Au total, les données de près de 143 millions de clients américains ont été exposées. Les pirates ont eu accès, de mi-mai à juillet, à des informations comme les noms, les adresses, les dates de naissance, les numéros de sécurité sociale et du permis de conduire, autant d’informations qui peuvent servir à une usurpation d’identité.
Equifax a également précisé que les cybercriminels étaient parvenus à accéder aux numéros de carte de crédit de 209 000 citoyens américains. Ils ont également pu mettre la main sur plus de 180 000 dossiers de crédits.
L’entreprise a pointé du doigt une faille dans Apache Struts qui aurait été utilisée par des pirates.
Le lendemain, l’entreprise a annoncé que deux de ses cadres supérieurs ont donné leur démission :
« La société a annoncé que le DSI et le chef de la sécurité démissionnent. Mark Rohrwasser a été nommé DSI par intérim. Rohrwasser a rejoint Equifax en 2016 et a dirigé les opérations internationales de commerce d'Equifax depuis cette date. Russ Ayres a été nommé responsable de la sécurité par intérim. Ayres a récemment occupé le poste de vice-président de l'organisation informatique d'Equifax. Il rendait des comptes directement au DSI. Cette décision est effective immédiatement. »
Néanmoins, les rebondissements de cette affaire ne semblent pas avoir calmé la colère et la frustration de ses clients. Il faut rappeler en effet que ce type de données pourrait être utilisé pour le vol d'identité et pour créer de faux comptes. Aussi, l’entreprise s’est vue assignée en justice par une dizaine de recours collectifs par les clients, mais aussi les actionnaires. Cette fois-ci, une institution financière est entrée dans la danse et tente de récupérer de manière préventive les pertes causées par la brèche.
Summit Credit Union, basé à Madison, a rappelé dans sa plainte que les institutions financières devront supporter le coût de l'annulation et de la réinitialisation des cartes de crédit ainsi que le coût de toute charge frauduleuse. Elles perdront également « des profits parce que leurs membres ou leurs clients pourraient ne pas vouloir ou pouvoir utiliser leurs cartes de crédit suite à la violation. »
« Pour les institutions financières, qu’ils endossent la responsabilité financière du vol d'identité », a déclaré l'avocat de Summit, Stacey Slaughter, du cabinet d'avocats Robins Kaplan. Il a rappelé que le hack d’Equifax a exposé « Tous les composants qui permettraient à quelqu'un de créer une nouvelle identité. »
Equifax a déclaré faire de son mieux pour répondre à la violation et alerté les consommateurs aussi rapidement que possible. « Nous ne pouvons pas commenter les litiges en cours, mais nous restons concentrés sur l'aide à nos clients, ainsi que de leurs employés et consommateurs, pour naviguer dans cette situation », a déclaré Equifax dans un communiqué.
Après des infractions de cette amplitude, ces types de procès peuvent être très coûteux. Rappelons par exemple qu’après le hack de Target en 2013, le détaillant a accepté de payer 39,4 millions de dollars pour régler les créances des banques et des coopératives de crédit et a accepté de verser aux émetteurs de carte Visa jusqu'à 67 millions de dollars.
Pour le cas d’Equifax, le problème est encore plus complexe étant donné qu’il entretient des relations étroites avec les banques et des prêteurs hypothécaires. Ces institutions financières partagent des informations avec Equifax qui sont ensuite utilisées pour compiler des rapports de crédit sur des millions de consommateurs. Les banques achètent ces rapports pour les aider à déterminer à qui prêter de l'argent ou à accorder des crédits.
Source : Chicago Tribune
Et vous ?
Qu'en pensez-vous ?
Mise à jour du 26/09/2017 : Le PDG d'Equifax démissionne à la suite d'une violation massive des données
Un peu plus d’une semaine après la démission du directeur de l’information David Webb et de la responsable sécurité Susan Mauldin, c’est au tour du PDG d’Equifax Richard Smith d’être remercié. Il était à la tête de l’agence américaine d’évaluation de crédit depuis 2005 et siégeait au conseil d’administration. Paulino Barros, actuel responsable de l’activité en Asie-Pacifique, assurera l’intérim au poste de CEO.
« Le Conseil d'administration reste profondément préoccupé par le piratage et déterminé à faire face à ses conséquences », a souligné Mark Feidler, qui est provisoirement PCA de l’entreprise à titre non exécutif. « Au nom de l'ensemble du Conseil d'administration, j'adresse mes excuses les plus sincères. » Celui-ci précise que Richard Smith va continuer de conseiller Equifax sans être toutefois payé.
La société est toujours confrontée à une enquête de la Federal Trade Commission et à une audience devant le Congrès la semaine prochaine. Un porte-parole d'Equifax a déclaré que Smith devait encore témoigner devant le Comité bancaire du Sénat le 4 octobre.
Source : CNN
Un peu plus d’une semaine après la démission du directeur de l’information David Webb et de la responsable sécurité Susan Mauldin, c’est au tour du PDG d’Equifax Richard Smith d’être remercié. Il était à la tête de l’agence américaine d’évaluation de crédit depuis 2005 et siégeait au conseil d’administration. Paulino Barros, actuel responsable de l’activité en Asie-Pacifique, assurera l’intérim au poste de CEO.
« Le Conseil d'administration reste profondément préoccupé par le piratage et déterminé à faire face à ses conséquences », a souligné Mark Feidler, qui est provisoirement PCA de l’entreprise à titre non exécutif. « Au nom de l'ensemble du Conseil d'administration, j'adresse mes excuses les plus sincères. » Celui-ci précise que Richard Smith va continuer de conseiller Equifax sans être toutefois payé.
La société est toujours confrontée à une enquête de la Federal Trade Commission et à une audience devant le Congrès la semaine prochaine. Un porte-parole d'Equifax a déclaré que Smith devait encore témoigner devant le Comité bancaire du Sénat le 4 octobre.
Source : CNN