Comunicado de Imprensa da Comissão Federal de Comércio
Equifax para pagar US$575 milhões como parte da liquidação com FTC, CFPB e Estados relacionados à violação de dados de 2017
Equifax Inc. concordou em pagar pelo menos US $575 milhões, e potencialmente até US $700 milhões, como parte de um acordo global com a Federal Trade Commission, o Consumer Financial Protection Bureau (CFPB) e 50 estados e territórios dos EUA, que alegaram que a empresa de relatório de crédito não tomar medidas razoáveis para proteger sua rede levaram a uma violação de dados em 2017 que afetou aproximadamente 147 milhões de pessoas.
Na sua denúncia, a FTC alega que a Equifax não conseguiu garantir a enorme quantidade de informações pessoais armazenadas na sua rede, levando a uma violação que expôs milhões de nomes e datas de nascimento, números da Segurança Social, endereços físicos e outras informações pessoais que poderiam levar ao roubo de identidade e fraude.
Como parte do acordo proposto, a Equifax pagará US$300 milhões a um fundo que fornecerá aos consumidores afetados serviços de monitoramento de crédito. O fundo também compensará os consumidores que compraram serviços de monitoramento de crédito ou identidade da Equifax e pagaram outras despesas fora do bolso como resultado da violação de dados de 2017. Equifax irá adicionar até US $125 milhões para o fundo se o pagamento inicial não for suficiente para compensar os consumidores por suas perdas. Além disso, a partir de janeiro de 2020, a Equifax fornecerá a todos os consumidores dos EUA seis relatórios de crédito gratuitos por ano durante sete anos — além do relatório anual gratuito de crédito que a Equifax e as duas outras agências de relatórios de crédito em todo o país fornecem atualmente.
A empresa também concordou em pagar US $175 milhões para 48 estados, o Distrito de Columbia e Porto Rico, bem como US $100 milhões para o CFPB em sanções civis.
“As empresas que lucram com informações pessoais têm uma responsabilidade extra de proteger e proteger esses dados”, disse o presidente da FTC, Joe Simons. “Equifax falhou em tomar medidas básicas que podem ter impedido a violação que afetou aproximadamente 147 milhões de consumidores. Este acordo exige que a empresa tome medidas para melhorar sua segurança de dados no futuro, e garantirá que os consumidores prejudicados por essa violação possam receber ajuda para se proteger contra roubo de identidade e fraude.”
“O anúncio de hoje não é o fim de nossos esforços para garantir que as informações pessoais confidenciais dos consumidores estejam seguras e seguras. O incidente na Equifax sublinha a evolução das ameaças à segurança cibernética que enfrentam sistemas informáticos privados e governamentais e as ações que devem tomar para proteger as informações pessoais dos consumidores. Está em jogo demasiado para que a segurança financeira do povo americano torne estas protecções menos do que uma prioridade máxima. Para os consumidores afetados pela violação da Equifax, o acordo de hoje disponibilizará até US$425 milhões pelo tempo e dinheiro que gastaram para se proteger de ameaças potenciais de roubo de identidade ou lidar com incidentes de roubo de identidade como resultado da violação. Incentivamos os consumidores afetados pela violação a apresentarem suas reivindicações, a fim de receber monitoramento gratuito de crédito ou reembolsos em dinheiro”, disse a diretora do Departamento de Proteção Financeira do Consumidor, Kathleen L. Kraninger.
Falhas de segurança da empresa
A FTC alega que a Equifax não conseguiu corrigir a sua rede depois de ter sido alertada, em março de 2017, para uma vulnerabilidade crítica de segurança que afeta a sua base de dados ACIS, que trata de consultas dos consumidores sobre os seus dados pessoais de crédito. Embora a equipe de segurança da Equifax tenha ordenado que cada um dos sistemas vulneráveis da empresa fosse corrigido dentro de 48 horas após receber o alerta, a Equifax não deu seguimento para garantir que a ordem fosse realizada pelos funcionários responsáveis.
