La agencia de puntaje crediticio Equifax acordó pagar hasta $ 700m (£ 561m) como parte de un acuerdo con un regulador de EE. UU. A raíz de una violación de datos en 2017.
La Comisión Federal de Comercio alegó que la empresa con sede en Atlantano tomó medidas razonables para proteger su red.
Los registros de al menos 147 millones de personas fueron expuestos en el incidente.
Al menos $ 300 millones se destinarán al pago de los servicios de robo de identidad y otros gastos relacionados con las víctimas.
Esta suma se ampliará a un máximo de $ 425 millones, si es necesario para cubrir las pérdidas de los consumidores.
El resto del dinero se dividirá entre 50 estados y territorios de EE. UU. Y una multa pagada a la Oficina de Protección Financiera del Consumidor.
Representa el mayor acuerdo de violación de datos de la FTC hasta la fecha, superando una multa de $ 148 millones que Uber acordó el año pasado.
«Equifax no tomó las medidas básicas que pueden haber evitado la violación», dijo el presidente de la FTC, Joe Simons.
«Este acuerdo requiere que la compañía tome medidas para mejorar la seguridad de sus datos en el futuro y garantizará que los consumidores perjudicados por esta violación puedan recibir ayuda para protegerse contra el robo de identidad y el fraude».
La agencia agregó que entre la información robada, los hackers copiaron:
- Al menos 147 millones de nombres y fechas de nacimiento.
- Cerca de 145.5 millones de números de la Seguridad Social.
- un total de 209,000 números de tarjetas de pago y fechas de vencimiento
La Oficina del Comisionado de Información del Reino Unido ya emitió a la compañía una multa de £ 500,000 por no proteger la información personal de hasta 15 millones de ciudadanos del Reino Unido durante el mismo ataque.
Sistema sin parchear
Se advirtió a Equifax en marzo que una de sus bases de datos, el Sistema Automatizado de Entrevistas al Consumidor (ACIS) de Equifax, tenía una vulnerabilidad crítica, dijo la FTC.
El ACIS fue utilizado por miembros del público para verificar sus propios informes de crédito. Pero debido a la forma en que los sistemas de TI de Equifax habían evolucionado, también proporcionó un medio para que los piratas informáticos accedan a otros registros no relacionados almacenados por la empresa.
La FTC alegó que el equipo de seguridad de Equifax ordenó que se repararan los sistemas vulnerables dentro de las 48 horas posteriores a la notificación del descubrimiento en marzo de 2017.
Pero el organismo de control agregó que la empresa no pudo verificar que se hizo esto, y que, como consecuencia, varios piratas informáticos pudieron explotar la falla y robar los datos personales de los consumidores durante un período de varios meses.
Para empeorar las cosas, dijo, gran parte de la información confidencial se había almacenado sin cifrar en texto sin formato.
Como parte del acuerdo, la FTC dijo que Equifax también había acordado:
- Realizar su propia auditoría anual de riesgos de seguridad.
- someterse a una evaluación externa de sus esfuerzos de seguridad una vez cada dos años
- garantizar que los terceros que tienen acceso a los datos personales almacenados por la empresa también tengan implementadas medidas de protección de datos adecuadas
FUENTE: BBC