen: 700 miljoen

Jaarlijkse omzet: toch wel een paar miljard.

Ze zouden het zo weer doen - is goedkoper dan de security verscherpen.

[Reactie gewijzigd door Cilph op 23 juli 2024 10:28]

Bij herhaling zal een hogere boete opgelegd worden, als er al niet wordt over gegaan op strengere sancties.

Het is treurig dat het zo moet lopen, maar met je pessimistische instelling wordt het natuurlijk nooit beter.
Ik vrees toch wel dat de harde realiteit is dat als het enkel zijn pessimistische instelling was, dit artikel niet had ontstaan ;)
Dat klopt, maar als we als kale apen iets gedaan willen krijgen op deze aardbol, dan moeten we daaraan werken. A priori roepen dat het zinloos is, stagneert de boel alleen maar.

Bovendien is het geen harde realiteit, want honderden miljoenen dollars aan boete voelt elk bedrijf. Al zou het maar zijn vanwege steigerende aandeelhouders.
Dat is niet waar. Aandeelhouders gaan enkel steigeren wanneer kosten hoger uitvallen dan verwacht.

En in de VS van Noord Amerika zijn schikkingen (zoals direct met de deelnemers van een class action rechtszaak) bovendien aftrekbaar van de belasting (want daar nog altijd geklasseerd als 'cost of doing business'), wat dus juist winstverhogend werkt.

Zolang dus een boete wordt geïncasseerd langs de eigen planning (o.a. zelf kiezen wanneer een lek bekend wordt gemaakt, lobbying daaromheen en traineren van de rechtsgang met een overvloed aan experts en advocaten) kan het zelfs voorkomen dat aandeelhouders blij worden van een 'boete' Omdat die dan inhoudt dat veroordeling effectief is vermeden en zodoende de voorziene uitgave (reparatie van bewuste en/of roekeloze schade aan de maatschappij) is omgezet in een netto positieve bijdrage aan winst van het bedrijf, de aandelenkoers, en dus ook winst voor die aandeelhouders.

Deze normale gang van zaken had ook recent dit peppende effect op de koers van bijvoorbeeld facebook.
Ik hoor wat je zegt, maar dat is niet het punt wat ik over probeerde te krijgen. Maar fair enough, mijn aandeelhouder punt snijdt kennelijk niet altijd even veel hout. ;)

Anyway, zoals in dat artikel staat, zijn politici in de weer om dergelijke praktijken aan banden te leggen. Dus inderdaad, de huidige situatie is sub-optimaal en behoeft bijsturing. Dat gebeurt ook, maar lukt alleen als we dat daadwerkelijk doen. In plaats van roepen hoe slecht het momenteel is geregeld.
700 miljoen dollar. Voor dat geld kun je ook wat aan je security doen hoor. Daarbij, dat zullen ze alsnog moeten gaan doen om nieuwe, hogere, boetes te voorkomen. En natuurlijk om te voorkomen dat hun positie en naam wordt ondermijnd. Want binnen het bancaire staat vertrouwen op de eerste plaats. Daar doen ze alles voor.

Dus nee, ze zijn zeker niet gebaat bij de boete. Het vrijwaart ze niet van een betere security, het werkt niet winstverhogend zoals je zegt (kosten zijn nimmer ‘aftrekbaar van de belasting’, enkel zijn ze fiscaal aftrekbaar, hetgeen zoveel wil zeggen als dat de kosten als kosten opgevoerd kunnen worden, alvorens tot een belastbare winst te komen) en het draagt niet bij aan vertrouwen bij het publiek en partners.
Als ze een half jaar eerder hadden geweten dat dit zo duur zou zijn hadden ze die beveiliging wel op orde gemaakt. Nu weten ze het voor de volgende keer.
Nog geen $4,- per klant aan aftrekbare kosten....

