Equifax zahlt 575 Millionen US-Dollar als Teil der Abwicklung

“Companies that profit from personal information have an extra responsibility to protect and secure that data,” said FTC Chairman Joe Simons. “Equifax failed to take basic steps that may have prevented the breach that affected approximately 147 million consumers. This settlement requires that the company take steps to improve its data security going forward, and will ensure that consumers harmed by this breach can receive help protecting themselves from identity theft and fraud.”

en flag
nl flag
fr flag
de flag
pt flag
es flag

Pressemitteilung der Federal Trade Commission

Equifax zahlt 575 Millionen US-Dollar als Teil der Abwicklung mit FTC, CFPB und Staaten im Zusammenhang mit Datenverletzungen 2017

Equifax Inc. hat sich bereit erklärt, mindestens 575 Millionen US-Dollar und möglicherweise bis zu 700 Millionen US-Dollar im Rahmen eines globalen Vergleichs mit der Federal Trade Commission, dem Consumer Financial Protection Bureau (CFPB) und 50 US-Staaten und Territorien zu zahlen. angemessene Schritte zur Sicherung des Netzwerks führten 2017 zu einer Datenverletzung, die rund 147 Millionen Menschen betroffen war.

In ihrer Beschwerde behauptet die FTC, dass Equifax die massive Menge an persönlichen Informationen, die in ihrem Netzwerk gespeichert sind, nicht gesichert habe, was zu einer Verletzung führte, die Millionen von Namen und Geburtsdaten, Sozialversicherungsnummern, physische Adressen und andere persönliche Informationen, die zu Identitätsdiebstahl und Betrug.

Im Rahmen der vorgeschlagenen Abwicklung wird Equifax 300 Millionen Dollar an einen Fonds zahlen, der den betroffenen Verbrauchern Bonitätsüberwachungsdienste zur Verfügung stellt. Der Fonds wird auch Verbraucher entschädigen, die Kredit- oder Identitätsüberwachungsdienste von Equifax gekauft und andere Out-of-Pocket Ausgaben infolge der Datenverletzung 2017 bezahlt haben. Equifax wird dem Fonds bis zu 125 Millionen Dollar addiert, wenn die anfängliche Zahlung nicht ausreicht, um die Verbraucher für ihre Verluste zu kompensieren. Darüber hinaus wird Equifax ab Januar 2020 allen US-Verbrauchern sechs kostenlose Kreditberichte pro Jahr für sieben Jahre zur Verfügung stellen — zusätzlich zu dem kostenlosen jährlichen Kreditbericht, den Equifax und die beiden anderen bundesweiten Kreditberichterstattungsagenturen derzeit zur Verfügung stellen.

Das Unternehmen hat auch vereinbart, $175 Millionen bis 48 Staaten, den District of Columbia und Puerto Rico, sowie $100 Millionen an die CFPB in zivilen Strafen zu zahlen.

„Unternehmen, die von persönlichen Daten profitieren, haben eine zusätzliche Verantwortung, diese Daten zu schützen und zu sichern“, sagte FTC-Vorsitzender Joe Simons. „Equifax hat es versäumt, grundlegende Schritte zu unternehmen, die den Verstoß, der etwa 147 Millionen Verbraucher betrifft, möglicherweise verhindert haben. Diese Regelung erfordert, dass das Unternehmen Maßnahmen zur Verbesserung der Datensicherheit in Zukunft ergreifen und sicherstellen kann, dass Verbraucher, die durch diesen Verstoß geschädigt werden, Hilfe erhalten können, um sich vor Identitätsdiebstahl und Betrug zu schützen.“

„Die heutige Ankündigung ist nicht das Ende unserer Bemühungen, sicherzustellen, dass die sensiblen persönlichen Daten der Verbraucher sicher und sicher sind. Der Vorfall bei Equifax unterstreicht die sich entwickelnden Cyber-Sicherheitsbedrohungen, die sowohl private als auch staatliche Computersysteme gegenüberstehen, und Maßnahmen, die sie ergreifen müssen, um die persönlichen Daten der Verbraucher zu schützen. Es steht zu viel auf dem Spiel für die finanzielle Sicherheit des amerikanischen Volkes, um diesen Schutz weniger als eine oberste Priorität einzuräumen. Für Verbraucher, die von der Equifax-Verletzung betroffen sind, wird der heutige Vergleich bis zu 425 Millionen US-Dollar für Zeit und Geld bereitstellen, die sie zum Schutz vor potenziellen Bedrohungen durch Identitätsdiebstahl oder zur Bewältigung von Identitätsdiebstahl als Folge der Verletzung ausgegeben haben. Wir ermutigen Verbraucher, die von der Verletzung betroffen sind, ihre Ansprüche einzureichen, um eine kostenlose Kreditüberwachung oder Barrückerstattung zu erhalten „, sagte Kathleen L. Kraninger Direktor des Consumer Financial Protection Bureau, Kathleen L. Kraninger.

Sicherheitsfehler des Unternehmens

Die FTC behauptet, dass Equifax sein Netzwerk nicht patchen konnte, nachdem sie im März 2017 auf eine kritische Sicherheitslücke hingewiesen wurde, die seine ACIS-Datenbank betrifft, die Anfragen von Verbrauchern über ihre persönlichen Kreditdaten behandelt. Obwohl das Sicherheitsteam von Equifax angeordnet hat, dass jedes der anfälligen Systeme des Unternehmens innerhalb von 48 Stunden nach Erhalt der Warnung gepatcht wird, hat Equifax nicht nachverfolgt, um sicherzustellen, dass der Auftrag von den zuständigen Mitarbeitern ausgeführt wurde.

