L’agence de référence de crédit Equifax a finalisé un règlement pour une violation de données de 2017 qui a touché plus de 147 millions de citoyens américains et 15 millions de Britanniques.
Equifax a admis pour la première fois la violation massive en septembre 2017. Les noms, numéros de sécurité sociale, dates de naissance, adresses ainsi que les détails du permis de conduire de plus de 10 millions de personnes ont été exposés après que les attaquants ont utilisé une vulnérabilité connue pour pénétrer dans les bases de données d’Equifax.
La violation a exposé les données de carte de crédit d’un sous-ensemble plus restreint d’environ 209 000 victimes.
On estime que 15 millions de citoyens britanniques ont été touchés par l’incident, dont 694 000 avaient des données sensibles exposées. Un plus petit nombre de Canadiens ont également été touchés.
Des travaux de criminalistique informatique ultérieurs ont révélé que les attaquants avaient accès aux systèmes d’Equifax entre mai et juillet 2017, lorsque la violation a été détectée et résolue.
La cause première de l’attaque était une vulnérabilité critique d’Apache Struts, découverte et résolue en mars 2017, qui n’a pas été résolue sur au moins un serveur Equifax accessible sur le Web.
Les attaquants ont profité d’une installation Apache Struts non corrigée pour pirater le portail de résolution des litiges d’Equifax.
Ce serveur compromis a agi comme un tremplin permettant aux pirates d’accéder aux systèmes internes d’Equifax avant de voler les informations d’identification leur permettant d’interroger ses bases de données.
DES ARCHIVES Equifax un an plus tard : Peu de choses ont changé – du moins pour l’entreprise d’un milliard de dollars
Les requêtes de base de données étaient stockées dans des fichiers compressés qui étaient lentement et systématiquement détournés.
En février 2020, les autorités américaines ont dévoilé un acte d’accusation accusant quatre membres nommés de l’armée chinoise de cyberattaque.
Le quatuor – des membres présumés du 54e institut de recherche de l’APL – a été servi avec un acte d’accusation en neuf chefs, comme détaillé dans une déclaration du ministère américain de la Justice sur l’affaire. Les autorités chinoises nient toute implication dans le piratage.
Règlement global
Equifax a accepté un règlement global avec la Federal Trade Commission (FTC), le Consumer Financial Protection Bureau et 50 États et territoires américains.
Le règlement comprend jusqu’à 425 millions de dollars pour aider les personnes touchées par la violation de données, comme expliqué dans un mise à jour de la FTC.
Une partie de ce chiffre est destinée à couvrir les pertes et les dépenses – juridiques et autres – subies par les victimes de vol d’identité et de fraude, tandis que certaines iront probablement à la couverture des services de surveillance du crédit et le reste aux demandeurs qui revendiquent leur réclamation avant janvier 2020. date limite.
La gorgée quotidienne a demandé à la FTC de proposer une estimation du nombre de demandeurs et des paiements que chacun est susceptible de recevoir. Pas encore de réponse, mais nous mettrons à jour cette histoire au fur et à mesure que de plus amples informations seront disponibles.
VOUS POURRIEZ AUSSI AIMER Violation de données suspectée au Département des licences de l’État de Washington
