Equifax para pagar $575 milhões como parte da liquidação

“Companies that profit from personal information have an extra responsibility to protect and secure that data,” said FTC Chairman Joe Simons. “Equifax failed to take basic steps that may have prevented the breach that affected approximately 147 million consumers. This settlement requires that the company take steps to improve its data security going forward, and will ensure that consumers harmed by this breach can receive help protecting themselves from identity theft and fraud.”

en flag
nl flag
fr flag
de flag
pt flag
es flag

Comunicado de Imprensa da Comissão Federal de Comércio

Equifax para pagar US$575 milhões como parte da liquidação com FTC, CFPB e Estados relacionados à violação de dados de 2017

Equifax Inc. concordou em pagar pelo menos US $575 milhões, e potencialmente até US $700 milhões, como parte de um acordo global com a Federal Trade Commission, o Consumer Financial Protection Bureau (CFPB) e 50 estados e territórios dos EUA, que alegaram que a empresa de relatório de crédito não tomar medidas razoáveis para proteger sua rede levaram a uma violação de dados em 2017 que afetou aproximadamente 147 milhões de pessoas.

Na sua denúncia, a FTC alega que a Equifax não conseguiu garantir a enorme quantidade de informações pessoais armazenadas na sua rede, levando a uma violação que expôs milhões de nomes e datas de nascimento, números da Segurança Social, endereços físicos e outras informações pessoais que poderiam levar ao roubo de identidade e fraude.

Como parte do acordo proposto, a Equifax pagará US$300 milhões a um fundo que fornecerá aos consumidores afetados serviços de monitoramento de crédito. O fundo também compensará os consumidores que compraram serviços de monitoramento de crédito ou identidade da Equifax e pagaram outras despesas fora do bolso como resultado da violação de dados de 2017. Equifax irá adicionar até US $125 milhões para o fundo se o pagamento inicial não for suficiente para compensar os consumidores por suas perdas. Além disso, a partir de janeiro de 2020, a Equifax fornecerá a todos os consumidores dos EUA seis relatórios de crédito gratuitos por ano durante sete anos — além do relatório anual gratuito de crédito que a Equifax e as duas outras agências de relatórios de crédito em todo o país fornecem atualmente.

A empresa também concordou em pagar US $175 milhões para 48 estados, o Distrito de Columbia e Porto Rico, bem como US $100 milhões para o CFPB em sanções civis.

“As empresas que lucram com informações pessoais têm uma responsabilidade extra de proteger e proteger esses dados”, disse o presidente da FTC, Joe Simons. “Equifax falhou em tomar medidas básicas que podem ter impedido a violação que afetou aproximadamente 147 milhões de consumidores. Este acordo exige que a empresa tome medidas para melhorar sua segurança de dados no futuro, e garantirá que os consumidores prejudicados por essa violação possam receber ajuda para se proteger contra roubo de identidade e fraude.”

“O anúncio de hoje não é o fim de nossos esforços para garantir que as informações pessoais confidenciais dos consumidores estejam seguras e seguras. O incidente na Equifax sublinha a evolução das ameaças à segurança cibernética que enfrentam sistemas informáticos privados e governamentais e as ações que devem tomar para proteger as informações pessoais dos consumidores. Está em jogo demasiado para que a segurança financeira do povo americano torne estas protecções menos do que uma prioridade máxima. Para os consumidores afetados pela violação da Equifax, o acordo de hoje disponibilizará até US$425 milhões pelo tempo e dinheiro que gastaram para se proteger de ameaças potenciais de roubo de identidade ou lidar com incidentes de roubo de identidade como resultado da violação. Incentivamos os consumidores afetados pela violação a apresentarem suas reivindicações, a fim de receber monitoramento gratuito de crédito ou reembolsos em dinheiro”, disse a diretora do Departamento de Proteção Financeira do Consumidor, Kathleen L. Kraninger.

