Photo - Hermes Rivera - Unsplash
Vue d'ensemble de la situation
En 2017, le bureau de crédit Equifax a signalé une cyberattaque à grande échelle, à la suite de laquelle les données personnelles de près de 150 millions d'Américains ont été volées . La publication Ars Technica a ensuite qualifié la situation de "pire fuite de tous les temps", car elle affectait les numéros de sécurité sociale, les cartes de crédit et les permis de conduire. La raison en était une vulnérabilité dans le framework open source Apache Struts ( CVE-2017-5638 ) liée à une erreur dans la gestion des exceptions lors du téléchargement de fichiers. Les spécialistes d'Equifax n'ont pas réussi à installer le correctif, qui a été publié deux mois avant la cyberattaque.
Plusieurs régulateurs ont été impliqués dans l'enquête: la Federal Trade Commission (FTC) des États-Unis, le Bureau of Financial Consumer Protection et les procureurs de la plupart des États. En conséquence, le bureau de crédit a accepté de verser une indemnité de 700 millions de dollars - ce montant comprend des amendes et des paiements pour les citoyens américains dont les données ont circulé dans le réseau. Cependant, le montant de ces paiements a soulevé des questions.
Pourquoi les paiements sont si faibles
La situation d'Equifax a reçu une large couverture médiatique et le bureau a été critiqué par la communauté. Malgré ce fait, les citoyens américains ne sont pas pressés de recevoir leur indemnisation - pour le moment , environ 10% des victimes ont déposé des demandes . On leur a offert deux options de paiement: une compensation pour les frais de surveillance du crédit de 125 $ ou en espèces.
. Equifax , . , , $31 . , , $6,8.
On ne sait pas encore comment la situation évoluera, mais la FTC s'est impliquée dans sa solution - la commission a publié une lettre ouverte dans laquelle elle a exhorté les citoyens à renoncer à l'argent liquide et à choisir une compensation pour les coûts de surveillance du crédit.
Photo - Barthelemy de Mazenod - Unsplash
En début d'année, un tribunal américain a achevé l'examen d'une autre affaire de fuite dans un bureau de crédit. Equifax paiera en outre jusqu'à 20 000 $ à tous les clients qui ont subi des pertes financières en raison de la fuite des données personnelles. Le tribunal a également ordonné au bureau de consacrer 1 milliard de dollars au développement de l'infrastructure informatique et à l'augmentation de la protection de la maladie de Parkinson. Bien que l'organisation note que dans la période de 2018 à 2020, ils ont déjà alloué milliards de dollars pour renforcer la sécurité de l'information.
Qui d'autre a payé et paiera les fuites
La violation de données d'Equifax est devenue l'une des plus importantes au cours des dernières années, mais pas la seule. Par exemple, en octobre 2019, Yahoo a accepté de dépenser 117,5 millions de dollars en paiements aux utilisateurs affectés par le «drain» de PD en 2013. Selon des estimations préliminaires, chacun d'eux recevra environ 358 $. Bien que les experts s'attendent à ce qu'en pratique ce montant soit nettement inférieur (comme dans le cas d'Equifax).
Dans un proche avenir, Facebook devra effectuer un paiement important. À l'automne , plus de 400 millions de numéros de téléphone d'utilisateurs du réseau social ont accédé à Internet , puisque leur base de données était stockée sur un serveur non protégé. Le régulateur irlandais a été l'un des premiers à s'intéresser à cette question et, selon le RGPD, il peut infliger une amende de 2,2 milliards de dollars. Mais il est trop tôt pour dire quelle part de ce montant ira directement aux paiements aux utilisateurs concernés.
Compte tenu des hacks et des décharges régulières, vous devez rester sur vos gardes: prenez des mesures pour protéger les données personnelles et étudiez vous-même le matériel sur le sujet - c'est pourquoi nous avons préparé un petit résumé (à la fin de l'article).
Plus de matériel dans notre blog d'entreprise:
Attaques potentielles sur HTTPS et comment s'en protéger
Comment se «dissimuler» et se retirer des services les plus populaires
Comment protéger un serveur virtuel sur Internet
Benchmarks pour les serveurs Linux