Lembre-se da violação Equifax? O grande caos de segurança afetou uma das maiores empresas de relatórios de crédito que operam nos EUA. Como resultado da intrusão maliciosa, os cibercriminosos conseguiram obter informações sobre milhões de usuários em todo o mundo. A violação de dados, o que aconteceu entre 13 Maio e 30 Julho 2017 nos E.U.A, afetado 146 milhões de clientes em uma escala global.
Gabinete do Comissário de Informação do Reino Unido (ICO) Imposto £ 500.000 de multa
Agora, a empresa recebeu uma multa no valor de £ 500.000 devido aos dados de 15 milhões de cidadãos do Reino Unido que foram comprometidos na violação. Gabinete do Comissário de Informação do Reino Unido (ICO) impôs a multa após uma investigação sobre a violação catastrófica, seus relatório disse.
A investigação da ICO descobriu que, embora os sistemas de informação nos EUA estivessem comprometidos, Equifax Ltd foi responsável pelas informações pessoais de seus clientes no Reino Unido. O braço britânico da empresa não tomou as medidas adequadas para garantir que sua controladora americana Equifax Inc, que estava processando os dados em seu nome, estava protegendo a informação.
Os hackers da Equifax conseguiram comprometer os servidores privados da empresa. Os seguintes tipos de dados foram extraídos: números de segurança social (SSN), endereços, data de nascimento, números de carteira de motorista e detalhes de cartão de pagamento de aproximadamente 209 000 Cidadãos americanos. além do que, além do mais, os criminosos obtiveram outros tipos de documentos que também contêm informações de identificação, tais listagens de cerca de 182 000 consumidores foram acessados. Dados privados de residentes canadenses e britânicos também foram roubados.
A violação de dados foi causada por uma exploração de uma vulnerabilidade Apache Struts CVE-2017-5638, um patch para o qual não foi aplicado em tempo hábil. Afetou principalmente cidadãos americanos. Contudo, dados de 15 milhões de cidadãos do Reino Unido também foram comprometidos. Como aparece, o braço britânico da Equifax falhou em garantir que sua controladora americana, que estava processando os dados em seu nome, estava protegendo a informação.
De acordo com uma investigação realizada com a ajuda da Autoridade de Conduta Financeira (FCA), Equifax falhou em “cinco de oito” princípios de dados sob a Lei de Proteção de Dados 1998. Além disso, sob a legislação do Reino Unido, A Equifax não protegeu os dados pessoais e implementou práticas de retenção inadequadas. Em cima disso, havia também a falta de base legal para transferências internacionais de dados de cidadãos do Reino Unido.
Aqui está o lugar para mencionar que os pesquisadores de segurança descobriram recentemente uma vulnerabilidade que poderia ser pior do que CVE-2017-5638. Esta vulnerabilidade é rastreada como CVE-2018-11776 e está residindo na funcionalidade central do Apache Strut. É uma vulnerabilidade de execução remota de código que afeta todas as versões com suporte do Apache Struts 2.