Foto: AP
We wisten dat het zou niet lang voordat het Congres eiste een antwoord geven op de Equifax data breach—vooral omdat verschillende van haar leden onder de 143 miljoen Amerikanen, die zijn boos over het hebben van hun sofi-nummers en andere persoonlijke gegevens openbaar maken.
Equifax aangekondigd de strijd van gisteren, en voor zover de vennootschap gedrag is een voorbeeld van hoe het niet moet reageren op een schending van de beveiliging. Het gereedschap voor de consument om te controleren of hun gegevens zijn gestolen werkt niet echt, Equifax is vermoedelijk het aanbieden van gratis credit monitoring, maar niemand kan zich aanmelden, en een aantal van zijn kaderleden op mysterieuze wijze verkocht uit voorraad voor de overtreding werd aangekondigd.
Kortom, het is een ramp—en wetgevers zijn niet gelukkig.
Onder degenen, die het nemen van actie, drie-Democraten op de House Energy and Commerce Committee had geen tijd te verliezen, op vrijdag graven in het bedrijf twijfelachtige reactie.
In een brief die vrijdag, Vertegenwoordigers van de VS Frank Pallone, Jr., Diana DeGette, en Jan Schakowsky belast de Government Accountability Office (GAO) met het evalueren of Equifax reactie op de schending zal op geen enkele manier profiteren van de miljoenen Amerikanen nu op risico van financiële fraude. Immers, Equifax is zelf een credit-rapportage bureau; er is genoeg ironie om rond te gaan.
Specifiek, de wetgevers zeggen dat ze gealarmeerd door GEO-rapporten die suggereren dat gewoon aanbieden voor het monitoren van een schending van het slachtoffer van kredieten is niet de manier om te gaan. Het hele doel van het aanbieden van deze dienst, volgens GAO ‘s bevindingen, is om te voorkomen dat de aansprakelijkheid”, terwijl het aanbieden van consumenten “de vrede van de geest.”
Na het Office of Personnel Management (OPM) is geschonden in 2015, de federale overheid bood de miljoenen van haar medewerkers toegang tot credit monitoring diensten. Echter, de GAO later bleek dat deze beslissing was niet gebaseerd op een werkelijke analyse van de vraag of de diensten waren echt effectief te zijn, de wetgevers zei.
Tijdens het zetten van de gedachten van mensen op hun gemak is zeker een service, het is geen vervanging voor een echte schild tegen diefstal van identiteit.
“Gewoon compensatie van consumenten waarvan de gegevens zijn gehackt met een jaar van de monitoring is niet genoeg.”
“Vragen blijven bestaan over de vraag of de aankoop van en het verstrekken van krediet-controle voor klanten is de optimale manier om te reageren op datalekken,” de wetgevers schreef. “We zijn In het bijzonder bezorgd dat het populaire antwoord kunnen een weerspiegeling zijn van factoren die niets met de feitelijke bescherming van schending van slachtoffers en het vertrouwen op deze producten na de breuk kan leiden tot consumenten in slaap gesust door een vals gevoel van veiligheid.”
De Democraten hebben gevraagd de GAO te nemen van een andere gang in het bepalen precies wat “post-schending oplossingen” zouden profiteren slachtoffers van diefstal van gegevens—en niet alleen die beïnvloed door Equifax.
De wetgevers zou graag willen weten, bijvoorbeeld, net zoals wij,”in welke mate is de meest effectieve oplossing variëren door de schending van het type, slachtoffer kenmerken, demografische gegevens of andere belangrijke factoren?” Ze hebben ook gevraagd: “in welke mate zijn de aangeboden diensten bepaald door de prijs?” en “in welke mate worden ze bepaald door het niveau van bescherming?”
“Dit voorval toont aan hoe dringend de noodzaak om te zoeken naar betere manieren om persoonlijke gegevens te beschermen,” Rep. Diana DeGette, de ranking lid van het Huis subcommissie toezicht en onderzoek, vertelde Gizmodo. “Het is duidelijk dat, als een land moeten we craft nieuwe middelen om dieven en hackers van het verkrijgen en gebruiken van persoonlijke informatie. Gewoon compensatie van consumenten waarvan de gegevens zijn gehackt met een jaar van de monitoring is niet genoeg.”
Moet de GAO identificeren “effectieve post-schending oplossingen en obstakels die je hinderen in hun gebruik,” DeGette en haar collega ‘ s hebben ook gevraagd voor nieuwe aanbevelingen over hoe zowel de federale overheid als de private sector kan op grotere schaal gebruik maken van deze oplossingen in het voordeel van de gegevens die inbreuk slachtoffers.