Ik vermoed dat je zwaar onderschat hoe complex de organisatie en IT-architectuur in dit soort bedrijven is; Vaak leveren meer dan duizend verschillende bedrijven stukjes software die op diverse, niet altijd gedocumenteerde, manieren met elkaar samen hangen. Authenticatie wijzigen kan impact hebben op veel van deze systemen, waarvan sommige wellicht al 40 jaar draaien en anderen al weer 12 jaar niet zijn bijgewerkt. Mooi ondergebracht bij verschillende divisies en dochterondernemingen, met elk eigen richting, doelen en directie.
Ik ben net als veel andere Tweakers leden op de hoogte van hoe dit soort systemen werkt ;)

Maar er zit wel een verschil tussen een fout waarvan je nog niet op de hoogte bent door slechte monitoring niet tijdig oppikken als het fout gaat, en tussen het als financiële instelling wachtwoorden van medewerkers in html broncode achter admin / admin verstoppen, dat zijn dingen die scriptkiddies van 10 nog kunnen ontdekken en kunnen gebruiken om rotzooi te trappen. Of een reeds misbruikt, gepubliceerd en gepatched lek in Apache gewoon meer dan een half jaar open laten staan waarbij toegang tot de uiterst gevoelige klantdata dus voor de hele wereld voor het grijpen ligt. Dit heeft niets meer met ingewikkelde structuren nodig, dit is gewoon nalatigheid.
hiervoor zou de directeur wat mij betreft in de gevangenis mogen verdwijnen wegens nalatigheid.
Maar dat gebeurt bijna nooit want bij dat soort volk wordt op een of andere manier de hand boven het hoofd gehouden.
en waarom zou die directeur hiervoor ergens in een cel moeten belanden als het de systeembeheerder is die dit in de gaten hoort te houden?
Cru gezegd is de directeur IT eindverantwoordelijk, wetend of onwetend. Beheerders handelen naar prioriteiten gesteld door management, ergo security en up-to-date zijn was in hun geval geen prio 1-2 en ik gok geen 3.

Deze trend zie je vaak bij zaken die onbewust veel korten op interne dienstverleningen, om winst te maximaliseren, dan wel sturen op hogere efficienty zonder deze te verifiëren.
Mee eens, het blijft nalatigheid.

Heel cru gezegd, ik ken bedrijven die dezelfde 'volwassenheid'-status als Equifax hadden op dezelfde stack ten tijde van het nieuws en de directies zijn toen ook geïnformeerd, maar hebben geen actie ondernomen; de budgetten voor het jaar lagen al vast én ze waren er van overtuigd dat niemand de tijd en energie zou willen steken om hen te hacken.

Een risico en kosten afweging dus.

[Reactie gewijzigd door djwice op 23 juli 2024 10:28]

Pessimisten zijn niet per definitie onrealistisch :)
Bij herhaling zal een hogere boete opgelegd worden, als er al niet wordt over gegaan op strengere sancties.

Het is treurig dat het zo moet lopen, maar met je pessimistische instelling wordt het natuurlijk nooit beter.
De kans dat ze gepakt worden is zeer klein. Best een koopje trouwens dat je 5 dollar betaald voor het lekken van vertrouwelijke gegevens. Als bonus: je hoeft het alleen te betalen als je gepakt wordt.
Ze zouden het zo weer doen - is goedkoper dan de security verscherpen.
$700.000.000 en jij denkt dat dat goedkoper is dan beter beveiligen? Ik neem aan dat jij niet in IT werkt want dat is ronduit en totaal lachwekkend. Krijg je dus vast wel wat karma voor op tweakers!

Zoek anders een op wat omzet betekent want als jij denk dat $700.000.000 op een paar miljard omzet niet veel uitmaakt mag je mijn boekhouding in elk geval niet doen. Voor ELK bedrijf is dit zeer serieus geld.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 10:28]

$700.000.000 en jij denkt dat dat goedkoper is dan beter beveiligen? Ik neem aan dat jij niet in IT werkt want dat is ronduit en totaal lachwekkend. Krijg je dus vast wel wat karma voor op tweakers!
Als je jouw mening op een andere manier geeft kom je professioneler over. De meeste bedrijven maken niet een overweging tussen de kosten van beveiliging en de kosten van een boete. Helaas is ICT beveiliging een manier van werken en niet een eenmalige investering.
Helaas is het niet zo "ronduit en totaal lachwekkend" als dat je misschien zou denken.

Natuurlijk ben je er niet met het eenmalig installeren van Norton Internet Security. Een beveiligingsoplossing is geen product, maar een proces wat continu doorgaat. Het vergt niet alleen technische maatregelen, maar ook organisatorisch. Procollen moeten mogelijk aangepast worden, medewerkers getraind, er dient een afdeling te zijn die hier iets mee doet, etcetera.

