NEWSLETTER - IL CAFFE' DIGITALE
Cari Americani, state tranquilli: tutti i vostri dati sono in vendita

N.  Ottobre 2017
        

a cura di Elena Vaciago 
Associate Research Manager, The Innovation Group

 

Se qualcuno negli USA poteva ancora sperare che i propri dati personali e finanziari fossero ben custoditi, ora avrà invece la certezza che sono stati rubati. Il sistema è da troppo tempo preso di mira dagli hacker. Equifax, che in questi giorni ha subito anche le dimissioni del CEO Richard Smith, sarebbe stata vittima di un incidente informatico già a marzo, 4 mesi prima di scoprire il data breach che è poi stato comunicato il 7 settembre.

 

Come Equifax è arrivata ad un data breach di questa gravità

Nelle ultime settimane è diventato chiaro a tutti che sono state rubati dati personali come nomi, date di nascita, indirizzi e Social Security Number (che negli USA sono riservati e servono per aprire una linea di credito) per 143 milioni di persone negli USA, oltre che per 100.000 canadesi e 400.000 inglesi. Inoltre, sono usciti dai server di Equifax i numeri di carta di credito di 209.000 persone, e documenti riservati su contenziosi per 182.000 consumatori. Secondo la società non sarebbero invece stati rubati i report con la situazione creditizia delle singole persone.

A dimostrazione che la società è stata sotto attacco per un periodo prolungato di tempo, sono state individuate su un sito russo della darknet, in vendita, le password e userid di 2.000 account email di dipendenti. Come hanno rilevato diverse società di security, le password rubate, che erano quelle utilizzate dai dipendenti della società, erano di tipo molto semplice, facili da indovinare.

 

Quali errori possono essere imputati a Equifax?

Sul fronte delle misure di sicurezza, nonostante Equifax abbia più volte dichiarato di aver “fatto tutto il possibile”, sono emersi molti aspetti discutibili. Con l’avvio dell’investigazione sul data breach, per cui è stata chiamata Mandiant, si è scoperto l’attacco avrebbe sfruttato una vulnerabilità del software di web server Apache Struts per la quale però era stata rilasciata la patch a marzo.

Inoltre Equifax (che ha visto anche le dimissioni del CIO, David Webb, e del Security Officer, Susan Mauldin) è accusata di non aver gestito bene l’incidente, facendo passare troppo tempo (40 giorni!) prima della dovuta comunicazione ai clienti, che nel frattempo avrebbero potuto cadere vittima di frodi. Secondo il GDPR, il nuovo regolamento europeo sulla data protection, che sarà pienamente in vigore dal 25 maggio 2018, la notifica di data breach deve avvenire obbligatoriamente entro 72 ore, e già oggi gli operatori TLC hanno obblighi di notifica in caso di data breach entro le 24 ore.

Infine, nel periodo in cui la società si preparava ad affrontare l’incidente e a notificarlo ai suoi clienti, sarebbero avvenuti alcuni fatti molto gravi:

  • A inizio agosto 3 dirigenti, tra cui il CFO John Gamble, hanno venduto 1,8 milioni di dollari di azioni in loro possesso (la società ha dichiarato che non erano a conoscenza del data breach, ma il Dipartimento di Giustizia USA ha aperto un’investigazione per chiarire i fatti)
  • Il sito registrato il 22 agosto per informare dell’incidente (com) è stato ampiamente criticato per la scarsa professionalità e mancanza di sicurezza lui stesso. Inoltre avrebbe fornito il servizio di credit monitoring gratuito solo a chi avesse garantito di non partecipare ad azioni legali come class action contro la società – una condizione che dopo le critiche è stata tolta.

 

Quali saranno le conseguenze del data breach per Equifax e per tutti gli altri?

Oggi Equifax deve affrontare un numero spropositato di azioni legali (almeno 300, da parte di consumatori che si appellano alle leggi americane sulla data privacy o legate al Fair Credit Reporting Act del 1970), investigazioni da parte dell’US Federal Trade Commission e dell’FBI, un CEO  e altri top manager dimissionari o sotto inchiesta. Un data breach di questa dimensione e gravità avrà effetti negativi molto ampi e concatenati tra loro, che non riguarderanno solo la società e i costi che dovrà affrontare nei prossimi anni, ma anche singoli consumatori, il sistema finanziario americano, il largo consumo.

