.
A Autoridade de Conduta Financeira (FCA) do Reino Unido multou a Equifax em mais de £ 11 milhões (US$ 13,6 milhões) por falhas graves que colocaram milhões de consumidores em risco de crimes financeiros.
O regulador classificou todo o desastre como “inteiramente evitável” – desde a falha da Equifax em notificar prontamente os reguladores até à forma como enganou o público sobre a gravidade de uma violação de segurança em 2017.
A multa original deveria ter sido maior; a verdadeira soma era de £ 15.949.200 (US$ 19.428.836), mas a empresa recebeu um desconto de 30% por concordar com a penalidade no início do processo. Também recebeu um crédito de 15% por bom comportamento durante a investigação.
Após a abertura da investigação em 2017, a multa da FCA ocorre depois que a ICO perdeu menos tempo impor uma penalidade de £ 500.000 ($ 609.092) em 2018.
“A segurança cibernética e a proteção de dados são de importância crescente para a segurança e estabilidade dos serviços financeiros”, disse Jessica Rusu, diretora de dados, informações e inteligência da FCA.
“As empresas não têm apenas a responsabilidade técnica de garantir a resiliência, mas também uma responsabilidade ética no processamento da informação do consumidor. O Dever do Consumidor deixa claro que as empresas devem elevar os seus padrões.”
No anúncio de hoje, a FCA lembrou às empresas do Reino Unido que as empresas financeiras regulamentadas devem ter medidas robustas de segurança cibernética para proteger os dados pessoais e notificar prontamente os reguladores sobre violações de dados de uma forma que seja justa e precisa.
“As empresas financeiras detêm dados sobre clientes que são altamente atraentes para os criminosos”, disse Therese Chambers, diretora executiva adjunta de fiscalização e supervisão de mercado da FCA.
“Eles têm o dever de mantê-los seguros e a Equifax não conseguiu fazê-lo. Eles agravaram essa falha pela forma como lidaram mal com sua resposta à violação de dados. As empresas regulamentadas estão em risco, independentemente de terceirizarem ou não.
“O risco de roubo de identidade nunca para. Os cibercriminosos são sofisticados e inovadores; é imperativo que as empresas mantenham os mais elevados padrões de proteção de dados.”
Informações importantes e uma rápida recapitulação
As duas empresas envolvidas aqui são Equifax Ltd e Equifax Inc. Existem diferenças importantes entre as duas que são importantes para a compreensão completa do caso.
Equifax Ltd é quem acaba de ser multada. É uma agência de referência de crédito (CRA) por direito próprio, mas também coleta e analisa dados de clientes e outras fontes para usar para outros fins, como marketing.
Seu principal produto é Global Consumer Solutions (GCS) e é isso que fornece à maioria dos adultos do Reino Unido relatórios de crédito e monitoramento na web.
A GCS vende os seus produtos de duas formas: diretamente aos consumidores e indiretamente a terceiros que depois vendem informações aos consumidores.
Os dados diretos do consumidor do Reino Unido da GCS foram terceirizados para os servidores da Equifax Inc nos EUA para processamento sob um Acordo de Processamento de Dados entre as duas empresas.
Equifax Inc é a empresa controladora da Equifax Ltd. Ela também é uma CRA global e foi a empresa que armazenou e processou dados de consumidores do Reino Unido em nome da Equifax Ltd sob seu contrato.
Apesar de fazer parte do mesmo grupo, o Acordo de Processamento de Dados constituiu uma terceirização de dados, o que significa que a Equifax Ltd ainda era responsável pelos problemas aos olhos dos reguladores, embora tenham sido os erros do sistema da Equifax Inc que levaram ao incidente.
Em 2017, o que viria a ser conhecido como uma das piores violações de dados da história foi anunciado pela Equifax – um incidente com o qual as empresas de todo o mundo aprenderiam e nunca tentariam repetir.
Desde práticas de segurança escandalosas que permitiram a entrada de invasores até estratégias de divulgação que confundiriam qualquer pessoa que ingressasse no mercado de trabalho pós-GDPR, a violação da Equifax destacou uma série de questões.
A parte do patch
Os invasores conseguiram violar os servidores da Equifax Inc explorando o software não corrigido Vulnerabilidade do Apache Struts (CVE-2017-5638).
A investigação sobre o motivo pelo qual isso não foi corrigido revelou que a violação começou inicialmente em 10 de março de 2017, quando os cibercriminosos começaram a escanear os sistemas não corrigidos dois dias depois que o US-CERT emitiu um comunicado sobre a vulnerabilidade.
Em 9 de março de 2017, um dia depois de receber o alerta, a Equifax distribuiu o comunicado aos seus administradores de sistemas, mas a lista de e-mails não estava atualizada, o que significa que vários funcionários importantes não foram contatados sobre o assunto.
O funcionário solteiro encarregados de supervisionar os patches de software não conseguiram identificar a vulnerabilidade porque verificaram apenas os diretórios raiz e não o subdiretório onde a falha do Struts estava localizada.
