Aksjekursen til det amerikanske kredittvurderingsselskapet Equifax falt med mer enn 13 prosent da handelen startet på morgen fredag i forrige uke. Dette var dagen etter at det ble kjent at uvedkommende hadde fått tilgang til persondata om rundt 143 millioner amerikanske innbyggere på grunn av en sårbarhet i en av webapplikasjonene til Equifax.
Bakgrunn: Blottla personopplysninger om 40 prosent av USAs befolkning
Datalekkasjen ble oppdaget den 29. juli i år, men ble først offentlig kjent i forrige uke. Kort tid etterpå ble det ifølge Bloomberg kjent at tre seniorledere i Equifax hadde solgt aksjer for til sammen 1,8 millioner dollar bare noen få dager etter at datalekkasjen ble oppdaget. Men selskapet bedyrer at disse personene ikke var blitt informert om innbruddet på dette tidspunktet.
_logo.svg.png){kind=logo}
Aksjene som ble solgt skal bare ha utgjort en mindre andel av Equifax-aksjene de tre eide.
– Utilgivelig
En rekke IT-sikkerhetseksperter har uttalt seg svært kritisk om lekkasjen. Mike Shultz, CEO hos Cybernance, sier at innbruddet rett og slett er utilgivelig fordi tilgangen ble gjort mulig som følge av at webapplikasjonen ikke var godt nok sikret.
Andre, inkludert ZDNet-kommentatoren Larry Dignan og teknologidirektør Etienne Greeff hos SecureData, har kritisert hvordan Equifax har håndtert situasjonen etter at innbruddet ble kjent.
– Som en respons på innbruddet lagde Equifax et nettsted – Equifaxsecurity2017.com – som tilbyr gratis beskyttelse mot identitetstyverier og overvåkning av kredittinformasjon til alle amerikanske kunder. Men kundene bes om å oppgi ytterligere informasjon til nettstedet, som ikke engang har et gyldig sikkerhetssertifikat. Det er som å tilby innboforsikring til en person som allerede har hatt besøk av innbruddstyver, og potensielt utsette dem for enda større risiko, mener Greef.
Mangel på kompetanse
Mårten Mickos, CEO for HackerOne, mener at det ikke er noe unikt ved den utilstrekkelige sikkerheten til Equifax.
– Equifax er det det siste eksempelet på et selskap som er menneskelig. Ingen er perfekt, og alle blir hacket på en eller annen måte. Finansielle tjenester har alltid vært attraktive mål for kriminelle, og denne trenden fortsetter etter hvert som alt blir tilgjengelig på internett, sier han i en uttalelse som er gjengitt av SecurityWeek.
– Det er heller ikke nytt av IT-sikkerhetsbransjen møter en alvorlig mangel på kompetanse. Teamene er typisk underbemannet, underfinansiert og gjør så godt de kan. Det er dersom det er viktig å åpne opp en kommunikasjonskanal til fellesskapet av etiske hackere for å bidra til å avdekke kritiske feil før de blir utnyttet, sier Mickos.
Det må dog legges til at HackerOne tilbyr nettopp dette, en plattform for sårbarhetskoordinering og dusørordninger.
– Vi har sett på nettstedet til Equifax og fant ingen måte som hackere enkelt kan bruke til å avsløre noe. Et par feil har blitt avdekket via Open Bug Bounty, et non-profit-prosjekt designet for å knytte sammen hackere og nettstedeiere for å rette feil på en transparent og åpen måte, sier Mickos.
Men han legger til at én av disse feilene ikke har blitt rettet ennå.
Mickos forteller også at mens 39 prosent av de høyest verdsatte teknologi-oppstartsselskapene («unicorns») har ordninger hvor etiske hackere kan fortelle om feil og sårbarheter de finner, så er det bare 6 prosent av Forbes Global 2000-selskapene som har tilsvarende ordninger.
Gruppesøksmål
Siden det er USA vi snakker om, er folk allerede i god gang med å planlegge søksmål mot Equifax. Ifølge Motherboard er advokatfirmaer i ferd med å bygge opp flere gruppesøksmål. I ett av disse, som omtales av Bloomberg, kan det bli krevd så mye som 70 milliarder dollar i erstatning.
