Det amerikanske kredittvurderingsselskapet Equifax kunngjorde i går at det har oppdaget det som av amerikansk presse omtales som et av de aller største datainnbruddene i historien.
I perioden mai til juli i år har uvedkommende fått tilgang til visse registre som inneholder blant annet navn, personnumre, fødselsdatoer, adresser og i en del tilfeller også førerkortnumre til omkring 143 millioner amerikanske innbyggere.
I tillegg skal dataene ha omfattet kredittkortnumrene til 209 000 amerikanske forbrukere, samt ytterligere personopplysninger som er inkludert visse tvistdokumenter om 182 000 personer.
![HP Norge](https://images.gfx.no/80x/2757/2757793/hp%2520logo.png)
![](https://images.gfx.no/cx0,cy1137,cw8192,ch2731,2000x/2848/2848258/hp_day4_roz_ambiente_maja_0384_shot_086%2520(1).jpg)
Også et begrenset antall britiske og canadiske innbyggere skal være berørt.
Equifax skal ikke funnet bevis på uautorisert tilgang til selskapets sentrale kredittvurderingsdatabaser.
Sårbarhet
Datainnbruddet ble tilsynelatende gjort mulig ved å utnytte en sårbarhet i en spesifikk webapplikasjon.
Hva slags sårbarhet som har blitt utnyttet i den aktuelle webapplikasjonen, har ikke blitt offentliggjort. Men vanligvis dreier det seg om SQL-injisering eller cross-site scripting (XSS). Vanligvis skyldes begge mangelfull filtrering og validering av inndata. De er begge forholdsvis enkle å unngå.
Les også: Rapporterte sikkerhetshull, men fikk ingen takk. I stedet ble tenåringen arrestert
Intern etterforskning
Den uautoriserte tilgangen ble oppdaget av Equifax den 29. juli i år. Selskapet skal da ha engasjert et ledende, men ikke navngitt IT-sikkerhetsselskap til å granske omfanget av lekkasjen. Også justismyndighetene i USA skal ha blitt varslet. Den interne etterforskningen ventes å bli endelig avsluttet i løpet av noen uker.
– Dette er klart en skuffende hendelse for selskapet vårt, og én som treffer midt i hjertet på det vi er og det vi gjør. Jeg beklager overfor forbrukere og våre næringskunder for bekymringen og frustrasjonen dette medfører, sier Richard F. Smith, styreformann og CEO i Equifax, i kunngjøringen.
Han lover videre en grundig gjennomgang av hele sikkerhetsvirksomheten til selskapet.
Personer med amerikansk Social Security-nummer kan selv sjekke om de er berørt av datainnbruddet.
Også tidligere
Ifølge Ars Technica skal Equifax også i 2013 ha vært involvert i et alvorlig tilfelle av datalekkasje, hvor sensitive forbrukerdata ble eksponert. Dette skjedde via nettstedet annualcreditreport.com, hvor privatpersoner kan se sine egne kredittvurderinger, inkludert gjeldsinformasjon. Men i 2013 var det utilsiktet også mulig å se personlige detaljer om andre personer enn seg selv, inkludert USAs daværende visepresident og FBI-direktør.
Leste du denne? Slik havnet inkassovarsel og bompenge-passeringer i Microsofts søkemotor (Digi Ekstra)