Equifax betaalt $575 miljoen als onderdeel van de afwikkeling

“Companies that profit from personal information have an extra responsibility to protect and secure that data,” said FTC Chairman Joe Simons. “Equifax failed to take basic steps that may have prevented the breach that affected approximately 147 million consumers. This settlement requires that the company take steps to improve its data security going forward, and will ensure that consumers harmed by this breach can receive help protecting themselves from identity theft and fraud.”

en flag
nl flag
fr flag
de flag
pt flag
es flag

Persaankondiging van de Federal Trade Commission

Equifax om $575 miljoen te betalen als onderdeel van de afwikkeling met FTC, CFPB en staten met betrekking tot datalek in 2017

Equifax Inc. heeft ingestemd met het betalen van ten minste $575 miljoen, en mogelijk tot $700 miljoen, als onderdeel van een wereldwijde schikking met de Federal Trade Commission, het Consumer Financial Protection Bureau (CFPB), en 50 Amerikaanse staten en gebieden, die beweerde dat de kredietrapportage bedrijf niet te nemen redelijke stappen om zijn netwerk te beveiligen hebben geleid tot een datalek in 2017 die ongeveer 147 miljoen mensen getroffen.

In haar klacht stelt de FTC dat Equifax er niet in slaagde de enorme hoeveelheid persoonlijke informatie die op zijn netwerk is opgeslagen te beveiligen, wat leidde tot een inbreuk waarbij miljoenen namen en geboortedatums, socialezekerheidsnummers, fysieke adressen en andere persoonlijke informatie die zou kunnen leiden tot identiteitsdiefstal en fraude.

Als onderdeel van de voorgestelde schikking, zal Equifax $300 miljoen betalen aan een fonds dat getroffen consumenten zal voorzien van credit monitoring diensten. Het fonds zal ook consumenten vergoeden die krediet- of identiteitsbewakingsdiensten van Equifax hebben gekocht en andere out-of-pocket kosten hebben betaald als gevolg van de datalek van 2017. Equifax zal optellen tot $125 miljoen aan het fonds als de eerste betaling is niet genoeg om consumenten te compenseren voor hun verliezen. Bovendien, vanaf januari 2020, zal Equifax alle Amerikaanse consumenten met zes gratis credit rapporten elk jaar voor zeven jaar—in aanvulling op de één gratis jaarlijkse credit rapport dat Equifax en de twee andere landelijke credit rapportage agentschappen momenteel bieden.

Het bedrijf heeft ook ingestemd met het betalen van $175 miljoen aan 48 staten, het District of Columbia en Puerto Rico, evenals $100 miljoen aan de CFPB in burgerlijke straffen.

„Bedrijven die profiteren van persoonlijke informatie hebben een extra verantwoordelijkheid om die gegevens te beschermen en te beveiligen”, aldus FTC-voorzitter Joe Simons. „Equifax slaagde er niet in om fundamentele stappen te ondernemen die mogelijk de inbreuk die ongeveer 147 miljoen consumenten trof hebben voorkomen. Deze regeling vereist dat het bedrijf stappen onderneemt om de beveiliging van gegevens te verbeteren in de toekomst, en zal ervoor zorgen dat consumenten die schade hebben aangericht door deze inbreuk, hulp kunnen krijgen om zichzelf te beschermen tegen identiteitsdiefstal en fraude.”

„De aankondiging van vandaag is niet het einde van onze inspanningen om ervoor te zorgen dat de gevoelige persoonlijke informatie van consumenten veilig en veilig is. Het incident bij Equifax onderstreept de zich ontwikkelende cyberbeveiligingsbedreigingen waarmee zowel particuliere als overheidscomputersystemen worden geconfronteerd en acties die zij moeten ondernemen om de persoonlijke informatie van consumenten te beschermen. Er staat te veel op het spel voor de financiële zekerheid van het Amerikaanse volk om deze bescherming minder dan een topprioriteit te maken. Voor consumenten getroffen door de Equifax inbreuk, de huidige schikking zal beschikbaar stellen tot $425 miljoen voor tijd en geld dat ze besteed om zichzelf te beschermen tegen potentiële bedreigingen van identiteitsdiefstal of het aanpakken van incidenten van identiteitsdiefstal als gevolg van de inbreuk. We moedigen consumenten die getroffen zijn door de schending aan om hun claims in te dienen om gratis kredietcontrole of contante terugbetaling te ontvangen,” aldus directeur van het Consumer Financial Protection Bureau Kathleen L. Kraninger.

Beveiligingsstoringen van het bedrijf

De FTC beweert dat Equifax zijn netwerk niet kan patchen nadat hij in maart 2017 werd gewaarschuwd voor een kritieke beveiligingskwetsbaarheid die zijn ACIS-database beïnvloedt, die vragen van consumenten over hun persoonlijke kredietgegevens behandelt. Hoewel het beveiligingsteam van Equifax opdracht gaf dat elk van de kwetsbare systemen van het bedrijf binnen 48 uur na ontvangst van de waarschuwing zou worden gepatcht, deed Equifax geen follow-up om ervoor te zorgen dat de bestelling werd uitgevoerd door de verantwoordelijke medewerkers.