A violação de dados real ocorreu dois meses depois em 13 de maio de 2017. A vulnerabilidade só foi corrigida em algumas áreas, deixando as portas abertas para o roubo de dados em massa que afetou pessoas nos EUA, no Reino Unido e no Canadá.
A maioria dos cidadãos do Reino Unido teve seus nomes e datas de nascimento acessados. Mais de um milhão também teve seu número de telefone incluído.
O número de casos que envolviam nomes, datas de nascimento, números de telefone (os três principais) e outro ponto de dados estava na casa das dezenas de milhares. Alguns tinham os três principais endereços de e-mail; ou os três principais mais o número da carteira de habilitação; ou endereços residenciais e nomes de usuário de login de membros Equifax, senhas, perguntas e respostas secretas e detalhes de cartão de crédito parcialmente expostos.
A parte da divulgação
A Equifax Inc só tomou conhecimento da violação em 30 de julho de 2017 e, em 11 de agosto de 2017, sabia que os dados dos clientes poderiam ter sido acessados.
Neste ponto, a FCA argumenta no Aviso Final completo, a Equifax deveria estar ciente de que os consumidores do Reino Unido foram afetados. A Equifax Ltd teve certeza de que os dados do Reino Unido foram comprometidos em 29 de agosto de 2017 e, devido à natureza do Acordo de Processamento de Dados entre a Equifax Ltd e a Equifax Inc, a primeira deveria ter notificado os reguladores do Reino Unido pelo menos neste ponto, mas idealmente no dia 11 .
A Equifax Inc foi informada por advogados em 5 de setembro de 2017 que a Equifax Ltd precisava informar a ICO. Demorou mais dois dias para comunicar isso à Equifax Ltd.
A FCA só tomou conhecimento da violação num relatório de imprensa publicado em 8 de setembro de 2017, após a divulgação pública da Equifax na madrugada de 7 de setembro.
Seguiu-se uma série de telefonemas nos quais a FCA disse que a Equifax Ltd não foi capaz de responder a perguntas básicas sobre a natureza da violação. O que se seguiu foram atrasos “frustrantes” na identificação e correção dos registros dos consumidores afetados.
A FCA disse no anúncio de hoje que nas semanas após a divulgação inicial, “a Equifax fez várias declarações públicas sobre o impacto do incidente nos consumidores do Reino Unido, o que deu uma impressão imprecisa do número de consumidores afetados.
“A Equifax também tratou os consumidores injustamente ao não manter verificações de garantia de qualidade para reclamações após o incidente de segurança cibernética, o que significa que as reclamações foram mal tratadas.”
Entre estas declarações enganosas estava a sua intenção de contactar menos de 400.000 consumidores do Reino Unido, o que implica que apenas 400.000 pessoas foram afectadas quando, na verdade, a Equifax na altura tinha a impressão de que mais de 15,1 milhões de clientes pode ter sido afetado.
Numa chamada posterior com a FCA, esta recusou-se a corrigir este número depois de vários relatos da comunicação social o terem divulgado, citando uma série de razões, incluindo:
- Que não deveria ser “responsabilizado por jornalistas que interpretam mal a informação”
- Alarmaria os consumidores em circunstâncias em que nenhum apelo à ação seria dado
- O seu call center e website ficariam sobrecarregados com as perguntas dos consumidores, o que causaria ainda mais sofrimento aos consumidores
- Tal anúncio aumentaria o risco, convidando os hackers a pesquisar online os dados acessados
- No caso de publicação, isso poderá afetar o preço das ações da Equifax Inc.
Depois que um conjunto de dados adicional do Reino Unido foi descoberto, a Equifax emitiu um comunicado de imprensa atualizado que a FCA novamente considerou que não comunicava com precisão o número de consumidores afetados. Os problemas de comunicação persistiram até outubro de 2018, de acordo com o aviso da FCA.
Num comunicado enviado a Strong The OneEquifax disse: “A Equifax cooperou totalmente com a FCA durante esta longa investigação e foi reconhecida pela FCA por essa cooperação, nosso programa de transformação e o exercício voluntário de reparação do consumidor que implementamos após o incidente. Desde o ataque cibernético contra nossa empresa seis anos atrás, investimos mais de US$ 1,5 bilhão em uma transformação de segurança e tecnologia. Poucas empresas investiram mais tempo e recursos do que a Equifax para garantir que as informações dos consumidores sejam protegidas.
“Construímos um dos programas de segurança cibernética mais avançados e eficazes do mundo. Nosso nível de maturidade excedeu todos os principais benchmarks do setor e nossa postura – a capacidade de proteger nossas redes, informações e sistemas contra ameaças – foi classificada entre os 1% melhores das empresas de tecnologia e 3% das principais empresas de serviços financeiros analisadas, por três anos consecutivos.” ®
.
