Даже несколько лет спустя, ситуация вокруг утечки данных американского кредитного бюро не разрешилась. Обсудим то, как она развивается, и другие крупные утечки, произошедшие за это время.


Фото — Hermes Rivera — Unsplash

Краткий обзор ситуации


В 2017 кредитное бюро Equifax сообщило о масштабной кибератаке, в результате которой похитили персональные данные почти 150 млн американцев. Тогда издание Ars Technica назвало сложившуюся ситуацию «худшей утечкой всех времен», поскольку она затронула номера социального страхования, кредитных карт и водительских удостоверений. Причиной стала уязвимость в открытом фреймворке Apache Struts (CVE-2017-5638), связанная с ошибкой в обработке исключений при загрузке файлов. Специалисты Equifax не успели установить «заплатку», выпущенную за два месяца до кибератаки.

Расследованием занялись сразу несколько регуляторов: Федеральная торговая комиссия США (FTC), Бюро финансовой защиты потребителей и прокуроры большинства штатов. В итоге кредитное бюро согласилось заплатить компенсацию в размере $700 млн — эта сумма включает штрафы и выплаты для граждан США, чьи данные утекли в сеть. Однако размер этих выплат вызвал вопросы.

Почему выплаты такие маленькие


Ситуация с Equifax получила широкое освещение в СМИ, а бюро подверглось критике сообщества. Несмотря на этот факт граждане США не спешат получить свою компенсацию — на текущий момент заявления подали около 10% пострадавших. Им предложили два варианта выплат: компенсация расходов на кредитный мониторинг в размере $125 или деньги наличными.

И тут организация столкнулась со сложностями. В Equifax не ожидали, что большинство пойдёт по второму пути. Денежный фонд, отведенный под прямые выплаты, составил всего $31 млн. В итоге сумма, которую человек может получить на руки, уменьшилась до $6,8.

Пока непонятно, как будет развиваться ситуация дальше, но к её решению подключилась FTC — комиссия опубликовала открытое письмо, в котором призвала граждан отказаться от наличных и выбрать компенсацию расходов на кредитный мониторинг.


Фото — Barthelemy de Mazenod — Unsplash

В начале года американский суд закончил рассмотрение еще одного дела, связанного с утечкой в кредитном бюро. Equifax дополнительно выплатит до $20 тыс. всем клиентам, которые понесли финансовые потери из-за слива персональных данных. Суд также обязал бюро направить $1 млрд на развитие ИТ-инфраструктуры и повышение защиты ПД. Хотя в организации отмечают, что в период с 2018 по 2020 год уже выделили миллиард долларов на усиление информационной безопасности.

Кто еще платил и заплатит за утечки


За последние несколько лет утечка данных в Equifax стала одной из самых крупных, но не единственной. Например, в октябре 2019 года Yahoo согласилась потратить $117,5 млн на выплаты пользователям, пострадавшим из-за «слива» ПД в 2013 году. По предварительным оценкам, каждый из них получит примерно $358. Хотя эксперты ожидают, что на практике эта сумма будет значительно меньше (как и в случае с Equifax).

В ближайшее время крупную выплату придется совершить и Facebook. Осенью в интернет попали более 400 млн телефонных номеров пользователей социальной сети, поскольку их база хранилась на незащищенном сервере. Одним из первых этим вопросом заинтересовался ирландский регулятор, и согласно GDPR он может назначить штраф в размере $2,2 млрд. Но пока рано говорить, какая часть этой суммы пойдет непосредственно на выплаты пострадавшим пользователям.

С учетом регулярных взломов и сливов, необходимо оставаться настороже: самостоятельно предпринимать меры по защите персональных данных и изучать материалы по теме — поэтому мы подготовили небольшой дайджест (в конце поста).


Больше материалов в нашем корпоративном блоге:

Потенциальные атаки на HTTPS и как от них защититься
Как «замести следы» и удалить себя из большинства популярных сервисов
Как защитить виртуальный сервер в интернете
Бенчмарки для Linux-серверов