Equifax betaalt $575 miljoen als onderdeel van de afwikkeling

“Companies that profit from personal information have an extra responsibility to protect and secure that data,” said FTC Chairman Joe Simons. “Equifax failed to take basic steps that may have prevented the breach that affected approximately 147 million consumers. This settlement requires that the company take steps to improve its data security going forward, and will ensure that consumers harmed by this breach can receive help protecting themselves from identity theft and fraud.”

en flag
nl flag
fr flag
de flag
pt flag
es flag

Persaankondiging van de Federal Trade Commission

Equifax om $575 miljoen te betalen als onderdeel van de afwikkeling met FTC, CFPB en staten met betrekking tot datalek in 2017

Equifax Inc. heeft ingestemd met het betalen van ten minste $575 miljoen, en mogelijk tot $700 miljoen, als onderdeel van een wereldwijde schikking met de Federal Trade Commission, het Consumer Financial Protection Bureau (CFPB), en 50 Amerikaanse staten en gebieden, die beweerde dat de kredietrapportage bedrijf niet te nemen redelijke stappen om zijn netwerk te beveiligen hebben geleid tot een datalek in 2017 die ongeveer 147 miljoen mensen getroffen.

In haar klacht stelt de FTC dat Equifax er niet in slaagde de enorme hoeveelheid persoonlijke informatie die op zijn netwerk is opgeslagen te beveiligen, wat leidde tot een inbreuk waarbij miljoenen namen en geboortedatums, socialezekerheidsnummers, fysieke adressen en andere persoonlijke informatie die zou kunnen leiden tot identiteitsdiefstal en fraude.

Als onderdeel van de voorgestelde schikking, zal Equifax $300 miljoen betalen aan een fonds dat getroffen consumenten zal voorzien van credit monitoring diensten. Het fonds zal ook consumenten vergoeden die krediet- of identiteitsbewakingsdiensten van Equifax hebben gekocht en andere out-of-pocket kosten hebben betaald als gevolg van de datalek van 2017. Equifax zal optellen tot $125 miljoen aan het fonds als de eerste betaling is niet genoeg om consumenten te compenseren voor hun verliezen. Bovendien, vanaf januari 2020, zal Equifax alle Amerikaanse consumenten met zes gratis credit rapporten elk jaar voor zeven jaar—in aanvulling op de één gratis jaarlijkse credit rapport dat Equifax en de twee andere landelijke credit rapportage agentschappen momenteel bieden.

Het bedrijf heeft ook ingestemd met het betalen van $175 miljoen aan 48 staten, het District of Columbia en Puerto Rico, evenals $100 miljoen aan de CFPB in burgerlijke straffen.

„Bedrijven die profiteren van persoonlijke informatie hebben een extra verantwoordelijkheid om die gegevens te beschermen en te beveiligen”, aldus FTC-voorzitter Joe Simons. „Equifax slaagde er niet in om fundamentele stappen te ondernemen die mogelijk de inbreuk die ongeveer 147 miljoen consumenten trof hebben voorkomen. Deze regeling vereist dat het bedrijf stappen onderneemt om de beveiliging van gegevens te verbeteren in de toekomst, en zal ervoor zorgen dat consumenten die schade hebben aangericht door deze inbreuk, hulp kunnen krijgen om zichzelf te beschermen tegen identiteitsdiefstal en fraude.”

„De aankondiging van vandaag is niet het einde van onze inspanningen om ervoor te zorgen dat de gevoelige persoonlijke informatie van consumenten veilig en veilig is. Het incident bij Equifax onderstreept de zich ontwikkelende cyberbeveiligingsbedreigingen waarmee zowel particuliere als overheidscomputersystemen worden geconfronteerd en acties die zij moeten ondernemen om de persoonlijke informatie van consumenten te beschermen. Er staat te veel op het spel voor de financiële zekerheid van het Amerikaanse volk om deze bescherming minder dan een topprioriteit te maken. Voor consumenten getroffen door de Equifax inbreuk, de huidige schikking zal beschikbaar stellen tot $425 miljoen voor tijd en geld dat ze besteed om zichzelf te beschermen tegen potentiële bedreigingen van identiteitsdiefstal of het aanpakken van incidenten van identiteitsdiefstal als gevolg van de inbreuk. We moedigen consumenten die getroffen zijn door de schending aan om hun claims in te dienen om gratis kredietcontrole of contante terugbetaling te ontvangen,” aldus directeur van het Consumer Financial Protection Bureau Kathleen L. Kraninger.

