Pena máxima de £500,000 é aplicada pelo Reino Unido à Equifax

Penalidade é aplicada com base no Data Privacy Act de UK

Pena máxima de £500.000 é aplicada pelo Reino Unido à Equifax, a única neste valor aplicada desde a criação do Data Privacy Act em 1998. Embora a violação massiva de dados da Equifax tenha ocorrido em 2017, portanto anterior a lei de privacidade Europeia, GDPR, na última quinta feira o Reino Unido (UK) aplicou a pena máxima permitida de £500.000 ($600.000) à Equifax devido as “múltiplas falhas” ocorridas que contribuíram para os vazamentos de dados de 2017, incluindo a falha de atuar em uma alerta crítico de vulnerabilidade de segurança emitido pelo departamento de defesa do Estados Unidos – U.S. Department of Homeland Security.

Segundo o site BankInfo Security, o ICO, Information Commissioner’s Office de UK, realizou uma investigação em paralelo à realizada pelo U.K.’s Financial Conduct Authority , e multou a Equifax por “não proteger as informações de 15 milhões de cidãos do Reino Unido durante o ciberataque de 2017” .

A multa da Equifax é considerada a maior desde a criação da lei Data Privacy Act de UK em 1998

A lei do GDPR não foi aplicada pois a violação é anterior a sua efetividade datada de 25 de maio de 2018, porém foi aplica a lei de Proteção de Dados, Data Privacy Act, do Reino Unido de 1998 , que inclui requisitos mais amplos que a GDPR, como mecanismos de aplicações da lei e disposições de segurança . “Sob a lei anterior e a  atual, a ICO pode tomar medidas para mudar o comportamento de organizações e indivíduos que coletam, usam e mantêm informações pessoais“, diz a ICO. “Isso inclui processo criminal, execução não criminal e auditoria.”

Segundo o BankInfo Security, a Equifax teria violado mais da metade das leis de proteção de dados do Reino Unido, como por exemplo: “o departamento de crédito estava armazenando informações pessoais, incluindo senhas em texto simples, em um ambiente de testes para fins de prevenção à fraudes e análises de senhas“, sem ao menos ter o consentimento do usuário (que o usuário claramente tendo um pouco de instrução não o permitira).

Elizabeth Denham, Comissária de Informação do Reino Unido, disse ao BankInfo, que “A perda de informações pessoais, particularmente onde existe o potencial de fraude financeira, não é apenas perturbadora para os clientes, mas também prejudica a confiança do consumidor no comércio digital“, e complementa que “Isso é agravado quando a empresa é uma organização global cujo negócio depende de dados pessoais“.

O documento da ICO, que o Blog Minuto da Segurança verificou, a Equifax atuava com o produto Equifax Identity Verifier (EIV) desde 2011 no Reino Unido, sendo hospedado nos Estados Unidos porque o produto estava disponível para os cidadãos americanos naquele momento. Porém em 2016 os dados foram movidos para serem hospedado no Reino Unido (com exceção de dois clientes). Neste ponto, o relatório do ICO afirma que todos os dados do Reino Unido (exceto em relação aos dois clientes) deveriam ter sido removidos do ambiente dos EUA ou, no mínimo, deveria haver um processo pelo qual isto deveria ser sido prontamente iniciado.

No entanto, alguns dados do Reino Unido armazenados no sistema EIV dos EUA não foram excluídos ao migrar o produto dos EUA para o Reino Unido, assim o ICO considerou que o processo
de migração desses dados para o Reino Unido, e sua posterior exclusão nos EUA, foi insuficiente e/ou não eficaz e de realizado forma inadequada.

O documento do ICO relaciona que a base de dados EIV violados continham ao total 15 milhões de registros referentes a cidadãos do Reino Unido e que estas informações teriam sido úteis para golpistas e fraudadores. Os dados expostos na base EIV são:

  • 19,953 nomes de indivíduos de UK com data de nascimento, número de telefone e número da carteira de habilitação;
  • 637.430 nomes indivíduos de UK com data de nascimento e número de telefone;
  • 15 milhões de nomes de indivíduos de UK com data de nascimento;

Além do banco de dados de EIV, teria também sido comprometido outro conjunto de dados, chamado de “GCS Dataset”, que continha:

  • 27.047 endereços de e-mail que os cidadãos de UK teriam usados ​​para se registrarem a conta na Equifax em 2014;
  • 14.961 nomes de cidadãos de UK usados para crédito e incluíam: endereço, data de nascimento, nome de usuário, senha em texto simples, pergunta e resposta secreta em texto simples, número de cartão de crédito e alguns valores de pagamento.

O documento da conta também de que teriam sido vazados outros conjuntos de dados da Equifax armazenados em fileshare, acessíveis por administradores de sistemas e de servidores, com o propósito de manutenção e/ou desenvolvimento de novas aplicações.

A ICO concluiu que mesmo tendo permissão a Equifax não realizou auditorias apropriadas para garantir o compliance com requerimentos relevantes de segurança e falhou em garantir que as corretas medidas de controles de segurança estivessem sido implementadas, entre elas:

  • o uso de criptografia em todos os dados pessoais mantidos em sistemas;
  • a correta proteção das senhas (que estavam expostas em formato de texto simples);
  • o correto gerenciamento de vulnerabilidades (incluindo as que haviam sido reportadas a nível executivo);
  • a correta manutenção e atualização dos softwares;
  • controle e medidas de scan de vulnerabilidades nos sistemas;
  • a correta implementação de segregação de funções;
  • a implementação do correto nível de permissão e privilégios de contas de usuários;
  • o não armazenamento de senhas em texto simples e a permissão de acesso aos funcionários;
  • a atualização de certificados SSL que estavam expirados;
  • a correto controle e mapeamento de dados dos sistemas que foram movidos do país e a devida observação dos requerimentos legais neste processo.

O relatório ressalta ainda a demora da comunicação e reporte da ocorrência entre a Equifax Ltd e Equifax Inc. principalmente em respeito aos dados do reino Unido que haviam sido comprometidos. esta comunicação teria levado mais de um mês para ocorrer.

O relatório finaliza, baseado na visão das insuficiências múltiplas, sistêmicas e graves identificados em relação à maneira pela qual a Equifax Inc processou dados em nome da Equifax Ltd e da da falha da Equifax Ltd em resolver estas deficiências e garantir que elas fossem remediadas e a importância de dissuadir futuras contravenções deste tipo, tanto pela Equifax Ltd como por outras empresas, a ICO definiu pela aplicação da multa monetária e pela sua gravidade e proporção estipulou o valor da multa em £500.000 ($600.000) .

Clique no anexo abaixo para ver o texto integral do relatório da ICO:

[dg ids=”13049″]

 

Fonte : BankInfo Security & Information Commissioner's Office Report

Veja também:

Sobre mindsecblog 1781 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!