Het is moeilijk om te beoordelen of Equifax het aanbod daadwerkelijk zal helpen iedereen. Ondanks zijn lange persbericht, het bedrijf heeft geopenbaard niets over de schending en de soorten van gegevens gestolen—buiten zeggende zo veel als 143 miljoen klanten mogelijk risico. Het bedrijf niet bekendmaken van de strijd voor meer dan een maand na het detecteren, een beslissing die heeft getekend belangrijke kritiek. En de aard van de “website van toepassing kwetsbaarheid” zogenaamd verantwoordelijk zijn voor de overtreding zelf ook blijft onduidelijk.
De dubbelzinnigheid die de vennootschap heeft beschreven het incident hebben ze bedoelde het als een “cybersecurity incident” en een “inbraak”—zou kunnen duiden dat een hacker of hackers, ging moeizaam lengtes te stelen van haar klantenbestand. Men zou veronderstellen ze van plan om het te gebruiken. Maar voor alles wat we nu weten, is het mogelijk dat heb gewoon links van de deur wijd open, de databanken toegankelijk via een aantal ernstige vervallen in veiligheid voor vrijwel iedereen met een webbrowser en de juiste IP-adres.
Wat kunnen worden gewogen, echter, is Equifax reactie na het leren over de schending: Is het bedrijf doet er alles aan doet door haar klanten? Of is het die uitsluitend in zijn eigen belang, waarbij alleen de noodzakelijke stappen voor het verminderen van haar eigen aansprakelijkheid? Tot dusver, zijn de vooruitzichten niet geweldig. Biedt voor het bewaken van de slachtoffers’ credit is de definitie van de minste Equifax kon doen.
“Het is een bedreiging voor onze economische zekerheid.”
Maar nu zijn er andere zorgen: Verontrustende taal heeft ontdekt op de website Equifax ingesteld op het toestaan van haar klanten te controleren om te zien als hun persoonlijke informatie werd blootgesteld. Weinigen die zich heeft aangemeld waarschijnlijk gemerkt dat de “arbitrage” – clausule in de algemene voorwaarden dat beperkt hen uit deel te nemen in een class-action rechtszaken die voortvloeien uit het incident. (Serieus, dit is een ding.)
De GAO evaluatie is slechts één van vele onderzoeksmaatregelen te worden geduwd door leden van het Congres.
“Het is een bedreiging voor onze economische zekerheid,” Sen. Mark Warner getweet. Hij zweefde verschillende ideeën voor de wetgeving aan te pakken cybersecurity nachtmerries als de Equifax inbreuk, met inbegrip van de kennisgeving normen voor bedrijven om te vertellen aan de consument over de hacks.
Het maakt niet uit als Energie en Handel is de enige commissie proberen om antwoorden te krijgen van Equifax. Rep. Ted Lieu belt voor het House Judiciary Committee een hoorzitting te houden op de overtreding. Plaats wil Equifax om te getuigen, natuurlijk, maar hij wil hun grote concurrenten—Experian en TransUnion—om aan tafel te komen, ook. Elk bedrijf, zei hij, moeten worden verplicht om uit te leggen hoe het is “het nemen van proactieve, defensieve stappen om te voorkomen dat dergelijke overtredingen in de toekomst.”
Op de top van de onderzoeks-hoorzittingen, sommige leden van het Congres zijn al duwen voor een wetgeving die zou leiden tot strengere regulering van de credit rapportage agentschappen. Sen. Brian Schatz aangekondigd dat hij van plan is om opnieuw de wetgeving stelde hij in 2015, en dat geeft de consument meer controle over hun kredietrapporten.
Gizmodo bereikt Equifax met een lijst van vragen over de gegevens die inbreuk donderdag middag. Niemand van het bedrijf reageerde zo ver, maar we werken en wanneer ze dat doen.
Update 8:00 uur: Als een behulpzame lezer gewezen hieronder Equifax heeft toegevoegd taal naar een Q&A sectie op de website van de aanpak van de arbitrage-clausule probleem:
De arbitrage-clausule en de class action wavier opgenomen in de TrustedID Premier Gebruiksvoorwaarden van toepassing op de gratis credit-bestand monitoring en bescherming tegen identiteitsdiefstal producten, en niet de cybersecurity incident.