Foto: AP
Sapevamo che non ci sarebbe voluto molto prima che il Congresso richiesta di azione in risposta alla Equifax violazione dei dati—in particolare perché alcuni dei suoi membri sono tra i 143 milioni di Americani che sono incazzato di avere i loro numeri di previdenza Sociale e altri dati personali esposti.
Equifax ha annunciato la violazione di ieri, e finora il comportamento dell’azienda è stato un esempio di come non rispondere a una violazione dei dati. Lo strumento per i consumatori per verificare se i loro dati rubati non funziona davvero, Equifax è apparentemente dotato di connessione di monitoraggio del credito, ma nessuno può iscriversi di sicurezza, e alcuni dei suoi dirigenti, misteriosamente, ha venduto fuori stock, prima che la violazione è stata annunciata.
In breve, è un disastro—e legislatori non sono felici.
Tra coloro che prendono l’azione, tre Democratici alla Casa dell’Energia e Commercio Comitato non ha perso tempo per venerdì scavare nella società discutibile risposta.
In una lettera venerdì, NOI Rappresentanti Frank Pallone, Jr, Diana DeGette, e Jan Schakowsky incaricato il Government Accountability Office (GAO) con il fine di valutare se la Equifax di reazione alla violazione sarà in alcun modo beneficio di milioni di Americani a rischio di frodi finanziarie. Dopo tutto, Equifax è di per sé una agenzia di credito di segnalazione, c’è un sacco di ironia per andare in giro.
In particolare, il legislatore si dicono allarmati da GEO rapporti che suggeriscono semplicemente offrire per il monitoraggio di una violazione della vittima di credito non è il modo per andare. L’intero scopo di offrire questo servizio, secondo GAO risultati, è quello di “evitare la responsabilità”, offrendo ai consumatori la “pace della mente”.
Dopo l’Office of Personnel Management (OPM) è stato violato nel 2015, il governo federale ha offerto a milioni di suoi dipendenti l’accesso al credito, servizi di monitoraggio. Tuttavia, il GAO poi scoperto che questa decisione non era basato su una reale analisi di se o non i servizi sono stati veramente efficace, il legislatore ha detto.
Mentre mettendo le menti delle persone a proprio agio, è certamente un servizio, non è certo un sostituto per una vera protezione contro il furto di identità.
“Compensare consumatori i cui dati sono stati violati con un anno di monitoraggio non sarà sufficiente.”
“Le domande rimangono circa se l’acquisto e la fornitura di monitoraggio del credito, per i clienti è il modo ottimale per rispondere alle violazioni dei dati,” che il legislatore ha scritto. “In particolare, siamo preoccupati che la reazione popolare potrebbe tenere conto di fattori non correlati alla protezione effettiva di violazione delle vittime e affidamento su questi prodotti, dopo che la violazione può comportare consumatori di essere cullati in un falso senso di sicurezza.”
I Democratici hanno chiesto il GAO a prendere un altro swing a determinare con precisione quali “post-violazione soluzioni” sarebbe un vantaggio per le vittime di furto di dati e non solo quelli colpiti da Equifax.
Il legislatore vorrei sapere, per esempio, come facciamo tutti noi,“A che punto la soluzione più efficace variare dal tipo di violazione, vittima caratteristiche, demografiche o altri fattori chiave?” Hanno anche chiesto: “in che misura i servizi offerti determinato dal prezzo?” e “in che misura sono determinati dal loro livello di protezione?”
“Questo incidente mostra come urgente la necessità di trovare modi migliori per proteggere i dati personali,” Rep. Diana DeGette, membro classifica sulla Casa sottocommissione per la sorveglianza e indagini, ha detto a Gizmodo. “Chiaramente, come paese, abbiamo bisogno di definire dei nuovi mezzi per mantenere i ladri e hacker di ottenere e utilizzare le informazioni personali. Compensare i consumatori i cui dati sono stati violati con un anno di monitoraggio non sarà sufficiente.”
Qualora il GAO identificare “efficace post-violazione soluzioni e gli ostacoli che impediscono il loro uso,” DeGette e i suoi colleghi hanno chiesto, inoltre, di nuove raccomandazioni su come sia il governo federale e il settore privato può più ampiamente sfruttare queste soluzioni a beneficio di violazione di dati di vittime.