Daarmee kom je waarschijnlijk niet op $700.000.000 uit, ook niet op de langere termijn (wat ook ingecalculeerd moet worden). Ik vermoed dat de "boosdoeners" de aandeelhouders zijn. Zie ze maar eens overstag te krijgen om een fractie van die $700.000.000 uit te geven aan beveiliging. Dat gaat je niet lukken. Vandaar dat deze bedrijven helaas kiezen voor deze methodiek.

En ja, dat is slecht. Heel slecht. Maar dat gaat de komende jaren niet veranderen.
Dit is slechts de 1ste stap. Inderdaad zoals Dr snuggles zegt : Als het nogmaals gebeurt ligt de boete waarschijnlijk vele malen hoger.

Zodra bewezen is dat boetes van dit weinig uithalen op C-LVL dan zijn de rechters ook niet achterlijk ;) ook omdat je nu het argument kunnen gebruiken : Je was bekend ermee dat je zwaar bestraft kan worden voor cybersecurity niet op orde hebben.
dan kunnen ze toch beter boetes geven op supreme court level van 99% van de netto winst.
hierdoor is het voor die bedrijven bijna niet meer mogelijk om te bestaan, en zullen ze vaneigen in gaan zien dat ze het toch beter moeten doen
Ja in theorie mogelijk. Alleen zit je met het probleem : Boekhoud technisch kan je natuurlijk de winst flink drukken ( nieuwe panden / meer in ontwikkeling steken) en ga je een bedrijf kapotmaken om 1 fout? Want je moet dan een grens gaan stellen ( wanneer kun je het definieren als totaal fout en dat wordt lastig).

Echter als het nogmaals gebeurt heb je natuuurlijk wel een hele grote stok om mee te slaan.

Voorbeeldje ( niet in tech industrie).

Sanquin en hoeveel ze in rekening brengen voor bloed dat door donoren gegeven word ;).

https://www.medischcontac...er-salarissen-sanquin.htm
https://www.rtlnieuws.nl/...rlands-bloed-onnodig-duur
Groot probleem is dat security nog steeds niet dusdanig serieus wordt genomen in de bedrijfsvoering. De kostprijs van het product/dienst is te laag is of de marges te hoog.

En dat zie je overigens in de breedte van ICT.
Apparatuur moet zo goedkoop mogelijk omdat de investeringen altijd aanzienlijk zien, terwijl je netjes zou moeten afschrijven. Een investering wordt een stuk dragelijker als je periodiek een bedrag opzij hebt gezet.
Een ander voorbeeld is alles zoveel mogelijk in de cloud. Alleen is dat weer een andere tak van sport waarbij nog meer op veiligheid moet worden gelet waarbij je ook niet klakkeloos de partij kunt vertrouwen die er voor je moet regelen,
nieuws: Israëlische databeheerder had datalek dat onbekend aantal grote bedri...


De laatste 15 jaar zie je steeds meer diensten verschuiven naar digitaal waarbij het essentieel is om de veiligheid te borgen. Een vergissing maken is normaal en kan gebeuren,
maar als nergens uit blijkt dat je zelf extra moeite steekt om dat proces te borgen, dan moet je je zeker afvragen of je wel bestaansrecht hebt.
En hoe hoger de omzetten, hoe hoger de nood om meerdere partijen actief met security bezig moeten te zijn als je zelf de kennis niet meer in huis hebt. Bewijslast draai je dan om.
Daar heb je wel gelijk in. Wij werken met normale marges ( Redenatie : Veel afzetten met lage marges zorgt ervoor dat de markt groeit en lage marges maar hoge afzet kom je op hetzelfde uit)

maar we hebben concurrenten die echt 3-5 keer zo duur zijn en zelfs als je het laat produceren in NL het is uiteindelijk massaproductie kun je die 3-5 keer niet verantwoorden.