Na verdade, a Equifax não descobriu que seu banco de dados ACIS estava sem patch até julho de 2017, quando sua equipe de segurança detectou tráfego suspeito em sua rede. Uma investigação da empresa revelou que vários hackers foram capazes de explorar a vulnerabilidade ACIS para obter entrada na rede do Equifax, onde eles acessaram um arquivo não seguro que incluía credenciais administrativas armazenadas em texto simples. Essas credenciais permitiram que os hackers obtivessem acesso a grandes quantidades de informações pessoalmente identificáveis dos consumidores e operassem sem serem detectados na rede da Equifax por meses.
Os hackers visavam números da Segurança Social, datas de nascimento e outras informações confidenciais, principalmente de consumidores que tinham comprado produtos da Equifax, como pontuações de crédito, monitoramento de crédito ou serviços de prevenção de roubo de identidade. Por exemplo, os hackers roubaram pelo menos 147 milhões de nomes e datas de nascimento, 145,5 milhões de números da Previdência Social e 209.000 números de cartões de pagamento e datas de validade.
Os hackers conseguiram acessar uma quantidade impressionante de dados porque a Equifax não implementou medidas básicas de segurança, de acordo com a queixa. Isso inclui a falha na implementação de uma política para garantir que as vulnerabilidades de segurança foram corrigidas; a falha de segmentar seus servidores de banco de dados para bloquear o acesso a outras partes da rede depois que um banco de dados foi violado; e a falha na instalação de proteções robustas de detecção de invasões para seus bancos de dados herdados. Além disso, a FTC alega também que a Equifax armazenou, em texto simples, as credenciais e as palavras-passe da rede, bem como os números da Segurança Social e outras informações sensíveis ao consumidor.
Apesar de não implementar medidas básicas de segurança, a política de privacidade da Equifax na altura afirmou que limitava o acesso às informações pessoais dos consumidores e implementava “salvaguardas físicas, técnicas e processuais razoáveis” para proteger os dados dos consumidores.
A FTC alega que a Equifax violou a proibição da FTC Act contra práticas desleais e enganosas e a regra de salvaguardas da Lei Gramm-Leach-Bliley, que exige que as instituições financeiras desenvolvam, implementem e mantenham um programa abrangente de segurança da informação para proteger a segurança, a confidencialidade, e integridade das informações do cliente.
Requisitos de liquidação
Além do alívio monetário para os consumidores, a Equifax também é obrigada a implementar um programa abrangente de segurança da informação que exige que a empresa tome várias medidas, incluindo:
Designar um funcionário para supervisionar o programa de segurança da informação;
Realizar avaliações anuais dos riscos de segurança internos e externos e implementar salvaguardas para enfrentar riscos potenciais, tais como políticas de gestão de correcções e remediação de segurança, mecanismos de intrusão de redes e outras proteções;
Obtenção de certificações anuais do conselho de administração da Equifax ou do subcomité competente que ateste que a empresa cumpriu a ordem, incluindo os seus requisitos de segurança da informação;
Testar e controlar a eficácia das salvaguardas de segurança; e
Garantir que os prestadores de serviços que acessam informações pessoais armazenadas pela Equifax também implementam salvaguardas adequadas para proteger esses dados.
O acordo proposto também exige que a empresa obtenha avaliações de terceiros de seu programa de segurança da informação a cada dois anos. Sob a ordem, o avaliador deve especificar as evidências que apoiam suas conclusões e realizar amostragem independente, entrevistas com funcionários e revisões de documentos. O despacho confere à Comissão a autoridade para aprovar o avaliador para cada período de avaliação de dois anos. A encomenda exige igualmente que a Equifax apresente anualmente à FTC uma actualização sobre o estado do processo de reclamações dos consumidores.
Leia a versão completa da Comissão Federal de Comércio da Equifax para pagar US$575 milhões como parte da liquidação com FTC, CFPB e Estados Relacionados à Violação de Dados de 2017
Leitura adicional
Nova política do DOJ para incentivar a conformidade corporativa
Automatização de eDiscovery: uma estrutura estratégica
Fonte: ComplexDiscovery
