Na datalek 143 miljoen Amerikanen raakt Equifax dieper in de problemen
De nasleep van een datalek bij kredietbeoordelaar Equifax, waardoor de halve Amerikaanse bevolking slachtoffer kan worden van identiteitsfraude, laat het bedrijf uit Atlanta op z’n fundament trillen.
Maandag werd bekend dat het openbaar ministerie in Atlanta met de beurswaakhond onderzoek doet naar handel in voorkennis. Drie topmannen hebben in augustus voor 1,8 miljoen dollar aan aandelen verkocht. Toen had het bedrijf het datalek wel ontdekt, maar nog niet wereldkundig gemaakt.
Hackers konden van half mei tot eind juli de namen, sofinummers, geboortedata, adressen en soms rijbewijsnummers van 143 miljoen Amerikanen inzien
Wetgevers en toezichthouders deden al onderzoek naar de cyberaanval en de fouten die Equifax sindsdien maakte. Equifax is sinds 1899 uitgegroeid tot een van drie grote kredietagentschapen in de VS. Het verwerkt data van meer dan 820 miljoen consumenten en 91 miljoen bedrijven wereldwijd en laat banken en kredietverleners weten of ze kredietwaardig zijn. Kerntaak is het geheimhouden van gevoelige informatie, en daarin heeft het flink verzaakt.
Hackers konden van half mei tot eind juli de namen, sofinummers, geboortedata, adressen en soms rijbewijsnummers van 143 miljoen Amerikanen inzien. Verder konden ze bij ruim 200.000 creditcardnummers en bij gegevens van Canadese en Britse consumenten. “Een teleurstellende gebeurtenis die ons in het hart raakt”, zei topman Richard Smith bij de bekendmaking op 7 september. Vorige week rolden de eerste koppen: de bazen van de afdelingen Informatie en Veiligheid gaan vervroegd met pensioen. Smith moet volgende maand in het Congres tekst en uitleg geven.
Veiligheidsrisico
Al in maart was het veiligheidsrisico bekend. Volgens Equifax is toen actie ondernomen. Maar eind juli ontdekte het bedrijf toch verdacht internetverkeer. Equifax huurde begin augustus een cybersecurity-bedrijf in, maar het was te laat. Sinds Equifax de publiciteit zocht, volgden de blunders elkaar op. Tot woede van de consumenten, die er niet om gevraagd hadden dat banken en kredietverstrekkers hun gegevens met Equifax deelde.
Wie zijn dossier wilde laten bevriezen, moest betalen. Na woedende reacties belooft Equifax nu het geld terug te storten.
Bij het bevriezen van een kredietdossier krijgen klanten een pincode van tien cijfers. Maar die codes bleken niet uniek
Alle consumenten kregen voor een jaar een servicepakket aangeboden om hun gegevens te monitoren en identiteitsfraude te voorkomen. Gratis, maar ze moesten eerst verklaren niet mee te zullen doen aan een collectieve rechtszaak. Zulke arbitrageclausules duiken in de VS in tal van financiële overeenkomsten op sinds het Hooggerechtshof daarvoor toestemming gaf in 2011. Onacceptabel, vonden niet alleen consumentenorganisaties maar ook de openbaar aanklager van New York. Equifax zette bij nader inzien een streep door deze eis.
Nog meer gestuntel: bij het bevriezen van een kredietdossier krijgen klanten een pincode van tien cijfers. Maar die codes bleken niet uniek: ze waren gebaseerd op datum en tijd, waardoor criminelen ze eenvoudig kunnen achterhalen. Ook dat werd rechtgezet: iedereen krijgt voortaan een willekeurige pincode, zegt Equifax.
Equifax – actief in 24 landen, 9900 werknemers – moet heel wat tegenslagen verwerken. Waaronder een dozijn rechtszaken en fors lagere aandelenkoers (35 procent). Maar omdat het zo’n centrale marktpositie heeft, zal het volgens analisten niet snel ten onder gaan.
Het onderzoek, waarbij de FBI betrokken is, wordt volgens Equifax komende weken afgerond. Die voorspelling deed het voordat deze week bekend werd dat Equifax ook in maart al is gehackt, en dat toen stil hield. En voordat justitie achter de financiële topmensen aanging wegens handel in voorkennis. Voorlopig wordt het dossier almaar dikker.