Equifax zahlt 575 Millionen US-Dollar als Teil der Abwicklung

“Companies that profit from personal information have an extra responsibility to protect and secure that data,” said FTC Chairman Joe Simons. “Equifax failed to take basic steps that may have prevented the breach that affected approximately 147 million consumers. This settlement requires that the company take steps to improve its data security going forward, and will ensure that consumers harmed by this breach can receive help protecting themselves from identity theft and fraud.”

en flag
nl flag
fr flag
de flag
pt flag
es flag

Pressemitteilung der Federal Trade Commission

Equifax zahlt 575 Millionen US-Dollar als Teil der Abwicklung mit FTC, CFPB und Staaten im Zusammenhang mit Datenverletzungen 2017

Equifax Inc. hat sich bereit erklärt, mindestens 575 Millionen US-Dollar und möglicherweise bis zu 700 Millionen US-Dollar im Rahmen eines globalen Vergleichs mit der Federal Trade Commission, dem Consumer Financial Protection Bureau (CFPB) und 50 US-Staaten und Territorien zu zahlen. angemessene Schritte zur Sicherung des Netzwerks führten 2017 zu einer Datenverletzung, die rund 147 Millionen Menschen betroffen war.

In ihrer Beschwerde behauptet die FTC, dass Equifax die massive Menge an persönlichen Informationen, die in ihrem Netzwerk gespeichert sind, nicht gesichert habe, was zu einer Verletzung führte, die Millionen von Namen und Geburtsdaten, Sozialversicherungsnummern, physische Adressen und andere persönliche Informationen, die zu Identitätsdiebstahl und Betrug.

Im Rahmen der vorgeschlagenen Abwicklung wird Equifax 300 Millionen Dollar an einen Fonds zahlen, der den betroffenen Verbrauchern Bonitätsüberwachungsdienste zur Verfügung stellt. Der Fonds wird auch Verbraucher entschädigen, die Kredit- oder Identitätsüberwachungsdienste von Equifax gekauft und andere Out-of-Pocket Ausgaben infolge der Datenverletzung 2017 bezahlt haben. Equifax wird dem Fonds bis zu 125 Millionen Dollar addiert, wenn die anfängliche Zahlung nicht ausreicht, um die Verbraucher für ihre Verluste zu kompensieren. Darüber hinaus wird Equifax ab Januar 2020 allen US-Verbrauchern sechs kostenlose Kreditberichte pro Jahr für sieben Jahre zur Verfügung stellen — zusätzlich zu dem kostenlosen jährlichen Kreditbericht, den Equifax und die beiden anderen bundesweiten Kreditberichterstattungsagenturen derzeit zur Verfügung stellen.

Das Unternehmen hat auch vereinbart, $175 Millionen bis 48 Staaten, den District of Columbia und Puerto Rico, sowie $100 Millionen an die CFPB in zivilen Strafen zu zahlen.

„Unternehmen, die von persönlichen Daten profitieren, haben eine zusätzliche Verantwortung, diese Daten zu schützen und zu sichern“, sagte FTC-Vorsitzender Joe Simons. „Equifax hat es versäumt, grundlegende Schritte zu unternehmen, die den Verstoß, der etwa 147 Millionen Verbraucher betrifft, möglicherweise verhindert haben. Diese Regelung erfordert, dass das Unternehmen Maßnahmen zur Verbesserung der Datensicherheit in Zukunft ergreifen und sicherstellen kann, dass Verbraucher, die durch diesen Verstoß geschädigt werden, Hilfe erhalten können, um sich vor Identitätsdiebstahl und Betrug zu schützen.“

„Die heutige Ankündigung ist nicht das Ende unserer Bemühungen, sicherzustellen, dass die sensiblen persönlichen Daten der Verbraucher sicher und sicher sind. Der Vorfall bei Equifax unterstreicht die sich entwickelnden Cyber-Sicherheitsbedrohungen, die sowohl private als auch staatliche Computersysteme gegenüberstehen, und Maßnahmen, die sie ergreifen müssen, um die persönlichen Daten der Verbraucher zu schützen. Es steht zu viel auf dem Spiel für die finanzielle Sicherheit des amerikanischen Volkes, um diesen Schutz weniger als eine oberste Priorität einzuräumen. Für Verbraucher, die von der Equifax-Verletzung betroffen sind, wird der heutige Vergleich bis zu 425 Millionen US-Dollar für Zeit und Geld bereitstellen, die sie zum Schutz vor potenziellen Bedrohungen durch Identitätsdiebstahl oder zur Bewältigung von Identitätsdiebstahl als Folge der Verletzung ausgegeben haben. Wir ermutigen Verbraucher, die von der Verletzung betroffen sind, ihre Ansprüche einzureichen, um eine kostenlose Kreditüberwachung oder Barrückerstattung zu erhalten „, sagte Kathleen L. Kraninger Direktor des Consumer Financial Protection Bureau, Kathleen L. Kraninger.

