Violation de données d'Equifax : il est peu probable que les consommateurs bénéficient financièrement du règlement final

La méga-violation d’Equifax en 2017 était sans doute la pire violation de données que les consommateurs aient jamais subie, mais les détails du règlement final révèlent que la plupart des individus ont peu de chances d’obtenir une quelconque récompense.

Les attaquants ont profité d’une vulnérabilité connue dans Apache Struts pour pénétrer dans la base de données des agences de référence de crédit via son portail de résolution des litiges avant de siphonner les dossiers de crédit de plus de 147 millions de citoyens américains et d’environ 15 millions de résidents britanniques.

La violation a révélé des noms et des dates de naissance, des numéros de sécurité sociale, des adresses physiques et d’autres informations personnelles qui pourraient conduire à un vol d’identité et à une fraude.

Les numéros de cartes de crédit d’environ 209 000 consommateurs américains et les détails des permis de conduire américains de plus de 10 millions de personnes ont également été exposés.

Les systèmes d’Equifax ont été exposés pendant des semaines entre mai et juillet 2017 avant que le problème ne soit détecté et que des mesures correctives ne soient prises. La mise à jour clé d’Apache Struts a été publiée en mars 2017.

Chahut juridique

Après que la violation massive a été rendue publique en septembre 2017, des poursuites et des mesures d’exécution ont suivi.

En juillet 2019, Equifax a accepté de payer 175 millions de dollars à 48 États américains, au district de Columbia et à Porto Rico, ainsi que 100 millions de dollars au Consumer Financial Protection Bureau.

En savoir plus sur les dernières nouvelles sur les violations de données

L’agence de référence de crédit a été accusée d’avoir « omis de prendre des mesures raisonnables pour sécuriser son réseau », des lacunes dans les contrôles de détection des attaques, des informations d’identification d’administrateur stockées en texte brut et un cryptage inadéquat des données sensibles des clients.

Aux termes du règlement final sous-déclaré, Equifax a accepté de verser au moins 300 millions de dollars à un fonds de consommation pour aider les personnes touchées par la violation à se remettre de l’incident. L’agence de référence de crédit a en outre accepté, si nécessaire, de verser jusqu’à 125 millions de dollars supplémentaires dans un fonds supplémentaire pour rembourser les consommateurs des pertes directes résultant de la violation de données.

Décomposer la violation d’Equifax

Un porte-parole de la Federal Trade Commission (FTC) des États-Unis a proposé La gorgée quotidienne une ventilation de la distribution du principal fonds de consommation de 300 millions de dollars:

Une surveillance gratuite du crédit pendant 10 ans sera attribuée aux consommateurs concernés.
Argent pour rembourser les consommateurs (plafonné à 20 000 $ par consommateur) pour les pertes directes liées à la violation, telles que les frais non autorisés sur leurs comptes, les frais de gel de leur crédit et la surveillance du crédit.
Des fonds de 31 millions de dollars pour indemniser les consommateurs pour le temps passé à se remettre de la violation – jusqu’à 20 heures à 25 $ de l’heure.
Un montant supplémentaire de 31 millions de dollars pour les consommateurs qui souhaitent obtenir une surveillance alternative du crédit.
Jusqu’à 25 % de remboursement du coût des produits d’abonnement Equifax au cours de l’année précédant la violation.

Interrogé sur le montant budgétisé pour couvrir les coûts associés au vol d’identité résultant de l’incident de sécurité, un porte-parole de la FTC a expliqué: «Chaque consommateur est éligible jusqu’à 20 000 $ pour des réclamations valides, avec 31 millions de dollars (jusqu’à 38 millions de dollars comme indiqué ci-dessus) pour les demandes d’indemnisation du temps.

Les consommateurs seront obligés de démontrer les « pertes directes » afin de recevoir une indemnisation. Il n’y aura pas de paiement « au prorata » pour tous ces millions de personnes touchées par la violation massive.

Cela peut surprendre un peu les consommateurs qui, tout au long de 2019, ont été invités à participer à des recours collectifs concernant la violation par le biais d’e-mails les invitant à « réclamer des avantages dans le cadre du règlement de la violation de données d’Equifax », ou similaire.

DES ARCHIVES Equifax un an plus tard : Peu de choses ont changé – du moins pour l’entreprise d’un milliard de dollars

Malgré les premières craintes, les données de la violation n’ont pas encore fait surface sur les forums de cybercriminalité du dark web. Les autorités américaines pensent que les données n’ont pas été volées dans le cadre d’un cybercrime à but lucratif.

En février 2020, les autorités américaines ont descellé un acte d’accusation en neuf chefs accusant quatre membres nommés de l’armée chinoise d’avoir monté l’attaque contre Equifax.

Image: PortSwigger Ltd Equifax a accepté de dépenser 1 milliard de dollars pour améliorer la sécurité à la suite de la méga-brèche de 2017

Ordres permanents

David Oberly, avocat au cabinet d’avocats américain Blank Rome et expert en droit de la cybersécurité et de la confidentialité, a déclaré La gorgée quotidienne que l’accord avec Equifax va « au-delà des conditions de règlement standard qui sont habituellement observées dans le cadre de la résolution des litiges en matière de violation de données ».

D’une part, 10 ans de surveillance gratuite du crédit sont offerts aux consommateurs touchés plutôt que les trois standards. De plus, Equifax a accepté de prévoir un budget de 1 milliard de dollars pour l’amélioration de la sécurité.

VOUS POURRIEZ AUSSI AIMER Projet de loi indien sur la confidentialité des données personnelles : qu’est-ce que cela signifie pour les particuliers et les entreprises ?

Oberly a expliqué que les demandeurs ou les justiciables potentiels cherchant à obtenir une compensation monétaire à la suite de la violation seront confrontés à une bataille difficile afin d’établir la » qualité pour agir » ou le droit de poursuivre :

La position debout représente un obstacle majeur que de nombreux plaignants ne sont pas en mesure de surmonter, ce qui, à son tour, les empêche de toute forme de récupération à la suite d’un incident de compromission de données.

Il est important de noter que de nombreux tribunaux ont estimé que le coût de la prise de mesures de protection à la suite d’une violation de données non autorisée n’est pas suffisant, à lui seul, pour créer la qualité pour agir.

En particulier, le onzième circuit – la cour d’appel fédérale associée au tribunal fédéral de Géorgie où le litige Equifax a eu lieu – a statué que lorsque les plaignants pour violation de données pourraient subir un préjudice futur en raison d’une utilisation abusive de leurs informations personnelles compromises lors d’une violation de données, mais où aucun abus réel n’a eu lieu, le risque d’abus à lui seul ne permet pas d’établir la qualité pour agir.

Avec le règlement d’Equifax, cependant, Equifax a accepté de couvrir les frais encourus liés au temps passé à répondre à l’événement, même si la validité de ces réclamations est très discutable en fonction du lieu du litige.

En réponse à une question sur le nombre de demandeurs valides et ce qu’ils recevront chacun, un représentant de la FTC nous a référés aux administrateurs du règlement.

Oberly a conclu que, quel que soit le montant qu’Equifax paie en fin de compte aux consommateurs, toute la saga des violations de données devrait « servir de signal d’alarme aux autres entreprises qui voient ce chiffre époustouflant et les inciter à envisager de prendre des mesures proactives pour améliorer leurs programmes de sécurité ». .

TU POURRAIS AUSSI AIMER Les serveurs de la Croix-Rouge « ont été piratés via une faille ManageEngine non corrigée »