Theo thông báo chính thức của Ủy ban Thương mại Liên bang Hoa Kỳ (FTC) hôm nay, Equifax đã đồng ý trả ít nhất 575 triệu đô la tiền phạt, nhưng mức phạt này có thể tăng lên tới 700 triệu đô la tùy theo số tiền bồi thường mà mọi người yêu cầu.
Lên tới 425 triệu đô la tiền phạt sẽ được chuyển đến một quỹ sẽ cung cấp dịch vụ giám sát tín dụng cho các khách hàng bị ảnh hưởng và bồi thường cho bất kỳ ai đã mua các dịch vụ đó từ công ty và thanh toán các chi phí liên quan khác do vi phạm.
Phần còn lại 175 triệu đô la và 100 triệu đô la sẽ bị phạt dân sự trên 50 tiểu bang và Cục Bảo vệ Tài chính Người tiêu dùng (CFPB), tương ứng.
Bên cạnh hình phạt, công ty cũng đã được lệnh cung cấp cho tất cả người tiêu dùng Mỹ sáu báo cáo tín dụng miễn phí mỗi năm trong bảy năm, cùng với một báo cáo tín dụng miễn phí hàng năm, bắt đầu từ tháng 1 năm 2020.
Vào tháng 9 năm 2017, Equifax đã bị vi phạm dữ liệu lớn cho phép tin tặc đánh cắp thông tin cá nhân, bao gồm tên, ngày sinh, địa chỉ, số an sinh xã hội và trong một số trường hợp, số giấy phép lái xe, lên tới 147 triệu người.
Vi phạm, được coi là một trong những điều tồi tệ nhất trong lịch sử Hoa Kỳ, xảy ra do sự thất bại của công ty trong việc khắc phục lỗ hổng bảo mật quan trọng trong các hệ thống của nó mà nó đã được biết vào tháng 3 năm đó.
“Equifax đã thất bại trong việc vá mạng của mình sau khi được cảnh báo vào tháng 3 năm 2017 về một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến cơ sở dữ liệu ACIS của nó, xử lý các câu hỏi từ người tiêu dùng về dữ liệu tín dụng cá nhân của họ”, FTC cáo buộc.
“Mặc dù nhóm bảo mật của Equifax đã ra lệnh rằng mỗi hệ thống dễ bị tổn thương của công ty nên được vá trong vòng 48 giờ sau khi nhận được cảnh báo, Equifax đã không theo dõi để đảm bảo yêu cầu được thực hiện bởi các nhân viên có trách nhiệm.”
Trên thực tế, Equifax đã không nhận ra cơ sở dữ liệu chưa được vá của mình cho đến tháng 7 năm 2017, khi nhóm bảo mật của họ phát hiện lưu lượng đáng ngờ trên mạng của mình, một cuộc điều tra cho thấy nhiều tin tặc đã khai thác lỗ hổng để xâm nhập vào mạng của Equifax.
Đạt được quyền truy cập vào mạng của Equifax cho phép tin tặc truy cập vào một tệp không bảo mật bao gồm thông tin quản trị được lưu trữ trong văn bản thuần túy, cuối cùng cho phép họ truy cập vào dữ liệu cá nhân của người tiêu dùng và hoạt động mà không bị phát hiện trên mạng của công ty trong nhiều tháng.
Chủ tịch FTC Joe Simons cho biết: “Equifax đã không thực hiện các bước cơ bản có thể ngăn chặn vi phạm ảnh hưởng đến khoảng 147 triệu người tiêu dùng”.
“Việc giải quyết này yêu cầu công ty thực hiện các bước để cải thiện bảo mật dữ liệu của mình trong tương lai và sẽ đảm bảo rằng người tiêu dùng bị tổn hại do vi phạm này có thể nhận được sự giúp đỡ để bảo vệ bản thân khỏi hành vi trộm cắp danh tính và gian lận. “
FTC đã thiết lập một trang dành riêng trên trang của mình để cung cấp thông tin cho những khách hàng muốn đưa ra yêu cầu chống lại Equifax.
Ủy ban thậm chí đã thiết lập một email dành riêng (equifax@ftc.gov), khuyến khích nhân viên Equifax gửi thư cho FTC nếu họ “tin rằng công ty không tuân thủ các lời hứa bảo mật dữ liệu của mình.”
Năm ngoái, Văn phòng Ủy ban Thông tin của Vương quốc Anh (ICO) cũng đã phạt Equifax với 500.000 bảng Anh (hơn $ 62.000) mức phạt tối đa được cho phép theo Đạo luật Bảo vệ Dữ liệu của Vương quốc Anh năm 1998 đối với vi phạm dữ liệu năm 2017.
Nguồn: Equifax to Pay up to $700 Million in 2017 Data Breach Settlement
Xem thêm: LAB: Khai thác lỗ hổng đã được sử dụng để tấn công Equifax – Apache Struts
Hacker tấn công Equifax, đánh cắp thông tin 143 triệu người Mỹ