Beveiligingsstoringen van het bedrijf

De FTC beweert dat Equifax zijn netwerk niet kan patchen nadat hij in maart 2017 werd gewaarschuwd voor een kritieke beveiligingskwetsbaarheid die zijn ACIS-database beïnvloedt, die vragen van consumenten over hun persoonlijke kredietgegevens behandelt. Hoewel het beveiligingsteam van Equifax opdracht gaf dat elk van de kwetsbare systemen van het bedrijf binnen 48 uur na ontvangst van de waarschuwing zou worden gepatcht, deed Equifax geen follow-up om ervoor te zorgen dat de bestelling werd uitgevoerd door de verantwoordelijke medewerkers.

Equifax heeft zelfs niet ontdekt dat zijn ACIS-database werd unpatched tot juli 2017, toen zijn beveiligingsteam verdacht verkeer op zijn netwerk ontdekte. Een bedrijfsonderzoek bleek dat meerdere hackers in staat waren om de ACIS-kwetsbaarheid te exploiteren om toegang te krijgen tot Equifax netwerk, waar ze toegang kregen tot een onbeveiligd bestand met administratieve referenties opgeslagen in platte tekst. Dankzij deze referenties konden de hackers toegang krijgen tot grote hoeveelheden persoonlijk identificeerbare informatie van de consument en konden ze maandenlang onopgemerkt op het netwerk van Equifax werken.

De hackers richtten zich op Social Security nummers, geboortedatums en andere gevoelige informatie, meestal van consumenten die producten van Equifax hadden gekocht, zoals credit scores, credit monitoring, of identiteitsdiefstal preventiediensten. Zo hebben hackers minstens 147 miljoen namen en geboortedatums gestolen, 145,5 miljoen socialezekerheidsnummers en 209.000 betaalkaartnummers en vervaldatums.

Hackers konden toegang krijgen tot een duizelingwekkende hoeveelheid gegevens omdat Equifax er volgens de klacht niet in slaagde om elementaire beveiligingsmaatregelen te implementeren. Dit omvat het niet implementeren van een beleid om ervoor te zorgen dat beveiligingskwetsbaarheden zijn gepatcht; het niet segmenteren van de databaseservers om de toegang tot andere delen van het netwerk te blokkeren zodra een database werd geschonden; en het niet installeren van robuuste beveiliging voor inbraakdetectie voor de oudere databases. Daarnaast stelt de FTC ook dat Equifax netwerkreferenties en wachtwoorden, alsmede socialezekerheidsnummers en andere gevoelige consumenteninformatie in platte tekst heeft opgeslagen.

Ondanks het niet implementeren van fundamentele beveiligingsmaatregelen, Equifax 's privacybeleid op dat moment stelde dat het de toegang tot de persoonlijke informatie van consumenten beperkte en implementeerde „redelijke fysieke, technische en procedurele waarborgen” om consumentengegevens te beschermen.

De FTC beweert dat Equifax het verbod van de FTC Act heeft geschonden tegen oneerlijke en misleidende praktijken en de Safeguards Rule van de Gramm-Leach-Bliley Act, die financiële instellingen verplicht een uitgebreid programma voor informatiebeveiliging te ontwikkelen, uit te voeren en in stand te houden om de beveiliging, vertrouwelijkheid te beschermen, en integriteit van klantinformatie.

Vereisten voor afwikkeling

Naast de geldelijke verlichting voor consumenten, is Equifax ook verplicht om een uitgebreid programma voor informatiebeveiliging te implementeren waarbij het bedrijf verschillende maatregelen moet nemen, waaronder:

Aanwijzen van een werknemer om toezicht te houden op het informatiebeveiligingsprogramma;

het uitvoeren van jaarlijkse evaluaties van interne en externe beveiligingsrisico's en het uitvoeren van waarborgen om potentiële risico's aan te pakken, zoals beleid inzake patchbeheer en beveiligingssanering, netwerkinbraakmechanismen en andere beveiligingsmaatregelen;

het verkrijgen van jaarlijkse certificeringen van de raad van bestuur van Equifax of van het relevante subcomité waaruit blijkt dat de onderneming aan de order heeft voldaan, met inbegrip van de vereisten inzake informatiebeveiliging;

het testen en bewaken van de doeltreffendheid van de veiligheidswaarborgen, en

Zorgen voor dienstverleners die toegang hebben tot persoonlijke informatie die door Equifax is opgeslagen, zorgen ook voor adequate waarborgen om dergelijke gegevens te beschermen.

