Photo: AP
Nous savions qu’il ne serait pas long avant que le Congrès a exigé d’action en réponse à la Equifax violation de données—en particulier parce que plusieurs de ses membres sont parmi les 143 millions d’Américains qui sont furieux au sujet d’avoir leurs numéros de Sécurité Sociale et d’autres données à caractère personnel exposé.
Equifax a annoncé la violation hier, et jusqu’à présent, le comportement a été un exemple de comment ne pas répondre à une violation de données. L’outil pour les consommateurs à vérifier si leurs données ont été volées ne fonctionne pas vraiment, Equifax est censé offrir gratuitement un service de surveillance du crédit, mais personne ne peut signer encore, et que plusieurs de ses cadres mystérieusement vendu stock avant que la violation a été annoncé.
En bref, c’est une catastrophe, et les législateurs ne sont pas heureux.
Parmi ceux qui prennent de l’action, trois Démocrates sur la Maison de l’Énergie et le Commerce Comité ne perdez pas de temps, le vendredi de creuser dans la société discutable de réponse.
Dans une lettre adressée vendredi, les Représentants des états-unis Frank Pallone, Jr, Diana DeGette, et Jan Schakowsky chargé le government Accountability Office (GAO), avec à évaluer si Equifax réaction à la violation sera de toute façon l’avantage de la des millions d’Américains à risque de fraude financière. Après tout, Equifax est elle-même une agence d’évaluation du crédit; il y a beaucoup d’ironie.
Plus précisément, les législateurs disent qu’ils sont alarmés par GEO rapports qui suggèrent de donner simplement de surveiller une violation de la victime de crédit n’est pas la voie à suivre. L’ensemble de la prestation de ce service, selon GAO résultats, est de “se soustraire à la responsabilité”, tout en offrant aux consommateurs la “paix de l’esprit.”
Après l’Office of Personnel Management (OPM) a été violée en 2015, le gouvernement fédéral a offert des millions de ses employés l’accès à des services de surveillance du crédit. Cependant, le GAO trouvé plus tard que cette décision n’était pas fondée sur une analyse de savoir si les services ont été vraiment efficace, le législateur a dit.
Tout en mettant l’esprit des gens à l’aise est certainement un service, ce n’est pas un substitut à un véritable bouclier contre le vol d’identité.
“Le simple fait d’indemniser les consommateurs dont les données a été piraté avec une année de surveillance n’est pas assez.”
“Des Questions demeurent quant à savoir si l’achat et la fourniture de surveillance du crédit pour les clients est la meilleure façon de répondre aux violations de données,” le législateur a écrit. “En particulier, nous craignons que la réponse populaire peuvent tenir compte de facteurs non liés à la protection effective de la violation des victimes et à la dépendance à ces produits après la rupture peut entraîner des consommateurs étant bercer d’un faux sentiment de sécurité.”
Les Démocrates ont demandé à GAO pour prendre un autre swing à déterminer précisément ce que le “post-violation des solutions” serait à l’avantage des victimes de vol de données—et pas seulement ceux qui sont touchés par Equifax.
Les législateurs voudrais savoir, par exemple, comme nous tous,“dans quelle mesure la solution la plus efficace varier par type de violation, les caractéristiques de la victime, données démographiques ou d’autres facteurs clés?” Ils ont également demandé: “dans quelle mesure les services offerts déterminé par le prix?” et “dans quelle mesure sont-ils déterminés par leur niveau de protection?”
“Cet incident montre comment l’urgent est de trouver de meilleures façons de protéger les données personnelles,” la République Diana DeGette, le membre de rang à la Maison sous-comité sur la surveillance et les enquêtes, dit Gizmodo. “Clairement, en tant que pays, nous avons besoin à la confection de nouveaux moyens de garder les voleurs et les pirates à partir de l’obtention et l’utilisation de renseignements personnels. Simplement indemniser les consommateurs dont les données a été piraté avec une année de surveillance n’est pas assez.”
Si le GAO identifier “efficace après la violation des solutions et des obstacles qui nuisent à leur utilisation”, ” DeGette et ses collègues ont également demandé des nouvelles recommandations sur la façon dont le gouvernement fédéral et le secteur privé peuvent plus largement tirer parti de ces solutions pour le bénéfice de la violation de données des victimes.
