Actualización: Según la
nota de prensa publicada por la compañía, la brecha también permitió el acceso a los números de tarjeta de crédito de 209.000 consumidores estadounidenses y a documentos relacionados con disputas de otros 182.000. Equifax también ha descubierto que se accedió de forma no autorizada a "información personal limitada" de residentes en Reino Unido y Canadá.
Noticia original: Equifax, una empresa estadounidense dedicada a la creación de informes de crédito para la industria bancaria, ha protagonizado la que ya es descrita como posiblemente
la peor filtración de datos personales de toda la historia. La fuga de información afecta potencialmente a 143 millones de ciudadanos estadounidenses, lo que supone aproximadamente el 44% de la población. Este porcentaje es aún mayor cuando se eliminan del total a los menores de edad.
Pero peor aún que el volumen de datos filtrados es el tipo de información al que habrían accedido los atacantes.
Según ha reconocido la compañía, el
cracker o los
crackers han logrado acceder a nombres, números de la seguridad social, fechas de nacimiento, direcciones y, en ocasiones, números del permiso de conducir. En otras palabras, todo lo necesario para lanzar campañas de
phishing a gran escala, realizar estafas masivas mediante métodos más convencionales o suplantar la identidad de millones de personas.
Compañías como Equifax, que centran su actividad en recoger información personal relacionada con hábitos de consumo y facturación para la elaboración de
informes de crédito (un documento muy común en EEUU de donde se deriva la puntuación de crédito, utilizada por los bancos para determinar si alguien va a ser un buen pagador), se han convertido en uno de los objetivos prioritarios de los cibercriminales. La cantidad y la "calidad" de los datos son muy superiores a los disponibles en las bases de datos de
empresas como Yahoo, por lo que los ataques son frecuentes. Lo que no es común es que se salgan con la suya, mucho menos a esta escala.
Equifax, que es una de las tres mayores empresas de su ramo, no solo ha sido criticada por no proteger adecuadamente los datos de las personas en sus bases de datos, sino también por la forma en la que ha respondido al ataque. La compañía se ha tomado más de cinco semanas en reportar el suceso (el ataque tuvo lugar el pasado 29 de julio), pero además permitió que tres ejecutivos de la empresa vendieran más de 1,8 millones de dólares en acciones antes de hacer pública la filtración. Tras el anuncio, la cotización se ha desplomado de forma instantánea.
Por si todo esto no fuera suficiente, Equifax ha creado
un sitio distinto al oficial para notificar a las personas cuyos datos pueden formar parte de la filtración. No solo es un problema desde el punto de vista de la confianza (un sitio con su dominio propio resulta menos confiable que un subdominio bajo el sitio oficial), sino que además está construido sobre Wordpress, que no es una solución muy segura para un que sitio pide a los visitantes su primer apellido y su número de la seguridad social (salvo las tres últimas cifras) para comprobar si se han visto afectados por la filtración.
Aunque Equifax tiene una
filial española, desde la empresa se señala que "no se han encontrado evidencias de que información personal de consumidores en cualquier otro país haya sido impactada".
Fuente: ArsTechnica