Sicherheitsfehler des Unternehmens

Die FTC behauptet, dass Equifax sein Netzwerk nicht patchen konnte, nachdem sie im März 2017 auf eine kritische Sicherheitslücke hingewiesen wurde, die seine ACIS-Datenbank betrifft, die Anfragen von Verbrauchern über ihre persönlichen Kreditdaten behandelt. Obwohl das Sicherheitsteam von Equifax angeordnet hat, dass jedes der anfälligen Systeme des Unternehmens innerhalb von 48 Stunden nach Erhalt der Warnung gepatcht wird, hat Equifax nicht nachverfolgt, um sicherzustellen, dass der Auftrag von den zuständigen Mitarbeitern ausgeführt wurde.

Tatsächlich entdeckte Equifax erst im Juli 2017, als das Sicherheitsteam verdächtigen Datenverkehr in seinem Netzwerk feststellte, dass seine ACIS-Datenbank nicht patcht wurde. Eine Untersuchung des Unternehmens ergab, dass mehrere Hacker die ACIS Sicherheitsanfälligkeit ausnutzen konnten, um Zugang zum Equifax-Netzwerk zu erhalten, wo sie auf eine ungesicherte Datei zugreifen, die administrative Anmeldeinformationen enthielt, die im Klartext gespeichert wurden. Diese Anmeldeinformationen ermöglichten es den Hackern, Zugang zu riesigen Mengen persönlicher Daten von Verbrauchern zu erhalten und monatelang unentdeckt im Equifax-Netzwerk zu arbeiten.

Die Hacker zielten auf Sozialversicherungsnummern, Geburtsdaten und andere sensible Informationen ab, vor allem von Verbrauchern, die Produkte von Equifax gekauft hatten, wie Kreditbewertungen, Kreditüberwachung oder Identitätsdiebstahlprävention. Zum Beispiel haben Hacker mindestens 147 Millionen Namen und Geburtsdaten, 145,5 Millionen Sozialversicherungsnummern und 209.000 Zahlungskartennummern und Ablaufdaten gestohlen.

Hacker konnten auf eine enorme Datenmenge zugreifen, da Equifax gemäß der Beschwerde die grundlegenden Sicherheitsmaßnahmen nicht umsetzen konnte. Dazu gehört die fehlende Implementierung einer Richtlinie, die sicherstellt, dass Sicherheitslücken gepatcht wurden, die Datenbankserver nicht segmentieren, um den Zugriff auf andere Teile des Netzwerks zu blockieren, sobald eine Datenbank verletzt wurde, und die Installation eines robusten Schutzes für die Eindringungserkennung für ihre Legacy-Datenbanken. Darüber hinaus behauptet die FTC, dass Equifax Netzwerkanmeldeinformationen und Kennwörter sowie Sozialversicherungsnummern und andere sensible Verbraucherinformationen im Klartext gespeichert habe.

Trotz der Nichtumsetzung grundlegender Sicherheitsmaßnahmen erklärte die Datenschutzerklärung von Equifax seinerzeit, dass sie den Zugang zu den persönlichen Daten der Verbraucher beschränkte und „angemessene physische, technische und verfahrensrechtliche Schutzmaßnahmen“ zum Schutz der Verbraucherdaten implementiert hat.

Die FTC behauptet, dass Equifax gegen das Verbot des FTC Act gegen unlautere und täuschende Praktiken und die Safeguards Regel des Gramm-Leach-Bliley Act verstößt, wonach Finanzinstitute ein umfassendes Informationssicherheitsprogramm entwickeln, implementieren und aufrechterhalten müssen, um die Sicherheit, Vertraulichkeit zu schützen. und Integrität der Kundendaten.

Abrechnungsanforderungen

Neben der monetären Entlastung für die Verbraucher ist Equifax auch verpflichtet, ein umfassendes Informationssicherheitsprogramm zu implementieren, in dem das Unternehmen mehrere Maßnahmen ergreifen muss, darunter:

Benennung eines Mitarbeiters zur Überwachung des Informationssicherheitsprogramms;

Durchführung von jährlichen Bewertungen der internen und externen Sicherheitsrisiken und Implementierung von Sicherheitsvorkehrungen zur Bewältigung potenzieller Risiken, wie Richtlinien zum Patch-Management und zur Sicherheitsbehebung, Mechanismen für Netzwerkeinbrüche und andere Schutzvorkehrungen;

Jährliche Bescheinigungen des Equifax Vorstands oder des zuständigen Unterausschusses, in dem bestätigt wird, dass das Unternehmen den Auftrag, einschließlich seiner Anforderungen an die Informationssicherheit, eingehalten hat;

Prüfung und Überwachung der Wirksamkeit der Sicherheitsvorkehrungen und

Sicherstellung, dass Dienstleister, die auf die von Equifax gespeicherten personenbezogenen Daten zugreifen, angemessene Sicherheitsvorkehrungen einführen, um diese Daten zu schützen.

