Elizabeth Warren waarschuwt dat Equifax van de haak kan raken als de kredietgegevens van gebruikers worden gehackt

Ze bracht woensdag een nieuw rapport uit over het enorme datalek van Equifax in 2017.

Elizabeth Warren tijdens de hoorzitting van Equifax

Senaat Elizabeth Warren tijdens de hoorzitting van Equifax van de Senaatscommissie voor banken in oktober 2017.

wat is er aan de hand met Britney Spear?
Tom Williams/CQ Roll Call

Dagen nadat een rapport naar voren kwam dat het Consumer Financial Protection Bureau zijn onderzoek naar de Equifax-datalek onder waarnemend hoofd Mick Mulvaney zou terugtrekken, brengt senator Elizabeth Warren (D-MA) een nieuw rapport uit over het incident waarbij de persoonlijke informatie is achtergebleven van meer dan 145 miljoen Amerikanen blootgesteld.



In september 2017 onthulde het rapportagebureau voor consumentenkrediet dat miljoenen van zijn Amerikaanse gebruikers hun persoonlijke gegevens, waaronder burgerservicenummers, geboortedata en adressen, hadden gecompromitteerd van half mei tot juli 2017. Het duurde ongeveer zes weken voor Equifax om de inbreuk publiekelijk aan te kondigen, gedurende welke tijd drie leidinggevenden verkocht bijna $ 2 miljoen aan aandelen van het bedrijf.

Het rapport van Warren schetst een vernietigend portret van de manier waarop Equifax het datalek voor, tijdens en na het incident aanpakte. Het belicht een aantal bevindingen die al zijn ontdekt in verschillende rapporten over en onderzoeken naar het datalek in Equifax, evenals een handvol nieuwe details.

Een van de bevindingen: Het datalek omvatte de: paspoortnummers van een niet-geïdentificeerd aantal Equifax-klanten. Het bedrijf heeft zijn eigen interne procedures niet gevolgd tijdens het datalek, en het deed zich in zijn eigen taal rond de hack, door te vertellen dat de gegevens van consumenten waren geopend en niet openlijk te zeggen dat het was geëxfiltreerd - gestolen. En Equifax maakte gebruik van een maas in de federale contracten, zo beweert het rapport, om een Contract van $ 7 miljoen met de IRS nadat de inbreuk werd onthuld. Het contract was: uiteindelijk omgekeerd .

Jarenlang zijn Equifax en andere grote kredietrapportagebureaus erin geslaagd om te profiteren van het gebruik van privégegevens van mensen en dit zonder hun uitdrukkelijke toestemming, vertelde Warren me in een telefonisch interview. We hebben echte consequenties nodig voor als ze het verpesten.

Warrens kantoor bekend gemaakt ze zou een onderzoek starten naar het datalek kort nadat het in september aan het licht was gebracht, en brieven sturen naar het CFPB, de Federal Trade Commission, de kredietbureaus Equifax, Transunion en Experian, en het Government Accountability Office om antwoorden te eisen.

Equifax maakt duidelijk dat als ze de kans krijgen, ze van de haak zullen zijn omdat ze meer dan de helft van alle volwassen Amerikanen jarenlang in gevaar hebben gebracht voor fraude vanwege de gegevens die zijn gestolen, zei ze.

Een woordvoerder van Equifax zei in een e-mail dat het bedrijf eerder had gemeld dat consumentengegevens waren gestolen, inclusief toegang en exfiltratie, en zei dat het bedrijf geen bewijs vond dat paspoortnummers waren gestolen.

Ter herinnering: de Equifax-inbreuk was erg slecht

Equifax onthulde in september 2017 dat bij 143 miljoen van zijn Amerikaanse gebruikers – of ongeveer de helft van de bevolking van het land – hun persoonlijke gegevens waren gecompromitteerd in een datalek dat enkele weken in de lente en de zomer duurde. (Equifax later) herzien het aantal getroffen consumenten tot 145,5 miljoen.) Het bedrijf wachtte ongeveer zes weken tussen het ontdekken van het datalek eind juli en het publiekelijk aankondigen ervan begin september.

Toen het de inbreuk aankondigde, bood Equifax getroffen klanten gratis kredietbewaking en identiteitsbeschermingsdiensten aan - zolang ze instemden met een gedwongen arbitrageclausule die hen belette om samen te werken met andere benadeelde klanten om het bedrijf aan te klagen. Na publieke verontwaardiging liet het bedrijf de clausule vallen.

