Si aggrava la posizione di Equifax, la big company Usa del credit reporting colpita
da un attacco informatico che ha coinvolto circa
143 milioni di utenti, non solo americani, di cui si è avuta notizia corso del mese di settembre.
Già gravata da una dovuta class action, ora Equifax ha dovuto inviare delle notifiche email ad altri 2,5 milioni di clienti nordamericani, dopo quelli già allertati nelle settimane scorse. L'iniziale stima di 143 milioni di record violati sale, dunque, a 145,5 milioni, forse alla luce delle verifiche forensi condotte in queste settimane da Mandiant. Una parzialissima consolazione spetta agli utenti canadesi, giacché la stima delle potenziali vittime è stata ridotta da 100mila a ottomila.
Per quanto riguarda i 400mila clienti britannici di Equifax, le indagini forensi sono ancora in corso e si attende, dunque, un responso definitivo. Ma se anche i cittadini britannici potessero tirare un sospiro di sollievo, il danno di immagine sarebbe ugualmente gravissimo. “Mi voglio scusare ancora una volta con tutti i consumatori interessati”, ha scritto in una nota il nuovo Ceo ad interim, Paulino do Rego Barros Jr, che ha rimpiazzato il dimissionario Richard Smith. “Ora che abbiamo completato questa importante fase di lavoro, continueremo revisionare e migliorare le nostre procedure di sicurezza”.
Nel caso di Equifax, a colpire l'opinione pubblica non sono state solo le dimensioni dell'attacco e la delicatezza dei dati violati, dati per cui si aspetterebbe un efficace sistema di difesa dal cybercrimine (l'azienda, d'altra parte, si vantava di possederlo). Ad aggravare lo scandalo è stata l'ammissione della causa primaria dell'incidente,
una falla software che avrebbe potuto essere eliminata con un semplice aggiornamento. Non hanno aiutato, poi, le modalità di gestione del “post uragano”, perché il servizio online messo a disposizione per verificare se il proprio conto rientrasse fra quelli violati ha funzionato a singhiozzo e ha utilizzato esso stesso metodi poco sicuri (password usa-e-getta generate secondo logiche non casuali, ma in base alla data e all'orario).
Soprattutto, però, ha scandalizzato il sospetto di insider trading ora gravante su alcuni dirigenti del credit bureau che, affrettandosi a vendere le proprie azioni prima che l'attacco fosse notificato al grande pubblico, hanno dimostrato totale assenza di etica e anche di intelligenza. Prima di emettere sentenze è bene dire che l'investigazione è in corso, ma certo puzzano gli 1,8 miliardi di dollari di azioni vendute a tre giorni dalla scoperta dell'hackeraggio, prima però che il fatto diventasse di dominio pubblico.