Il est difficile d’évaluer si Equifax, l’offre sera effectivement aider quelqu’un. En dépit de son long communiqué de presse, la société a révélé rien à propos de la violation et les types de données de vol—au-delà de dire que beaucoup de 143 millions de clients peuvent être à risque. La société n’a pas connaissance d’une violation de plus d’un mois après la détection, une décision qui a attiré beaucoup de critiques. Et la nature du “site web de la vulnérabilité de l’application” soi-disant responsable de la violation, elle aussi, reste incertaine.
L’ambiguïté avec laquelle la société a décrit l’incident, ils ont parlé comme d’un “incident de cybersécurité” et une “intrusion”—pourrait indiquer qu’un pirate, ou des pirates, est allé à laborieux efforts pour voler sa base de données clients. On pourrait présumer qu’ils ont l’intention de l’utiliser. Mais pour tout ce que nous savons maintenant, la société a tout simplement laissé la porte grande ouverte, ses bases de données accessibles par l’intermédiaire de quelques grave défaillance de la sécurité de pratiquement n’importe qui avec un navigateur web et la bonne adresse IP.
Ce qui peut être pesé, cependant, est Equifax de réponse à l’issue de l’apprentissage au sujet de la violation: l’entreprise fait tout ce qu’il peut faire le bien par ses clients? Ou est-il agir uniquement dans son propre intérêt, en ne prenant que les mesures nécessaires afin de réduire sa propre responsabilité? Jusqu’à présent, les perspectives n’est pas grande. Offre de surveiller les victimes de crédit est la définition même de la moins Equifax pourrait le faire.
“C’est une menace pour notre sécurité économique.”
Mais maintenant, il y a d’autres préoccupations: Troublant de la langue a été découvert sur le site Equifax mis en place pour permettre à ses clients de vérifier pour voir si leurs renseignements personnels ont été exposés. Quelques-uns qui ai signé sans doute remarqué la “clause d’arbitrage” dans les conditions de service qui limite leur participation dans tous les procès en recours collectif découlant de l’incident. (Sérieusement, c’est une chose.)
Le GAO, l’évaluation n’est qu’une de plusieurs mesures d’enquête, le fait d’être poussé par les membres du Congrès.
“C’est une menace pour notre sécurité économique,” Père Mark Warner tweeté. Il a proposé plusieurs idées pour la législation de l’adresse de la cybersécurité des cauchemars comme Equifax violation, y compris la notification des normes pour les entreprises à informer les consommateurs au sujet de hacks.
Il ne ressemble pas à de l’Énergie et du Commerce est le seul comité d’essayer d’obtenir des réponses à partir d’Equifax. République Ted Lieu appelle à la Commission Judiciaire de tenir une audience sur la brèche. Lieu veut Equifax pour témoigner, bien sûr, mais il veut que leurs principaux concurrents—Experian et TransUnion—à venir à la table, trop. Chaque entreprise, dit-il, devraient être tenus d’expliquer comment il est “agir de façon proactive, la défensive des mesures pour empêcher de telles violations à l’avenir.”
Sur le dessus de l’investigation, des membres du Congrès sont déjà pression pour une législation qui permettrait de créer une réglementation plus stricte des agences d’évaluation du crédit. Père Brian Schatz a annoncé qu’il envisage de réintroduire la législation qu’il a rédigé en 2015 que les consommateurs de plus de contrôle sur leurs rapports de crédit.
Gizmodo a atteint à Equifax avec une liste de questions à propos de la violation de données à jeudi après-midi. Aucun représentant de la société a répondu jusqu’à présent, mais nous allons mettre à jour quand et si ils le font.
Mise à jour, de 8:00: utiles lecteur l’a souligné ci-dessous, Equifax a ajouté un langage à un Q&Une section sur son site web traitant de la clause d’arbitrage question:
La clause d’arbitrage et l’action de la classe renonciation inclus dans le TrustedID Premier Conditions d’Utilisation s’applique à la libre dossier de crédit de surveillance et de protection de vol d’identité des produits, et pas la cybersécurité de l’incident.