Equifax CEO Richard Smith is eind september en in oktober afgetreden getuigde voor de Senaatscommissie voor banken en kreeg vragen over de manier waarop Equifax met consumentengegevens en de inbreuk omging, de verkoop van executive aandelen en bredere kwesties met betrekking tot kredietbureaus die de persoonlijke informatie van miljoenen consumenten verwerken.

De Equifax-inbreuk heeft voor, tijdens en na talloze problemen opgeleverd

Het rapport van Warren schetst een vernietigend portret van de manier waarop Equifax omging met het datalek voor, tijdens en na het incident, gebruikmakend van verschillende bronnen.

Het bekritiseert het gebrekkige beveiligingssysteem van het bedrijf om problemen met gegevensbeveiliging te voorkomen en te verminderen en merkt op dat het: waarschuwde van de kwetsbaarheid in de webtoepassingssoftware, Apache Struts genaamd, die werd gebruikt om het systeem te doorbreken, maar er niet in slaagde om ervoor te zorgen dat het systeem correct werd gepatcht en bijgewerkt. Het wijst er ook op dat Equifax een specifieke waarschuwing heeft ontvangen van het Department of Homeland Security over de specifieke kwetsbaarheid waarvan de hackers misbruik maakten – iets wat Smith, de voormalige CEO van het bedrijf, besproken tijdens zijn hoorzitting van de Senaatscommissie voor het bankwezen in oktober.

Toen Equifax eenmaal wist wat er gebeurde, maakte het ook een aantal misstappen. Zoals vermeld, probeerde het getroffen klanten te dwingen arbitrageclausules te ondertekenen.

Het rapport kenmerkt de algehele reactie van Equifax op de inbreuk als zeer ontoereikend, waarbij werd opgemerkt dat klanten lange wachttijden hadden bij de Equifax-callcenters en op de Equifax-inbreukwebsite werd gevraagd om de laatste zes cijfers van hun burgerservicenummer in te voeren - de exacte informatie die was gecompromitteerd.

Het stelt dat Equifax de inbreuk gebruikte als een kans om geld te verdienen door in eerste instantie klanten in kaart te brengen om hun krediet te bevriezen (na terugslag keerde het de praktijk terug). LifeLock, een hulpmiddel voor de bescherming van identiteitsdiefstal, zag een tienvoudige toename van aanmeldingen nadat het datalek bij Equifax aan het licht was gekomen. Tijdens de hoorzitting van de Senaatscommissie voor het bankwezen in oktober erkende Smith in een heen-en-weer met Warren dat LifeLock Equifax gebruikt om het krediet van zijn klanten te controleren en Equifax per klant betaalt.

De Equifax-woordvoerder zei dat het bedrijf momenteel geen producten rechtstreeks aan consumenten op de markt brengt en wees erop dat de kosten voor kredietbevriezing tot eind juni worden kwijtgescholden. De woordvoerder wees ook op een nieuwe app die het heeft gelanceerd en die verondersteld wordt gratis kredietrapportvergrendeling te bieden. Beide de New York Times en Ars Technica meldde problemen met de functionaliteit van de app na de lancering.

waar is snel en furieus aan?

Equifax is toegekend honderden federale contracten ter waarde van miljoenen dollars in de afgelopen tien jaar, waaronder één die de wenkbrauwen doet fronsen na de inbreuk werd in september vorig jaar aan het licht gebracht. Van hen toegekend Equifax een no-bid contract van $ 7,2 miljoen om de identiteit van belastingbetalers te verifiëren, Politiek eerst gemeld, maar later geschorst het contract na openbare terugslag.

In het rapport van Warren wordt beweerd dat Equifax mazen in de federale aanbestedingswetten heeft gebruikt om een ​​verlenging te krijgen van het contract dat voor het eerst in 2015 werd toegekend. Er zijn geen aanwijzingen dat IRS-gegevens bij de inbreuk openbaar zijn gemaakt, maar vanwege door Equifax veroorzaakte vertragingen, namelijk de protesten over het verlies van het contract in de zomer, en de vertraging bij het melden van de schending in de eerste plaats - de IRS werd gedwongen Equifax een duur overbruggingscontract te geven en ontdekte te laat ... dat Equifax niet in staat was om belastinggegevens effectief te beschermen volgens de IRS-normen , zegt het rapport.