Dan zie je ook nog veel afstappen van hardware en naar puur software bedrijf gaan ( uurtje factuurtje ;) ) bij voorkeur vendor lock in zodat je als bedrijf paar jaar eraan vastzit.
directeur moet gewoon de bak in.
Is de winst niet veel relevanter dan de omzet? "Kosten lekken gevoelige informatie waarmee relatief makkelijk identeitsfraude kan worden gepleegd, voor circa 150 miljoen Amerikanen: 700 miljoen. Jaarlijkse omzet: toch wel een paar miljard." Als de winst een paar miljard per jaar is, zeg 3, dan is het nog een winstreductie van meer dan 20%. Daar worden ze bij vrij veel bedrijven niet heel vrolijk van. Maar we hebben het hier over omzet. In mijn beleving is het refereren aan omzet versus boete raar.
Meten naar omzet is beter. Er zijn genoeg boekhoudkundige trucs (zie Apple, zie Ikea, zie Facebook etc) om een winst niet-bestaand of minimaal op papier te maken, terwijl in werkelijkheid je recordwinsten haalt.
daarom is 700 miljoen veel te weinig. Ze moeten miljarden eisen wat wordt uitgekeerd aan de slachtoffers en bestrijding van identiteitsfraude.
is goedkoper dan de security verscherpen.
Voor 700 miljoen kun je decennia lang een team van enkele honderden gekwalificeerde mensen hierop zetten, ik waag dus te betwijfelen dat security verscherpen duurder is dan deze settlement.

En in dit geval was het wel erg simpel, systemen niet updaten.... niet echt moeilijk om dat op orde te brengen, zelfs in een grote organisatie kan dat tegen beperkte kosten.
Je ziet het nu wereldwijd. Heb je als bedrijf je cybersecurity niet op orde ( Backend / Frontend / 2fa / MFA) dan wordt je keihard aangepakt.

Zit zelf in de Cyber Security Business en zie inderdaad dat op C-LVL het eindelijk begint door te dringen dat dit niet een sluitpost moet zijn. Dat was in het verleden wel anders zoals vele tweaker hier weten.

Moody’s is going to start building the risk of a business-ending hack into its credit ratings

https://www.cnbc.com/2018...-into-credit-ratings.html

Fines up to £17m launched for firms with poor cyber-security
https://www.bbc.com/news/technology-42861676

Biggest data breach penalties for 2018
https://www.csoonline.com...ties-for-2018.html#slide4

Zie zelf ook een markt opkomen voor bedrijven die Cybersecurity / privacy regelen ( Interim-CISO / 1-2 dagen per week iemand die cyber security op orde brengt) vooral voor kleine bedrijven die het niet kunnen veroorloven om gelijk een full timer aan te nemen. ( werk ook met 1 samen in NL en je ziet dat ook grote bedrijven iemand aannemen voor paar dagen om orde op zaken te stellen zonder dat gelijk de IT afdeling weer een extra taak erbij krijgt).

[Reactie gewijzigd door Zyphlan op 23 juli 2024 10:28]

Je ziet het nu wereldwijd. Heb je als bedrijf je cybersecurity niet op orde ( Backend / Frontend / 2fa / MFA) dan wordt je keihard aangepakt.
Welnee... Bijna alle bedrijven draaien wel ergens verouderde software, waardoor ze gevoelig zijn voor hacks. Ik lees zelden over hoge boetes. De pakkans (mèt een hoge boete) is nog steeds enorm klein.
Een boete vind ik te gemakkelijk. De top die geen geld wilde uitgeven voor beveiliging moeten aangepakt worden.
Daar zeg je wat inderdaad. Laat die top het maar uit eigen zak betalen, want zij zijn immers vanuit bedrijfskundig perspectief toch ook verantwoordelijk voor het accepteren, of wegstoppen, van het risico..
En hoe weet jij dat ze dat niet wilden? Heb je de artikelen in de NYT gelezen? Daaruit komt een heel ander beeld.

In ons Westers strafrecht kan je niet de hele top van een bedrijf persoonlijk verantwoordelijk houden voor problemen. Omdat er altijd gestapelde verantwoordelijkheid is zal de schuld per definitie en altijd bij de topman liggen en die zal dus nooit langer dan een paar dagen uit het gevang blijven omdat er altijd wel wat strafbaars gebeurt in een groot bedrijf. Ik zou dat in het gevang zitten omdat een van mijn IT mensen vergeten was een paswoord te resetten en er mogelijk gegevens uitgelekt zijn.

