Equifax, een van de grootste kredietbureaus in Amerika, maakt op 7 september 2017 bekend dat er ‘een beveiligingsincident’ heeft plaatsgevonden. De details van het incident komen al snel vrij. Het gaat niet om een incident maar om een hack van wereldformaat. De persoonlijke informatie van 143 miljoen Amerikanen zijn gestolen, creditcardnummers van 209.000 klanten en financiële documenten van 182.000 mensen. Hiermee start Equifax een keten van communicatiemissers die eveneens van wereldformaat zijn.
Late melding
De hack vindt paats tussen 13 mei 2017 en 30 juli 2017 en is mogelijk door een kwetsbaarheid in Apache Struts (CVE-2017-5638), de open-source applicatie die de online klachtenafhandeling van Equifax ondersteunt. Equifax ontdekt cyberaanval op 29 juli 2017 maar meldt pas op 7 september dat er een hack heeft plaatsgevonden. Dat is maar liefst twee maanden later. In de tussenliggende periode wordt de omvang van de hack onderzocht door onafhankelijk cybersecuritybedrijf Mandiant, onderdeel van het welbekende FireEye maar weet nog niemand dat de hack heeft plaatsgevonden.
Slechte communicatie naar klanten
De dagen erna lekken er steeds meer details uit over het onbekwaam handelen van Equifax. Via www.equifaxsecurity2017.com kunnen klanten checken of ook hun data is uitgelekt maar deze site werkt niet naar behoren. Bij het checken ontvangen sommige klanten een melding om het na een week nog eens te proberen, anderen krijgen de melding dat er niets gelekt is. Ook krijgen klanten bij een extra check een andere uitslag dan bij de eerste. Onduidelijkheid en verwarring voeren de boventoon en niemand weet nog of de checks betrouwbaar zijn en welke klantendata gelekt zijn.
Ondertussen wordt er door de US Departement of Justice (DOJ) ook een onderzoek gestart naar het handelen van de topmannen van het bedrijf die direct na de hack hun aandelen ter waarde van zo’n 1.8 miljoen hadden verkocht.
Slechte ondersteuning
Ook in de ondersteuning naar de klanten toe worden er fouten gemaakt. Zo biedt Equifax een jaar lang gratis kredietmonitoring aan. Echter, deze service wordt na een jaar automatische verlengd zodat klanten moeten blijven betalen wanneer het jaar voorbij is. Ook staat er een zogenaamde Arbitration Clause in de overeenkomst, die inhoudt dat wanneer je akkoord gaat met de kredietmonitoring, je het recht afdraagt om het bedrijf te mogen aanklagen. Achteraf heeft Equifax deze twee clausules teruggetrokken.
Tot slot
Tot slot wordt op 20 september bekend gemaakt dat de website www.equifaxsecurity2017.com is gekloond en online is gezet met het domein www.securityequifax2017.com. Deze site is vervolgens tot 3 keer toe gedeeld via de officiële Twitteraccount van Equifax. Volgens de maker van de site had hij de website gekloond om te bewijzen hoe makkelijk het zou zijn voor phishers om hun eigen versie van de website op te zeten. Waarvan akte.
Al met al kunnen we stellen dat er grove fouten zijn gemaakt naar aanleiding van de hack bij Equifax. Zeker wanneer een hack gevoelige informatie omvat, is het essentieel om adequaat te handelen in de informatievoorziening naar klanten toe, maar ook naar de stakeholders en leveranciers. Kortom, een goede casestudy voor hoe het niet moet.
Auteur: Christiaan Pleysier