Er zijn tal van mogelijke gevolgen voor Equifax, maar het is niet duidelijk wat er zal blijven hangen

Equifax bevestigd in november regelgevende indiening met de Securities and Exchange Commission die al meer dan 240 class action-pakken hebben daartegen is ingediend. Het werkt samen met meerdere onderzoeken en onderzoeken, onder meer door alle 50 procureurs-generaal van de staat, de FTC, de SEC, de Financial Industry Regulatory Authority (FINRA) en verschillende congrescommissies. Het zei ook mee te werken aan een onderzoek van het CFPB, hoewel volgens een Reuters rapport deze week heeft Mulvaney, de waarnemend directeur van het bureau, zijn onderzoek ingetrokken.

We onthullen dit rapport terwijl Mick Mulvaney het onderzoek van het consumentenbureau naar de Equifax-inbreuk doodt. Mick Mulvaney schiet nog een middelvinger naar de consument, zei Warren.

John Czwartacki, een senior adviseur van Mulvaney, zei in een verklaring per e-mail dat Mulvaney gegevensbeveiligingsproblemen zeer serieus neemt en samenwerkt met partners binnen de overheid aan het datalek. Als beleid bevestigen of ontkennen we handhavings- of toezichtkwesties, zei hij, erop wijzend dat Equifax openbaar was geworden over een CFPB-onderzoek in zijn SEC regelgevende indiening . Het bureau heeft gezegd dat het de Equifax-zaak onderzoekt en dat de berichten die het tegendeel beweren onjuist zijn.

Warren heeft wetgeving voorgesteld met betrekking tot de Equifax-inbreuk. In januari hebben zij en senator Mark Warner (D-VA) ingevoerde wetgeving bedoeld om kredietinformatiebureaus ter verantwoording te roepen die de FTC meer directe toezichthoudende autoriteit over hen zouden geven en verplichte sancties zouden opleggen voor wanneer zij de gegevens van consumenten openbaar maken. Volgens de wetgeving zou Equifax volgens de wetgeving ten minste $ 1,5 miljard hebben betaald in het datalek van 2017.

In september 2017 hebben Warren en senator Brian Schatz (D-HI) een rekening opmaken dat zou Equifax en haar concurrenten dwingen om gratis diensten voor het bevriezen en deblokkeren van kredieten aan te bieden en klanten betere bescherming te bieden tegen fraudewaarschuwingen.

Equifax kan uiteindelijk geld verdienen aan deze deal, en dat betekent dat hun prikkels niet goed op elkaar zijn afgestemd om ervoor te zorgen dat ze zorgen voor de gegevens die ze hebben, zei Warren.

Naast het rapport van Warren heeft senator Tammy Baldwin (D-WI) deze week ook haar aandacht gericht op Equifax. Ze schreef een brief aan inspecteur-generaal Mark Bialek van de Federal Reserve, waarin hij opriep tot een onderzoek naar het CFPB. Vorig jaar heeft ze opgeroepen tot Equifax om een ​​brief te sturen naar elke consument die getroffen is door de mislukkingen van het bedrijf om hen te informeren over wat er is gebeurd.

Senaatsleider Chuck Schumer bekritiseerde Mulvaney over het Reuters Equifax-rapport en zei dat hij de hamer op het bedrijf zou moeten neerleggen in plaats van gratis kaarten uit de gevangenis uit te delen.

De Equifax-woordvoerder zei dat het bedrijf zich inzet voor het herstellen van het vertrouwen bij de consument en het versterken van de beveiliging, opnieuw met zijn nieuwe app. Het zal een lange reis worden, want het herwinnen van vertrouwen is niet iets dat van de ene op de andere dag kan en cybersecurity is een enorm complexe uitdaging die als industrie moet worden aangegaan, aldus de woordvoerder. We hebben toegezegd met een aantal verschillende groepen samen te werken om ideeën te onderzoeken om consumenten beter te beschermen tegen cyberbeveiligingsbedreigingen, en werken momenteel samen met regelgevers, wetgevers en overheidsinstanties.

Warren zegt dat dat niet goed genoeg is. Er zijn twee problemen: zowel wat Equifax verkeerd heeft gedaan als hoe ze het niet hebben bekendgemaakt nadat de inbreuk had plaatsgevonden, zei ze. Dat zegt me dat dit geen bedrijf is dat hard werkt om het vertrouwen van het Amerikaanse volk terug te winnen. Het vertelt me ​​​​dat dit een bedrijf is dat nog steeds probeert het rendement voor zijn aandeelhouders te maximaliseren en consumenten negeert.

Lees het volledige rapport

Het volledige rapport is beschikbaar hier .