Rick Smith, président-directeur général d'Equifax, sur les incidents de cybersécurité impliquant les données des consommateurs.
Suite à la violation massive de données qu'Equifax a révélée au public début septembre, la nouvelle d'une deuxième attaque antérieure contre l'agence de crédit est apparue. Bien qu'il ne s'agisse à l'origine que d'une rumeur provenant de sources anonymes, le 19 septembre, Equifax a confirmé piratage secondaire, qui a eu lieu en mars, bien que la société ait nié tout lien avec le hack plus grand. Pour couronner le tout, Equifax a désormais contribué par inadvertance à une campagne de phishing en envoyant ses clients vers un site de phishing plutôt que vers son propre portail de notification de violation.
Vidéos recommandées
La chaîne des événements jusqu’à présent
Comme le rapportait initialement le New York Times, la première cyberattaque dont nous avons eu connaissance s'est produite entre la mi-mai 2017 et le 29 juillet, date à laquelle l'intrusion a été découverte. Ce qui rend l’attaque d’Equifax particulièrement problématique, c’est le statut de l’entreprise en tant que centre d’échange d’informations sensibles liées au crédit. des informations, notamment des numéros de sécurité sociale, des numéros de permis de conduire et d'autres données qui peuvent être utilisées de diverses manières pour nuire à ceux-ci affecté.
La première violation de données chez Equifax aurait eu lieu en mars et bien qu'Equifax prétende que cela le piratage précédent n'avait rien à voir avec le piratage qui a eu lieu plus tard dans l'année, ont déclaré certaines sources anonymes. sinon. Cependant, dans les deux cas, Equifax a fait appel aux services de la société de sécurité numérique Mandiant pour enquêter.
En rapport
- Si vous utilisez PayPal, vos données personnelles peuvent avoir été compromises
- Une violation de données Microsoft a exposé les données sensibles de 65 000 entreprises
- Les données personnelles de 69 millions d'utilisateurs de Neopets sont désormais en vente après une violation de données
Le 2 octobre, Equifax a annoncé que Mandiant avait terminé son enquête médico-légale concernant la violation du 7 septembre, et que 2,5 millions d'Américains supplémentaires pourraient avoir été touchés par la pirater. Cela porte le nombre total de personnes touchées à 145,5 millions. Cependant, Mandiant n’a trouvé aucune autre preuve d’une nouvelle activité de piratage. De plus, il semblerait que l’impact de la violation ne se soit pas étendu au-delà de l’Amérique du Nord: environ 8 000 Canadiens (et non 100 000 comme on le pensait auparavant) pourraient également avoir été touchés.
« J'ai été informé dimanche que l'analyse du nombre de consommateurs potentiellement touchés par l'incident de cybersécurité a été terminé, et j'ai ordonné que les résultats soient publiés rapidement », a déclaré Paulino do Rego Barros, Jr., PDG par intérim nouvellement nommé. dit. « Nos priorités sont la transparence et l’amélioration de l’accompagnement des consommateurs. Je continuerai de suivre nos progrès au quotidien.
Dans un témoignage écrit, l’ancien PDG Richard Smith a déclaré au Comité de l’énergie et du commerce: « Il semble que la violation se soit produite en raison à la fois d’une erreur humaine et de défaillances technologiques. »
Récemment, en ajoutant insulte à la blessure, le compte Twitter d'Equifax a récemment envoyé des clients vers le site « securityequifax2017.com », un faux site qui joue clairement sur l'adresse Web du vrai site: equifaxsecurity2017.com. Le tweet, bien sûr, a depuis été supprimé, mais ce n’est pas la première fois qu’Equifax envoie des personnes vers le site de phishing. Notez que Google Chrome signale désormais le faux site comme trompeur.
Mark Coppock/Tendances numériques
Quelles données ont été volées ?
Bien qu’à ce stade, il semble peu probable que d’autres informations personnelles des clients d’Equifax aient été volées lors du piratage initial, cela soulève de sérieuses questions quant à la réponse de l’entreprise. Il est possible que la loi ait obligé Equifax à révéler des informations à son sujet bien plus tôt que l'entreprise ne l'a fait, et ce Ce développement met en lumière encore plus durement certaines des ventes d'actions suspectes réalisées par les dirigeants d'Equifax en 2007. Août.
Le ministère américain de la Justice a ouvert une enquête pénale sur les ventes d'actions, selon Sources Bloomberg.