È difficile valutare se Equifax offerta sarà effettivamente aiutare chiunque. Nonostante il suo lungo comunicato stampa, l’azienda ha rivelato nulla di violazione, i tipi di dati rubati—al di là di dire, come molti di 143 milioni di clienti potrebbe essere a rischio. La società non rivelare la violazione per più di un mese dopo il rilevamento, una decisione che ha tratto notevoli critiche. E la natura del “sito di vulnerabilità delle applicazioni” presunto responsabile della violazione, di per sé, rimane poco chiaro.
L’ambiguità con la quale l’azienda ha descritto l’incidente—hanno riferito come un “cybersecurity incidente” e un “intrusione”—potrebbe indicare che un hacker, hacker, è andato all’accurata lunghezze per rubare il suo database di clienti. Si potrebbe presumere che si intende utilizzare. Ma per quanto ne sappiamo ora, l’azienda potrebbe aver semplicemente lasciato la porta spalancata, i suoi database accessibile attraverso alcune gravi mancanze nella sicurezza a chiunque con un browser e l’indirizzo IP.
Che cosa può essere pesato, tuttavia, è Equifax risposta dopo aver appreso la violazione: È l’azienda che fa di tutto per fare il bene dei propri clienti? O è agire solo nel proprio interesse, prendendo solo le misure necessarie per ridurre le proprie responsabilità? Finora, l’outlook non è grande. Offerta di monitorare le vittime di credito”, è la definizione stessa di almeno Equifax potrebbe fare.
“È una minaccia per la nostra sicurezza economica.”
Ma ora ci sono altre preoccupazioni: è Preoccupante il linguaggio è stato scoperto sul sito Equifax impostato per permettere ai propri clienti di controllare per vedere se le loro informazioni personali è stato esposto. Pochi che hanno aderito probabilmente notato la “clausola arbitrale” in termini di servizio, che limita la partecipazione di eventuali azioni legali collettive derivanti dall’incidente. (Sul serio, questa è una cosa).
Il GAO valutazione è solo una delle diverse misure investigative di essere spinti da membri del Congresso.
“È una minaccia per la nostra sicurezza economica,” Sen. Mark Warner scritto su twitter. Fu lanciata una serie di idee per la legislazione di indirizzo per la sicurezza cibernetica incubi come Equifax violazione, compresa la notifica degli standard per aziende di raccontare ai consumatori hack.
Non ha l’aspetto di Energia e di Commercio sta andando essere il solo comitato cercando di ottenere risposte da Equifax. Rep. Ted Lieu chiamata per House Judiciary Committee di tenere un’audizione per la violazione. Invece vogliono Equifax a testimoniare, naturalmente, ma lui vuole i loro principali concorrenti—Experian e TransUnion—per venire a tavola, troppo. Ogni azienda, ha detto, dovrebbe essere richiesto di spiegare come si è “prendere proattivo, di difesa di misure per prevenire tali violazioni in futuro.”
Sulla parte superiore dello strumento di indagine audizioni, alcuni membri del Congresso sono già spingendo per una legge che consente una regolamentazione più rigida di agenzie di credito di segnalazione. Sen. Brian Schatz ha annunciato che ha intenzione di reintrodurre la legislazione ha redatto nel 2015 questo per dare ai consumatori un maggiore controllo sui loro rapporti di credito.
Gizmodo ha raggiunto Equifax con un elenco di domande circa la violazione dei dati pomeriggio di giovedì. Nessuno della società ha risposto finora, ma ci aggiorneremo quando e se lo faranno.
Aggiornamento, 8:00pm: Come un utile lettore segnalate di seguito, Equifax ha aggiunto il linguaggio, a un Q&Una sezione sul suo sito web affrontare la clausola compromissoria problema:
La clausola per arbitrato e azione di classe wavier incluso nel TrustedID Premier Termini di Utilizzo si applica per il credito file di monitoraggio e di protezione dal furto di identità dei prodotti, e non la cybersecurity incidente.