De voorgestelde schikking vereist ook dat het bedrijf om de twee jaar evaluaties van haar informatiebeveiligingsprogramma door derden ontvangt. In het kader van de opdracht moet de beoordelaar het bewijsmateriaal specificeren dat zijn conclusies ondersteunt en onafhankelijke steekproeven, interviews met werknemers en documentbeoordelingen uitvoeren. De beschikking verleent de Commissie de bevoegdheid om de beoordelaar voor elke beoordelingsperiode van twee jaar goed te keuren. De bestelling vereist ook dat Equifax jaarlijks een update verstrekt aan de FTC over de status van het proces van consumentenclaims.

Lees de volledige release van de Federal Trade Commission op Equifax om $575 miljoen te betalen als onderdeel van Settlement met FTC, CFPB en staten met betrekking tot 2017 Datalek

Aanvullend lezen

Nieuw beleid van DoJ tot Incentivize Corporate Compliance

Automatisering van eDiscovery: een strategisch kader

Bron: ComplexDiscovery

Vijf geweldige lezingen op eDiscovery voor september 2020

From cloud forensics and cyber defense to social media and surveys,...

Tijd voor een verandering? FTC stelt wijzigingen voor in de HSR-wet Prefusie aanmeldingsregels

The Federal Trade Commission, with the support of the Department of...

Een eDiscovery vakantieseizoen onder? Macquarie bereidt Naix voor op beursgang

According to John Beveridge, writing for Small Caps, Macquarie holds a...

Collaborative Cyber Defense: het Amerikaanse leger en Estland ondertekenen historische overeenkomst

“Estonia is a cyber country of excellence with a robust cyber...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

De handleiding voor kopers van eDisclosure Systems — editie 2020 (Andrew Haslam)

Authored by industry expert Andrew Haslam, the eDisclosure Buyers Guide continues...

De race naar de startlijn? Recente aankondigingen voor veilige externe beoordeling

Not all secure remote review offerings are equal as the apparent...

Remote eDiscovery inschakelen? Een momentopname van DaaS

Desktop as a Service (DaaS) providers are becoming important contributors to...

Thuis of weg? eDiscovery Collection Market Overwegingen voor afmetingen en prijzen

One of the key home (onsite) or away (remote) decisions that...

Herzieningen en besluiten? Nieuwe overwegingen voor eDiscovery Secure Remote Reviews

One of the key revision and decision areas that business, legal,...

Een macro blik op het verleden en de verwachte eDiscovery Marktgrootte van 2012 tot 2024

From a macro look at past estimations of eDiscovery market size...

Een eDiscovery Marktgrootte Mashup: 2019-2024 wereldwijd overzicht van software en services

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

Feestelijk of Restive? De enquête over het vertrouwen van bedrijven in de herfst van 2020

Since January 2016, 2,189 individual responses to nineteen quarterly eDiscovery Business...

Een breder net gieten? Onderzoek naar voorspellende codeertechnologieën en protocollen — Resultaten najaar 2020

The Predictive Coding Technologies and Protocols Survey is a non-scientific semi-annual...

Zakelijk als Ongebruikelijk? Achttien opmerkingen over het vertrouwen van eDiscovery in de zomer van 2020

Based on the aggregate results of nineteen past eDiscovery Business Confidence...

Een groeiende zorg? Begrotingsbeperkingen en de activiteiten van eDiscovery

In the summer of 2020, 56% of respondents viewed budgetary constraints...

Een eDiscovery vakantieseizoen onder? Macquarie bereidt Naix voor op beursgang

According to John Beveridge, writing for Small Caps, Macquarie holds a...

ayfie om Haive te verwerven

According to Johannes Stiehler, CEO of ayfie Group AS, “This acquisition...

Innovatieve Discovery en Integro Samen

“Integro and Innovative Discovery’s services and solutions are highly complementary. Our...

Partners voor softwaregroei maken meerderheidsinvesteringen in Venio-systemen

According to the press announcement, industry analysts have enthusiastically supported this...

Vijf geweldige lezingen op eDiscovery voor september 2020

From cloud forensics and cyber defense to social media and surveys,...

Vijf geweldige leesboeken op eDiscovery voor augustus 2020

From predictive coding and artificial intelligence to antitrust investigations and malware,...

Vijf grote lezingen over eDiscovery voor juli 2020

From business confidence and operational metrics to data protection and privacy...

Vijf grote lezingen over eDiscovery voor juni 2020

From collection market size updates to cloud outsourcing guidelines, the June...