Falhas de segurança da empresa

A FTC alega que a Equifax não conseguiu corrigir a sua rede depois de ter sido alertada, em março de 2017, para uma vulnerabilidade crítica de segurança que afeta a sua base de dados ACIS, que trata de consultas dos consumidores sobre os seus dados pessoais de crédito. Embora a equipe de segurança da Equifax tenha ordenado que cada um dos sistemas vulneráveis da empresa fosse corrigido dentro de 48 horas após receber o alerta, a Equifax não deu seguimento para garantir que a ordem fosse realizada pelos funcionários responsáveis.

Na verdade, a Equifax não descobriu que seu banco de dados ACIS estava sem patch até julho de 2017, quando sua equipe de segurança detectou tráfego suspeito em sua rede. Uma investigação da empresa revelou que vários hackers foram capazes de explorar a vulnerabilidade ACIS para obter entrada na rede do Equifax, onde eles acessaram um arquivo não seguro que incluía credenciais administrativas armazenadas em texto simples. Essas credenciais permitiram que os hackers obtivessem acesso a grandes quantidades de informações pessoalmente identificáveis dos consumidores e operassem sem serem detectados na rede da Equifax por meses.

Os hackers visavam números da Segurança Social, datas de nascimento e outras informações confidenciais, principalmente de consumidores que tinham comprado produtos da Equifax, como pontuações de crédito, monitoramento de crédito ou serviços de prevenção de roubo de identidade. Por exemplo, os hackers roubaram pelo menos 147 milhões de nomes e datas de nascimento, 145,5 milhões de números da Previdência Social e 209.000 números de cartões de pagamento e datas de validade.

Os hackers conseguiram acessar uma quantidade impressionante de dados porque a Equifax não implementou medidas básicas de segurança, de acordo com a queixa. Isso inclui a falha na implementação de uma política para garantir que as vulnerabilidades de segurança foram corrigidas; a falha de segmentar seus servidores de banco de dados para bloquear o acesso a outras partes da rede depois que um banco de dados foi violado; e a falha na instalação de proteções robustas de detecção de invasões para seus bancos de dados herdados. Além disso, a FTC alega também que a Equifax armazenou, em texto simples, as credenciais e as palavras-passe da rede, bem como os números da Segurança Social e outras informações sensíveis ao consumidor.

Apesar de não implementar medidas básicas de segurança, a política de privacidade da Equifax na altura afirmou que limitava o acesso às informações pessoais dos consumidores e implementava “salvaguardas físicas, técnicas e processuais razoáveis” para proteger os dados dos consumidores.

A FTC alega que a Equifax violou a proibição da FTC Act contra práticas desleais e enganosas e a regra de salvaguardas da Lei Gramm-Leach-Bliley, que exige que as instituições financeiras desenvolvam, implementem e mantenham um programa abrangente de segurança da informação para proteger a segurança, a confidencialidade, e integridade das informações do cliente.

Requisitos de liquidação

Além do alívio monetário para os consumidores, a Equifax também é obrigada a implementar um programa abrangente de segurança da informação que exige que a empresa tome várias medidas, incluindo:

Designar um funcionário para supervisionar o programa de segurança da informação;

Realizar avaliações anuais dos riscos de segurança internos e externos e implementar salvaguardas para enfrentar riscos potenciais, tais como políticas de gestão de correcções e remediação de segurança, mecanismos de intrusão de redes e outras proteções;

Obtenção de certificações anuais do conselho de administração da Equifax ou do subcomité competente que ateste que a empresa cumpriu a ordem, incluindo os seus requisitos de segurança da informação;

Testar e controlar a eficácia das salvaguardas de segurança; e

Garantir que os prestadores de serviços que acessam informações pessoais armazenadas pela Equifax também implementam salvaguardas adequadas para proteger esses dados.

O acordo proposto também exige que a empresa obtenha avaliações de terceiros de seu programa de segurança da informação a cada dois anos. Sob a ordem, o avaliador deve especificar as evidências que apoiam suas conclusões e realizar amostragem independente, entrevistas com funcionários e revisões de documentos. O despacho confere à Comissão a autoridade para aprovar o avaliador para cada período de avaliação de dois anos. A encomenda exige igualmente que a Equifax apresente anualmente à FTC uma actualização sobre o estado do processo de reclamações dos consumidores.