Même si les violations d’Equifax ne sont pas les plus importantes en termes de nombre de victimes... Les attaques de Yahoo ont impliqué davantage de personnes, et le HBO a largué plus de spoilers – c’est préoccupant en raison du type d’informations personnelles qui ont été volées. Parmi les exemples d'informations sensibles figurent 209 000 numéros de carte de crédit, les informations personnelles relatives aux litiges de crédit de 182 000 victimes et les données qui pourraient être utilisées ultérieurement pour accéder à des informations sensibles. antécédents médicaux, comptes bancaires, et plus encore.
Sur 15 septembre, Equifax a publié plus d'informations sur le piratage et a également noté que deux cadres supérieurs, le directeur de l'information et le chef de la sécurité « prenaient leur retraite ». Cependant, compte tenu des événements récents, l’histoire ne se résume probablement pas à de simples retraite. Equifax a en outre révélé que son enquête interne est toujours en cours et que la société « continue de travailler en étroite collaboration avec le FBI dans son enquête ». Jusqu’à présent, cela a été a révélé qu'Equifax avait remarqué pour la première fois une activité suspecte le 29 juillet 2017, mais avait attendu le 2 août pour contacter une entreprise de cybersécurité et procéder à un « examen médico-légal complet ».
Comme l’a déclaré Pamela Dixon, directrice exécutive du groupe de recherche à but non lucratif World Privacy Forum, dans un communiqué: « C’est aussi grave que possible. Si vous avez un rapport de solvabilité, il y a de fortes chances que vous soyez victime de cette infraction. Les chances sont bien meilleures que 50 pour cent.
Que faut-il faire à ce sujet ?
Selon un communiqué de presse publié par le bureau du sénateur Mark Warner (D. Virginia), l'attaque d'Equifax soulève d'importantes questions sur le rôle du gouvernement dans la réponse à la menace constante qui pèse sur les informations personnelles.
"Bien que beaucoup se soient peut-être habitués à entendre parler d'une nouvelle violation de données toutes les quelques semaines, l'ampleur de cette violation – impliquant la sécurité sociale numéros, dates de naissance, adresses et numéros de carte de crédit de près de la moitié de la population américaine – soulève de sérieuses questions quant à savoir si le Congrès devrait non seulement créer une norme uniforme de notification des violations de données, mais aussi si le Congrès doit repenser les politiques de protection des données, afin que les entreprises comme Equifax sont moins incités à collecter de grands ensembles centralisés de données hautement sensibles comme les SSN et les informations de carte de crédit sur des millions de personnes. Les Américains."
En qualifiant de telles attaques de « menace réelle pour la sécurité économique des Américains », il est probable que Warren et d'autres responsables gouvernementaux feront pression en faveur d'une législation créant une protection plus forte des consommateurs contre les données vol. Warner a travaillé à l’élaboration de ce type de législation, et cela va probablement s’accélérer.
Equifax enverra également des avis écrits à tous les consommateurs américains potentiellement concernés, et l'outil en ligne que les gens peuvent utiliser pour déterminer leur risque a également été mis à jour.
«Je tiens à nouveau à m'excuser auprès de tous les consommateurs concernés. Alors que cette phase importante de notre travail est maintenant terminée, nous continuons de prendre de nombreuses mesures pour revoir et améliorer nos pratiques en matière de cybersécurité. Nous continuons également à travailler en étroite collaboration avec notre équipe interne et des conseillers externes pour mettre en œuvre et accélérer les améliorations de sécurité à long terme », a ajouté Barros début octobre.
Allez sur Equifaxsecurity2017.com pour apprendre encore plus à propos de l'attaque, savoir si vous êtes concerné, et inscrivez-vous à une protection gratuite contre le vol d'identité et des services de surveillance de fichiers.
Mise à jour: Equifax a appris que 2,5 millions d'Américains supplémentaires pourraient avoir été touchés par la violation.
Recommandations des rédacteurs
- Le piratage impliquait les données de l’ensemble de la population d’un pays
- Des pirates ont volé 1,5 million de dollars en utilisant des données de cartes de crédit achetées sur le dark web
- Une violation de données peut coûter des millions de dollars – et vous risquez de le payer
- Un pirate informatique vole les dossiers d’un milliard de personnes lors d’une violation de données sans précédent
- Des pirates ont ciblé AMD pour voler 450 Go de données top secrètes