Die vorgeschlagene Regelung verlangt auch, dass das Unternehmen alle zwei Jahre Bewertungen seines Informationssicherheitsprogramms durch Dritte einholen muss. Im Rahmen der Bestellung muss der Gutachter die Beweise angeben, die seine Schlussfolgerungen unterstützen, und unabhängige Stichproben, Mitarbeiterinterviews und Dokumentenüberprüfungen durchführen. Der Beschluss erteilt der Kommission die Befugnis, den Gutachter für jeden zweijährigen Beurteilungszeitraum zu genehmigen. Die Bestellung verlangt außerdem, dass Equifax der FTC ein jährliches Update über den Status des Verbraucherrechts vorlegen muss.

Lesen Sie die vollständige Veröffentlichung der Federal Trade Commission bei Equifax, um $575 Millionen als Teil der Abwicklung mit FTC, CFPB und Staaten im Zusammenhang mit Datenverletzung 2017 zu zahlen

Zusätzliche Lesung

Neue Richtlinie vom DOJ zur Inzentivize Corporate Compliance

Automatisierung von eDiscovery: Ein strategischer Rahmen

Quelle: ComplexDiscovery

Fünf große Lesevorgänge auf eDiscovery für September 2020

From cloud forensics and cyber defense to social media and surveys,...

Zeit für eine Veränderung? FTC schlägt Änderungen an HSR Act Premerger Notifizierungsregeln vor

The Federal Trade Commission, with the support of the Department of...

Eine eDiscovery-Weihnachtssaison Down Under? Macquarie bereitet Nuix für den Börsengang vor

According to John Beveridge, writing for Small Caps, Macquarie holds a...

Collaborative Cyber Defense: US-Armee und Estland unterzeichnen historisches Abkommen

“Estonia is a cyber country of excellence with a robust cyber...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

Das eDisclosure Systems Buyers Guide — 2020 Edition (Andrew Haslam)

Authored by industry expert Andrew Haslam, the eDisclosure Buyers Guide continues...

Das Rennen zur Startlinie? Aktuelle Ankündigungen zur sicheren Remote-Überprüfung

Not all secure remote review offerings are equal as the apparent...

Remote-eDiscovery aktivieren? Eine Momentaufnahme von DaaS

Desktop as a Service (DaaS) providers are becoming important contributors to...

Heim oder weg? Überlegungen zur Größenbestimmung und Preisgestaltung im eDiscovery-Sammlungsmarkt

One of the key home (onsite) or away (remote) decisions that...

Revisionen und Entscheidungen? Neue Überlegungen für eDiscovery Secure Remote Reviews

One of the key revision and decision areas that business, legal,...

Ein makroökonomisches Blick auf die Größe der vergangenen und projizierten eDiscovery-Märkte von 2012 bis 2024

From a macro look at past estimations of eDiscovery market size...

Ein eDiscovery Market Size Mashup: 2019-2024 Weltweiter Überblick über Software und Services

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

Festlich oder restive? Die eDiscovery-Umfrage zum Vertrauen in Unternehmen im Herbst 2020

Since January 2016, 2,189 individual responses to nineteen quarterly eDiscovery Business...

Wirst du ein breiteres Netz? Umfrage zu Predictive Coding Technologies und Protokolle — Ergebnisse Herbst 2020

The Predictive Coding Technologies and Protocols Survey is a non-scientific semi-annual...

Geschäft als ungewöhnlich? Achtzehn Beobachtungen zum Vertrauen in eDiscovery im Sommer 2020

Based on the aggregate results of nineteen past eDiscovery Business Confidence...

Ein wachsendes Anliegen? Budgetbeschränkungen und das Geschäft von eDiscovery

In the summer of 2020, 56% of respondents viewed budgetary constraints...

Eine eDiscovery-Weihnachtssaison Down Under? Macquarie bereitet Nuix für den Börsengang vor

According to John Beveridge, writing for Small Caps, Macquarie holds a...

ayfie wird Haive erwerben

According to Johannes Stiehler, CEO of ayfie Group AS, “This acquisition...

Innovative Entdeckung und Integro Zusammenführung

“Integro and Innovative Discovery’s services and solutions are highly complementary. Our...

Software-Wachstumspartner tätigen Mehrheitsinvestitionen in Venio Systems

According to the press announcement, industry analysts have enthusiastically supported this...

Fünf große Lesevorgänge auf eDiscovery für September 2020

From cloud forensics and cyber defense to social media and surveys,...

Fünf große Lesevorgänge auf eDiscovery für August 2020

From predictive coding and artificial intelligence to antitrust investigations and malware,...

Fünf große Lesevorgänge auf eDiscovery für Juli 2020

From business confidence and operational metrics to data protection and privacy...

Fünf große Lesevorgänge auf eDiscovery für Juni 2020

From collection market size updates to cloud outsourcing guidelines, the June...