Leia a versão completa da Comissão Federal de Comércio da Equifax para pagar US$575 milhões como parte da liquidação com FTC, CFPB e Estados Relacionados à Violação de Dados de 2017

Leitura adicional

Nova política do DOJ para incentivar a conformidade corporativa

Automatização de eDiscovery: uma estrutura estratégica

Fonte: ComplexDiscovery

Cinco ótimas leituras sobre eDiscovery em setembro de 2020

From cloud forensics and cyber defense to social media and surveys,...

Hora de uma mudança? FTC propõe alterações às regras de notificação de pré-fusão do HSR Act

The Federal Trade Commission, with the support of the Department of...

Uma temporada de férias eDiscovery abaixo? Macquarie prepara Nuix para IPO

According to John Beveridge, writing for Small Caps, Macquarie holds a...

Defesa Cibernética Colaborativa: O Exército dos EUA e a Estônia assinam Acordo Histórico

“Estonia is a cyber country of excellence with a robust cyber...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

Guia de Compradores de Sistemas de Disclosure — Edição 2020 (Andrew Haslam)

Authored by industry expert Andrew Haslam, the eDisclosure Buyers Guide continues...

A Corrida para a Linha de Partida? Anúncios recentes de revisão remota segura

Not all secure remote review offerings are equal as the apparent...

Ativando a Descoberta Eletrônica Remota? Um instantâneo de DAaS

Desktop as a Service (DaaS) providers are becoming important contributors to...

Para casa ou para fora? Considerações de preço e dimensionamento do mercado de coleta de eDiscovery

One of the key home (onsite) or away (remote) decisions that...

Revisões e decisões? Novas considerações sobre análises remotas seguras de eDiscovery

One of the key revision and decision areas that business, legal,...

Uma visão macro do tamanho do mercado de descoberta eletrônica passado e projetado de 2012 a 2024

From a macro look at past estimations of eDiscovery market size...

Um Mashup de tamanho de mercado de eDiscovery: 2019-2024 Visão geral de software e serviços em todo o mundo

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

Festivo ou Inquieto? A pesquisa de confiança dos negócios eDiscovery no outono de 2020

Since January 2016, 2,189 individual responses to nineteen quarterly eDiscovery Business...

Lançando uma rede mais larga? Pesquisa de Protocolos e Tecnologias de Codificação Preditiva — Resultados do Out

The Predictive Coding Technologies and Protocols Survey is a non-scientific semi-annual...

Negócios como incomuns? Dezoito observações sobre a confiança dos negócios de eDiscovery no verão de 2020

Based on the aggregate results of nineteen past eDiscovery Business Confidence...

Uma preocupação crescente? Restrições orçamentárias e o negócio de eDiscovery

In the summer of 2020, 56% of respondents viewed budgetary constraints...

Uma temporada de férias eDiscovery abaixo? Macquarie prepara Nuix para IPO

According to John Beveridge, writing for Small Caps, Macquarie holds a...

ayfie para Adquirir Haive

According to Johannes Stiehler, CEO of ayfie Group AS, “This acquisition...

Descoberta inovadora e Integro

“Integro and Innovative Discovery’s services and solutions are highly complementary. Our...

Parceiros de crescimento de software fazem investimento maioritário na Venio Systems

According to the press announcement, industry analysts have enthusiastically supported this...

Cinco ótimas leituras sobre eDiscovery em setembro de 2020

From cloud forensics and cyber defense to social media and surveys,...

Cinco grandes leituras sobre eDiscovery para agosto de 2020

From predictive coding and artificial intelligence to antitrust investigations and malware,...

Cinco grandes leituras sobre eDiscovery em julho de 2020

From business confidence and operational metrics to data protection and privacy...

Cinco grandes leituras sobre eDiscovery em junho de 2020

From collection market size updates to cloud outsourcing guidelines, the June...