Equifax, insieme a Transunion e Experian, è infatti una delle maggiori società USA di controllo del credito dei consumatori. Produce i credit report con tutte le informazioni e un credit score che aiuta chi deve decidere su un credito: la cosa assurda è che ora, chi ha subito il data breach, per verificare se ci sono frodi in corso con la sua identità dovrà controllare con frequenza il proprio credit report. Le informazioni che trattano queste società sono riservatissime, non è possibile che la sicurezza dei dati dei consumatori non sia vissuta internamente come una priorità assoluta.

Subito dopo la notizia del data breach l’azione nel giro di una settimana ha perso il 30% del valore. Ma non si tratterà certamente dell’unica conseguenza negativa per la società: secondo il “2017 Cost of Data Breach Study” di Ponemon, bisogna considerare sia i costi diretti imputabili alle attività di detection, investigation, crisis management, sia quelli di notifica ai clienti (in questo caso anche i servizi di credit monitoring offerti gratuitamente), sia anche a tutti i costi indiretti come perdita di reputazione e di business.

Dal punto di vista di chi ha subito il data breach, i danni maggiori possono venire in futuro da frodi finanziarie basate sul furto di identità: in particolare, l’utilizzo del Social Security Number da parte di terzi può servire ad acquistare un mutuo, un automobile, ottenere credito al consumo, un rimborso sulle tasse, accedere a un lavoro. Una raccomandazione che in tanti danno in questo momento ai consumatori americani (illuminante in questo senso il sito della FTC IdentityTheft.gov) è di effettuare un Credit Freeze” in modo da impedire l’accesso al proprio credit report e quindi impedire un facile accesso a linee di finanziamento da parte di esterni (una misura che comunque non basta a impedire frodi bancarie di altro tipo, come accesso al conto corrente bancario o utilizzo del numero di carta di credito). Nel caso in cui sia impostato il Credit Freeze, una persona può continuare a fare qualsiasi attività, deve solo tutte le volte togliere il Freeze (con un costo e un po’ di perdita di tempo) per permettere l’accesso al proprio credit report da parte dell’ente a cui si rivolge (banca o altro). Un’alternativa al Credit Freeze è quella dei Fraud Alert, un avviso per verificare l’identità della persona ogni volta che vengono utilizzate le sue credenziali. Come è stato reso noto, Equifax offrirà credit freezes gratuiti fino al 21 novembre 2017, e ha anche dichiarato che rifonderà chi ha speso per i credit freezes da settembre 7, quando è stato annunciato il data breach.

Anche il sistema bancario americano dovrà probabilmente subire i costi del data breach (motivo per cui la Summit Credit Union del Wisconsin, con base a Madison e 34 sedi nello stato, è la prima banca che ha deciso di intentare un’azione legale a Equifax). Inoltre è stato ipotizzato che l’accesso ai sistemi interni di Equifax potesse essere usato dagli hacker per colpire in un secondo momento le banche collegate: addirittura, come riportato in “Equifax Suffered a Hack Almost Five Months Earlier Than the Date It Disclosed”, una banca canadese avrebbe individuato, tra le informazioni rivenute sul dark web che fanno riferimento al data breach Equifax, anche  username e password per un’application programming interface (API) utilizzata dalla banca canadese per collegarsi ai server di back end di Equifax.

Le cattive notizie sembrano quindi non essere ancora finite. La buona notizia è che probabilmente questo evento servirà a un cambiamento normativo negli USA, sulla linea di quanto sta avvenendo in EU con il nuovo regolamento per la Data Protection, che tra le varie cose, impone anche una risposta molto veloce in caso di data breach, entro le 72 ore.

ULTIMO NUMERO
ARCHIVIO
LE RUBRICHE
COME NASCE IL CAFFÈ DIGITALE
REGISTRATI
Iscriviti alla Newsletter mensile!
Ricevi gli articoli degli analisti di The Innovation Group e resta aggiornato sui temi del mercato digitale in Italia!

Font Resize
Contrasto