A Equifax Inc. confirmou o incidente de segurança cibernética que potencialmente afeta cerca de 143 milhões de consumidores dos EUA. Criminosos exploraram uma vulnerabilidade do aplicativo do site dos EUA para obter acesso a determinados arquivos. Com base na investigação da empresa, o acesso não autorizado ocorreu de meados de maio a julho de 2017. A empresa não encontrou nenhuma evidência de atividade não autorizada nos principais bancos de dados de crédito ou crédito comercial do Equifax.
No entanto, segundo a agência Reuters, mais de duas dúzias de ações judiciais deram entrada na Justiça norte-americana. Ao mesmo tempo, existe suspeita sobre a transação de três investidores da Equifax que venderam US$ 17,8 milhões em ações antes que a empresa anunciasse que sofreu o ataque. A AT&T também divulgou um comunicado informado que o vazamento não aconteceu através de sua rede.
Segundo a empresa, as informações acessadas incluem principalmente nomes, números de segurança social, datas de nascimento, endereços e, em alguns casos, números de licença de motorista. Além disso, foram acessados ??números de cartões de crédito para cerca de 209 mil consumidores dos EUA e certos documentos de disputa com informações de identificação pessoal para cerca de 182.000 consumidores dos EUA.
Como parte de sua investigação sobre esta vulnerabilidade do aplicativo, Equifax também identificou o acesso não autorizado a informações pessoais limitadas para certos residentes do Reino Unido e do Canadá. A Equifax trabalhará com os reguladores do Reino Unido e do Canadá para determinar os próximos passos apropriados. A empresa não encontrou evidências de que informações pessoais de consumidores em qualquer outro país tenham sido afetadas.
A Equifax descobriu o acesso não autorizado em 29 de julho deste ano e atuou imediatamente para impedir a intrusão. A empresa imediatamente envolveu uma empresa líder e independente de segurança cibernética que vem conduzindo uma revisão forense abrangente para determinar o alcance da intrusão, incluindo os dados específicos impactados. Equifax também relatou o acesso criminal à aplicação da lei e continua trabalhando com as autoridades. Embora a investigação da empresa esteja substancialmente completa, ela permanece em andamento e espera-se que ela seja concluída nas próximas semanas.
"Este é claramente um evento decepcionante para a nossa empresa, e um que é o centro de quem somos e o que fazemos. Peço desculpa aos consumidores e aos nossos clientes empresariais pela preocupação e frustração que isso causa", disse o presidente-executivo-chefe , Richard F. Smith. "Nós nos orgulhamos de ser um líder no gerenciamento e proteção de dados, e estamos realizando uma revisão completa de nossas operações de segurança em geral. Também nos concentramos na proteção ao consumidor e desenvolvemos um portfólio abrangente de serviços para suportar todos os consumidores dos EUA, independentemente de se eles foram impactados por este incidente ".
A Equifax estabeleceu um site dedicado, www.equifaxsecurity2017.com, para ajudar os consumidores a determinar se suas informações foram potencialmente impactadas e a se inscrever para monitoramento de arquivos de crédito e proteção contra roubo de identidade.
A oferta, chamada TrustedID Premier, inclui o monitoramento de crédito 3-Bureau dos relatórios de crédito Equifax, Experian e TransUnion; cópias de relatórios de crédito Equifax; a capacidade de bloquear e desbloquear relatórios de crédito Equifax; seguro contra roubo de identidade; e digitalização na Internet para os números da Segurança Social – tudo complementar aos consumidores dos EUA por um ano.
O site também fornece informações adicionais sobre os passos que os consumidores podem tomar para proteger suas informações pessoais. A Equifax recomenda que os consumidores com perguntas adicionais visitem www.equifaxsecurity2017.com ou entre em contato com um centro de atendimento dedicado que a empresa configurou para ajudar os consumidores.
Além do site, a Equifax enviará avisos de mala direta aos consumidores cujos números de cartão de crédito ou documentos de disputa com informações de identificação pessoal foram afetados. A empresa também está no processo de entrar em contato com os reguladores estaduais e federais dos EUA e enviou notificações por escrito a todos os procuradores dos estados federais dos Estados Unidos, que incluem informações de contato da Equifax para consultas do regulador.
Ela também contratou uma empresa independente de segurança cibernética para realizar uma avaliação e fornecer recomendações sobre as medidas que podem ser tomadas para ajudar a evitar que esse tipo de incidente aconteça novamente.
A Sophos, fornecedora de soluções de segurança, comenta que " a violação na Equifax nos faz lembrar que informações que não estão devidamente protegidas serão roubadas. Tanto na nuvem, quanto em um disco rígido ou em um dispositivo móvel, os dados desprotegidos são valiosos para os criminosos. A pior parte é o acesso a informações confidenciais, como número da previdência social, data de nascimento, endereços e outros detalhes pessoais. Estes dados valem muito mais do que o número do seu cartão de crédito. Sua identidade não pode ser alterada ou substituída por um cartão".
A empresa recomenda ainda, que além de acessar o site, os consumidores devem prestar atenção se a função tem renovação automática para evitar cobranças inesperadas quando acabar um ano de uso livre. As informações já estão com os cibercriminosos há mais de 6 semanas, então esta é uma corrida contra o tempo. Aqueles dispostos a serem mais duros contra os ataques podem ter um "congelamento" de crédito aplicado às suas contas para evitar que o novo empréstimo seja emitido sem sua permissão. A entidade de defesa dos consumidores norte-americana também tem informações disponíveis no US Public Interest Research Group".