Equifax, una de las tres firmas de informes de crédito más grandes de los Estados Unidos, tiene que pagar hasta $ 700 millones en multas para resolver una serie de investigaciones estatales y federales sobre la violación masiva de datos de 2017 que expuso los datos personales y financieros de casi 150 millones de estadounidenses, eso es casi la mitad del país.

Según un anuncio oficial realizado hoy por la Comisión Federal de Comercio de los Estados Unidos (FTC, por sus siglas en inglés), Equifax acordó pagar por lo menos $ 575 millones en multas, pero esta multa podría aumentar hasta $ 700 millones dependiendo de la cantidad de compensación que reclamen las personas.

Hasta $ 425 millones de las multas se destinarán a un fondo que brindará servicios de monitoreo crediticio a los clientes afectados y compensará a cualquiera que haya comprado dichos servicios a la empresa y haya pagado otros gastos relacionados como resultado del incumplimiento.

El resto de $ 175 millones y $ 100 millones se destinarán a multas civiles en 50 estados y a la Oficina de Protección Financiera del Consumidor (CFPB), respectivamente.

Además de la multa, a la compañía también se le ha ordenado que proporcione a todos los consumidores estadounidenses seis informes de crédito gratuitos cada año durante siete años, junto con un informe de crédito anual gratuito, que se inicia desde enero de 2020.

En septiembre de 2017, Equifax sufrió una violación masiva de datos. eso permitió a los piratas informáticos robar información personal, incluidos nombres, fechas de nacimiento, direcciones, números de seguridad social y, en algunos casos, números de licencias de conducir de hasta 147 millones de personas.

La infracción, que se ha calificado como una de las peores de la historia de los Estados Unidos, se produjo debido a que la empresa no pudo parcharuna vulnerabilidad de seguridad crítica en sus sistemas de la que se informó en marzo de ese año.

«Equifax no pudo parchar su red luego de recibir una alerta en marzo de 2017 sobre una vulnerabilidad de seguridad crítica que afecta a su base de datos ACIS, que maneja las consultas de los consumidores sobre sus datos crediticios personales», alega la FTC.

«A pesar de que el equipo de seguridad de Equifax ordenó que cada uno de los sistemas vulnerables de la empresa se remendara dentro de las 48 horas posteriores a la recepción de la alerta, Equifax no realizó un seguimiento para garantizar que los empleados responsables realizaran el pedido».

De hecho, Equifax no se dio cuenta de su base de datos sin parches hasta julio de 2017, cuando su equipo de seguridad detectó tráfico sospechoso en su red, una investigación sobre el asunto reveló que varios piratas informáticos lograron explotar la vulnerabilidad para acceder a la red de Equifax.

El acceso a la red de Equifax permitió a los piratas informáticos acceder a un archivo no protegido que incluía credenciales administrativas almacenadas en texto sin formato, lo que finalmente les permitió acceder a los datos personales de los consumidores y operar sin ser detectado en la red de la compañía durante meses.

«Equifax no tomó las medidas básicas que pueden haber evitado la violación que afectó a aproximadamente 147 millones de consumidores», dijo el presidente de la FTC Joe Simons.

«Este acuerdo requiere que la compañía tome medidas para mejorar la seguridad de sus datos en el futuro y garantizará que los consumidores perjudicados por esta violación puedan recibir ayuda para protegerse contra el robo de identidad y el fraude».

La FTC ha creado una página dedicada en su sitio para proporcionar información a los clientes que desean presentar una reclamación contra Equifax.

La comisión incluso ha establecido un correo electrónico dedicado ( equifax@ftc.gov ), alentando a los empleados de Equifax a enviar un correo electrónico a FTC si «creen que la compañía no cumple con sus promesas de seguridad de datos».

El año pasado, la Oficina del Comisionado de Información (ICO) del Reino Unido también impuso una multa a Equifax con £ 500,000 (más de $ 622,000), que es la multa máxima permitida por la Ley de Protección de Datos del Reino Unido de 1998, por la violación de datos de 2017.

Fuente: thehackernews.com

Compartir