CEO Equifaxu končí po nezvládnuté reakci na hack

Richard Smith 26. září odstoupil z pozice CEO ve společnosti Equifax Inc. Krok následuje po kyber krádeži osobních údajů 143 milionů osob, která je označována za nejzávažnější v historii, a po řadě zásadních pochybení společnosti v procesu krizového řízení. Nová zjištění navíc odhalují obrovská zanedbání ochrany skladovaných osobních dat.

Je tomu už přes dva týdny co Equifax, jedna ze tří největších amerických úvěrových kanceláří oznámila nejnovější narušení bezpečnosti svých systémů. V posledních šestnácti měsících se jedná už o třetí úspěšný, zveřejněný útok na společnost, tentokrát však s mnohem závažnějšími důsledky, než kdy dřív. Hackeři se dostali k osobním údajům – čísla sociálního zabezpečení, čísla řidičských průkazů, data narození, adresy a další – 143 milionů amerických, statisíce britských a kanadských a desetitisíce argentinských spotřebitelů. Více než dvou set deseti tisícům vyvolených byly zcizeny čísla kreditních karet.

Útok byl veden přes bug v platformě Apache Struts pro vývoj webových aplikací v Javě, zjistila úvěrová kancelář při interním šetření, jehož závěry zveřejnila spolu s oznámením o prvních personálních změnách v pátek 15. září. Ze svých míst odstoupili ředitel bezpečnosti a ředitel IT. Bug fix byl na stránkách open-source projektu dostupný od 6. března, aktualizace Apache Struts je ale časově náročná operace – každá webová aplikace na bázi Apache Struts musí být rekompilována a ve větších systémech tak může trvat až několik týdnů – pročež byly už necelé tři dny po zveřejnění zaznamenány první pokusy o zneužití bugu masivními útoky na servery po celém světě. Útok na Equifax ale probíhal až od poloviny května, odhalen pak byl až 29. července. Téměř pět celých měsíců byly osobní údaje, kvůli neprovedení aktualizace nutné k ochraně před veřejně známým bugem, vystaveny ke zneužití, bez vědomí dotčených osob.

Před informováním veřejnosti stihli tři vysocí představitelé firmy prodat část vlastněných akcií v hodnotě téměř dvou milionů USD, jak vyplývá ze záznamů úřadu SEC monitorujícího insider trading v USA. Podle mluvčí společnosti zaměstnanci v době prodeje svých akcií o narušení bezpečnosti nevěděli. Od 7. září klesla hodnota akcií NYSE:EFX o téměř 30 %. Ministerstvo spravedlnosti v návaznosti otevřelo kriminální vyšetřování.

Veřejnost byla informována až 7. září, tedy celých šest týdnů poté, co byl únik citlivých dat zjištěn. První reakce společnosti byla nejen pozdní, ale navíc velmi problematická. Na oficiálním twitterovém profilu @Equifax se několikrát objevil odkaz na phishingovou stránku namísto stránky oficiální, na které měli mít američtí spotřebitelé možnost zjistit, jestli jsou mezi postiženými a zažádat si o prémiovou službu zdarma jako formu odškodnění – k vyplnění žádosti bylo třeba odsouhlasit podmínky použití, čímž se ale nevědomě vzdávali práva na účast na skupinových žalobách vedených vůči společnosti, a tedy i případného peněžního odškodnění. Podmínky použití byly krátce po veřejném rozhořčení upraveny.

Již 7. září večer byl podán první návrh skupinové žaloby, vinící Equifax ze systematického zanedbávání ochrany osobních dat a požadující celonárodní, likvidační odškodnění ve výši až 70 miliard USD. Zároveň agentury FBI a CFPB, která vznikla v reakci na finanční krizi 07-08 a je zodpovědná za ochranu spotřebitelů ve finančním sektoru, spustily samostatná vyšetřování úniku. Bezmála 40 amerických států rovněž zahájilo společné vyšetřování zabývající se otázkou adekvátnosti reakce kanceláře na masivní únik dat, které může vyústit v další žaloby. San Francisco se 26. září stalo prvním městem, které Equifax žaluje, a to pro zanedbávání bezpečnosti i neinformování místních spotřebitelů o zcizení jejich osobních údajů. Další žaloby budou pravděpodobně následovat, vzhledem k dlouhé řadě kontroverzí, které společnost od zveřejnění hacku provází.

Nezávislou epizodou dokreslující bezpečnostní situaci ve společnosti bylo odhalení bezpečnostní experta Briane Krebse o dlouhodobějším používání kombinace ID a hesla „admin/admin“ na webovém portálu argentinské pobočky Equifaxu, přes který byla přístupná osobní data o 14. tisících dalších, místních obyvatel.

Nově odvolaný CEO Equifaxu Richard Smith byl ke 3. říjnu předvolán před Kongres, aby o úniku a komunikaci s veřejností vypovídal. Ze společnosti si odnese odstupné v minimální výši 18.4 milionu USD. Na jeho místo prozatím nastoupí dosavadní ředitel pro region Asia-Pacific, Paulino do Rego Barros, Jr.

V amerických médiích se začalo otevřeně diskutovat nejen o tristním stavu poskytovaných služeb úvěrovými kancelářemi, ale také o obecnější potřebě silnější regulace zabezpečení osobních dat spotřebitelů, včetně uvědomování občanů o sběru jejich osobních dat. Demokratický senátor Dick Durbin uvedl, že jsou pokuty za selhání při nakládání s citlivými osobními údaji nedostatečné a regulace by měly být mnohem silnějšími. Podobný názor v posledních dnech vyjádřila řada zákonodárců a bezpečnostních expertů.

Jako vzor k porovnání se situací ve Spojených státech často slouží komplexní evropské nařízení GDPR o ochraně osobních údajů, jež má vstoupit v účinnost napříč EU v květnu roku 2018. Pod nařízením by mimo jiné o zjištěném nabourání bezpečnosti systémů byla společnost povinna upozornit autority a zároveň všechny dotčené osoby do 72 hodin. Bez dostatečného zdůvodnění ke zpoždění by čelila pokutě ve výši 2 % z globálního obratu firmy. Při průkazném zanedbání ochrany sbíraných osobních informací (například neprováděním kritických aktualizací) by se pak pokuta mohla vyšplhat až na 4 % z globálního obratu firmy. Šance na ustavení podobně komplexních pravidel k ochraně osobních údajů v USA je nejasná.

Autor: Vojtěch Bínek, redaktor