Tatsächlich entdeckte Equifax erst im Juli 2017, als das Sicherheitsteam verdächtigen Datenverkehr in seinem Netzwerk feststellte, dass seine ACIS-Datenbank nicht patcht wurde. Eine Untersuchung des Unternehmens ergab, dass mehrere Hacker die ACIS Sicherheitsanfälligkeit ausnutzen konnten, um Zugang zum Equifax-Netzwerk zu erhalten, wo sie auf eine ungesicherte Datei zugreifen, die administrative Anmeldeinformationen enthielt, die im Klartext gespeichert wurden. Diese Anmeldeinformationen ermöglichten es den Hackern, Zugang zu riesigen Mengen persönlicher Daten von Verbrauchern zu erhalten und monatelang unentdeckt im Equifax-Netzwerk zu arbeiten.

Die Hacker zielten auf Sozialversicherungsnummern, Geburtsdaten und andere sensible Informationen ab, vor allem von Verbrauchern, die Produkte von Equifax gekauft hatten, wie Kreditbewertungen, Kreditüberwachung oder Identitätsdiebstahlprävention. Zum Beispiel haben Hacker mindestens 147 Millionen Namen und Geburtsdaten, 145,5 Millionen Sozialversicherungsnummern und 209.000 Zahlungskartennummern und Ablaufdaten gestohlen.

Hacker konnten auf eine enorme Datenmenge zugreifen, da Equifax gemäß der Beschwerde die grundlegenden Sicherheitsmaßnahmen nicht umsetzen konnte. Dazu gehört die fehlende Implementierung einer Richtlinie, die sicherstellt, dass Sicherheitslücken gepatcht wurden, die Datenbankserver nicht segmentieren, um den Zugriff auf andere Teile des Netzwerks zu blockieren, sobald eine Datenbank verletzt wurde, und die Installation eines robusten Schutzes für die Eindringungserkennung für ihre Legacy-Datenbanken. Darüber hinaus behauptet die FTC, dass Equifax Netzwerkanmeldeinformationen und Kennwörter sowie Sozialversicherungsnummern und andere sensible Verbraucherinformationen im Klartext gespeichert habe.

Trotz der Nichtumsetzung grundlegender Sicherheitsmaßnahmen erklärte die Datenschutzerklärung von Equifax seinerzeit, dass sie den Zugang zu den persönlichen Daten der Verbraucher beschränkte und „angemessene physische, technische und verfahrensrechtliche Schutzmaßnahmen“ zum Schutz der Verbraucherdaten implementiert hat.

Die FTC behauptet, dass Equifax gegen das Verbot des FTC Act gegen unlautere und täuschende Praktiken und die Safeguards Regel des Gramm-Leach-Bliley Act verstößt, wonach Finanzinstitute ein umfassendes Informationssicherheitsprogramm entwickeln, implementieren und aufrechterhalten müssen, um die Sicherheit, Vertraulichkeit zu schützen. und Integrität der Kundendaten.

Abrechnungsanforderungen

Neben der monetären Entlastung für die Verbraucher ist Equifax auch verpflichtet, ein umfassendes Informationssicherheitsprogramm zu implementieren, in dem das Unternehmen mehrere Maßnahmen ergreifen muss, darunter:

Benennung eines Mitarbeiters zur Überwachung des Informationssicherheitsprogramms;

Durchführung von jährlichen Bewertungen der internen und externen Sicherheitsrisiken und Implementierung von Sicherheitsvorkehrungen zur Bewältigung potenzieller Risiken, wie Richtlinien zum Patch-Management und zur Sicherheitsbehebung, Mechanismen für Netzwerkeinbrüche und andere Schutzvorkehrungen;

Jährliche Bescheinigungen des Equifax Vorstands oder des zuständigen Unterausschusses, in dem bestätigt wird, dass das Unternehmen den Auftrag, einschließlich seiner Anforderungen an die Informationssicherheit, eingehalten hat;

Prüfung und Überwachung der Wirksamkeit der Sicherheitsvorkehrungen und

Sicherstellung, dass Dienstleister, die auf die von Equifax gespeicherten personenbezogenen Daten zugreifen, angemessene Sicherheitsvorkehrungen einführen, um diese Daten zu schützen.

Die vorgeschlagene Regelung verlangt auch, dass das Unternehmen alle zwei Jahre Bewertungen seines Informationssicherheitsprogramms durch Dritte einholen muss. Im Rahmen der Bestellung muss der Gutachter die Beweise angeben, die seine Schlussfolgerungen unterstützen, und unabhängige Stichproben, Mitarbeiterinterviews und Dokumentenüberprüfungen durchführen. Der Beschluss erteilt der Kommission die Befugnis, den Gutachter für jeden zweijährigen Beurteilungszeitraum zu genehmigen. Die Bestellung verlangt außerdem, dass Equifax der FTC ein jährliches Update über den Status des Verbraucherrechts vorlegen muss.

Lesen Sie die vollständige Veröffentlichung der Federal Trade Commission bei Equifax, um $575 Millionen als Teil der Abwicklung mit FTC, CFPB und Staaten im Zusammenhang mit Datenverletzung 2017 zu zahlen

Zusätzliche Lesung

Neue Richtlinie vom DOJ zur Inzentivize Corporate Compliance

Automatisierung von eDiscovery: Ein strategischer Rahmen

Quelle: ComplexDiscovery