Zou jij de topman van een mega bedrijf willen zijn als alle wetten die overtreden worden persoonlijk op je verhaald worden? Alle verkeersboetes, milieuovertredingen etc? Waarom vind je dan dat dit voor gebrekkige IT beveiliging wel zou moeten gelden? In ons strafrecht zien we dat nu eenmaal niet als een halsmisdrijf.
Zoals zo vaak worden topmannen niet berecht. Jij maakt geen onderscheid.
Wat is je mening toen de VAG top willens en wetens de diesel testen heeft gemanipuleerd? VAG betaalt de boete en daarmee de aandeelhouders die er niks van wisten maar de beslissers komen ermee weg. Of de top van boeing waaruit blijkt dat ze invloed hadden op onafhankelijk testen van de software?

[Reactie gewijzigd door lighting_ op 23 juli 2024 10:28]

Dat is gewoon niet waar. Lees je eerst even in over de gevangenisstraffen voor de bestuurders bij VAG voor je onzin post.
De aandeelhouders betaalden niets.
Die hebben betaald voor de aandelen. Niets meer en niets minder.

Het enige waar ze last van hadden was dat de aandelen minder waard werden. Dat is het risico van investeren. Echter als je naar de huidige koers kijkt is dat allang weer verleden tijd
Ja, en dieven gelijk de hand afhakken, overspelige vrouwen stenigen etc.. Inderdaad opnieuw beginnen... in de middeleeuwen.
Een bedrijf is geen mens. De mensen kunnen opnieuw beginnen, maar het "speeltje" is weg.
Een drugslab verdwijnt ook - de mensen die er werken krijgen echt niet de doodstraf.
De bakker op de hoek is toch zeker een mens, en bij de appie werken ook mensen. Bedrijven zijn geen AI, maar bestaan uit mensen, niks meer, niks minder.
En je kunt het een "speeltje" vinden, voor veel mensen zijn bedrijven gewoon brood op de plank, en even opnieuw beginnen zit er lang niet altijd in.
Tja, drugs zijn ook brood op de plank toch? Dat sommigen die misbruiken...
Maar goed, geld gaat voor welzijn, dat merk ik al. Als we maar verdienen komen we er met een boete vanaf, en vervolgens gaan we gewoon door. Dus, bedrijven, ga gewoon je gang, doe lekker verkeerd, het ergste wat je kan overkomen is een boete. Veel leuker dan als je een emns bent, want dan kan je wel de gevangenis in. Maar als je het diooiet vanachter een bedrijf, zorgen dat niemand echt de hele schuld heeft, en je komt er mee weg.

Ik vind het fantastisch hoor!
Maar goed, geld gaat voor welzijn,
Het gaat niet alleen om geld, het gaat juist om welzijn, van medewerkers, toeleveranciers etc.
Dus, bedrijven, ga gewoon je gang, doe lekker verkeerd, het ergste wat je kan overkomen is een boete.
Tja, dan pak je ze waar het pijn doet. Topmannen achter de tralies zetten? Die zijn vervangbaar, nieuwe aanstellen en doorgaan.
Voor meer achtergrondinformatie:
De podcast van Malicious Life geeft in episodes 45 en 46 uitgebreid uitleg over de hack van Equifax.

https://malicious.life/episode/episode-45/
Is er daarna ook iets aan gedaan?
Want een boete is goed en al, maar als het maar een fractie van hun winst is, zien ze een boete als een ingecalculeerde kost.

Ze zouden beter geen boete geven maar eisen dat alle publieke functies van het bedrijf stil gezet worden tot het privacy probleem opgelost is.
Je zal zien hoe snel het opgelost wordt.
aangezien mensen zich daar nog bij kunnen voegen
Inderdaad. En dat kan hier:
https://www.equifaxbreachsettlement.com/

Je kunt dan kiezen of je een vergoeding wilt van $125, en/of dat je in aanmerking wilt komen voor een vergoeding van berekende geleden schade tot $20.000, of dat je een paar jaar gratis dienstverlening wil en/of je een paar jaar hulp wil voor wat ze een 'restoration service'noemen als je getroffen bent/wordt van identiteitsdiefstal.

Op dit item kan niet meer gereageerd worden.