A resposta desastrada a uma invasão hacker que expôs 143 milhões de pessoas
A Equifax é um dos três maiores serviços de proteção ao crédito nos EUA. Hackers invadiram o site da empresa entre maio e julho, roubando dados de 143 milhões de americanos — ou quase metade da população.
As informações vazadas incluem nome completo, endereço, data de nascimento, número de seguridade social, e dados da carteira de motorista. É o bastante para um criminoso roubar suas identidades, e solicitar empréstimos em nome de outra pessoa. Pior: 209 mil números de cartões de crédito também foram expostos.
Tem mais: o vazamento foi descoberto em 29 de julho, mas só foi informado ao público após cerca de 40 dias. Além disso, três executivos — o diretor financeiro, o presidente de soluções para os EUA, e o presidente de soluções para força de trabalho — venderam US$ 1,8 milhão em ações da empresa dias após essa descoberta. A Equifax diz em comunicado que eles “não tinham conhecimento de que uma invasão havia ocorrido na época”.
Ela criou o site equifaxsecurity2017.com para os clientes verificarem se foram afetados pelo vazamento, inserindo o último nome e três últimos dígitos do número de seguridade social.
No entanto, como nota o Ars Technica, ele usa uma versão padronizada do WordPress, que não oferece o nível de segurança adequado para isso. O domínio sequer está registrado em nome da Equifax; o Open DNS, da Cisco, chegou a bloquear acesso ao site por suspeita de phishing.
Confirmed @davidu pic.twitter.com/FoIF1Hoc5k
— SwiftOnSecurity (@SwiftOnSecurity) September 8, 2017
Há também um telefone para atendimento, este com seus próprios problemas. A jornalista Polly Mosendz, da Bloomberg, ligou para o número e, 48 minutos depois, o atendente disse que a empresa de call center foi contratada pela Equifax mas não havia recebido a base de dados com os clientes afetados. Sarah Buhr, do TechCrunch, diz que o atendimento automático desligou na cara dela três vezes devido à alta demanda.
A Equifax vai avisar por carta os clientes afetados. Ela diz ter contratado uma empresa de cibersegurança após descobrir o vazamento, e vem colaborando com as autoridades; além disso, ela está oferecendo o serviço TrustedID Premier gratuitamente por um ano, com monitoramento de crédito e proteção contra falsidade ideológica.
Com informações: The Next Web, Ars Technica, Mashable.