Equifax heeft zelfs niet ontdekt dat zijn ACIS-database werd unpatched tot juli 2017, toen zijn beveiligingsteam verdacht verkeer op zijn netwerk ontdekte. Een bedrijfsonderzoek bleek dat meerdere hackers in staat waren om de ACIS-kwetsbaarheid te exploiteren om toegang te krijgen tot Equifax netwerk, waar ze toegang kregen tot een onbeveiligd bestand met administratieve referenties opgeslagen in platte tekst. Dankzij deze referenties konden de hackers toegang krijgen tot grote hoeveelheden persoonlijk identificeerbare informatie van de consument en konden ze maandenlang onopgemerkt op het netwerk van Equifax werken.

De hackers richtten zich op Social Security nummers, geboortedatums en andere gevoelige informatie, meestal van consumenten die producten van Equifax hadden gekocht, zoals credit scores, credit monitoring, of identiteitsdiefstal preventiediensten. Zo hebben hackers minstens 147 miljoen namen en geboortedatums gestolen, 145,5 miljoen socialezekerheidsnummers en 209.000 betaalkaartnummers en vervaldatums.

Hackers konden toegang krijgen tot een duizelingwekkende hoeveelheid gegevens omdat Equifax er volgens de klacht niet in slaagde om elementaire beveiligingsmaatregelen te implementeren. Dit omvat het niet implementeren van een beleid om ervoor te zorgen dat beveiligingskwetsbaarheden zijn gepatcht; het niet segmenteren van de databaseservers om de toegang tot andere delen van het netwerk te blokkeren zodra een database werd geschonden; en het niet installeren van robuuste beveiliging voor inbraakdetectie voor de oudere databases. Daarnaast stelt de FTC ook dat Equifax netwerkreferenties en wachtwoorden, alsmede socialezekerheidsnummers en andere gevoelige consumenteninformatie in platte tekst heeft opgeslagen.

Ondanks het niet implementeren van fundamentele beveiligingsmaatregelen, Equifax 's privacybeleid op dat moment stelde dat het de toegang tot de persoonlijke informatie van consumenten beperkte en implementeerde „redelijke fysieke, technische en procedurele waarborgen” om consumentengegevens te beschermen.

De FTC beweert dat Equifax het verbod van de FTC Act heeft geschonden tegen oneerlijke en misleidende praktijken en de Safeguards Rule van de Gramm-Leach-Bliley Act, die financiële instellingen verplicht een uitgebreid programma voor informatiebeveiliging te ontwikkelen, uit te voeren en in stand te houden om de beveiliging, vertrouwelijkheid te beschermen, en integriteit van klantinformatie.

Vereisten voor afwikkeling

Naast de geldelijke verlichting voor consumenten, is Equifax ook verplicht om een uitgebreid programma voor informatiebeveiliging te implementeren waarbij het bedrijf verschillende maatregelen moet nemen, waaronder:

Aanwijzen van een werknemer om toezicht te houden op het informatiebeveiligingsprogramma;

het uitvoeren van jaarlijkse evaluaties van interne en externe beveiligingsrisico's en het uitvoeren van waarborgen om potentiële risico's aan te pakken, zoals beleid inzake patchbeheer en beveiligingssanering, netwerkinbraakmechanismen en andere beveiligingsmaatregelen;

het verkrijgen van jaarlijkse certificeringen van de raad van bestuur van Equifax of van het relevante subcomité waaruit blijkt dat de onderneming aan de order heeft voldaan, met inbegrip van de vereisten inzake informatiebeveiliging;

het testen en bewaken van de doeltreffendheid van de veiligheidswaarborgen, en

Zorgen voor dienstverleners die toegang hebben tot persoonlijke informatie die door Equifax is opgeslagen, zorgen ook voor adequate waarborgen om dergelijke gegevens te beschermen.

De voorgestelde schikking vereist ook dat het bedrijf om de twee jaar evaluaties van haar informatiebeveiligingsprogramma door derden ontvangt. In het kader van de opdracht moet de beoordelaar het bewijsmateriaal specificeren dat zijn conclusies ondersteunt en onafhankelijke steekproeven, interviews met werknemers en documentbeoordelingen uitvoeren. De beschikking verleent de Commissie de bevoegdheid om de beoordelaar voor elke beoordelingsperiode van twee jaar goed te keuren. De bestelling vereist ook dat Equifax jaarlijks een update verstrekt aan de FTC over de status van het proces van consumentenclaims.

Lees de volledige release van de Federal Trade Commission op Equifax om $575 miljoen te betalen als onderdeel van Settlement met FTC, CFPB en staten met betrekking tot 2017 Datalek

Aanvullend lezen

Nieuw beleid van DoJ tot Incentivize Corporate Compliance

Automatisering van eDiscovery: een strategisch kader

Bron: ComplexDiscovery