Det amerikanske kredittvurderingsselskapet Equifax kunngjorde i går at det har oppdaget det som av amerikansk presse omtales som et av de aller største datainnbruddene i historien.
I perioden mai til juli i år har uvedkommende fått tilgang til visse registre som inneholder blant annet navn, personnumre, fødselsdatoer, adresser og i en del tilfeller også førerkortnumre til omkring 143 millioner amerikanske innbyggere.
I tillegg skal dataene ha omfattet kredittkortnumrene til 209 000 amerikanske forbrukere, samt ytterligere personopplysninger som er inkludert visse tvistdokumenter om 182 000 personer.
Også et begrenset antall britiske og canadiske innbyggere skal være berørt.
Equifax skal ikke funnet bevis på uautorisert tilgang til selskapets sentrale kredittvurderingsdatabaser.
Sårbarhet
Datainnbruddet ble tilsynelatende gjort mulig ved å utnytte en sårbarhet i en spesifikk webapplikasjon.
Hva slags sårbarhet som har blitt utnyttet i den aktuelle webapplikasjonen, har ikke blitt offentliggjort. Men vanligvis dreier det seg om SQL-injisering eller cross-site scripting (XSS). Vanligvis skyldes begge mangelfull filtrering og validering av inndata. De er begge forholdsvis enkle å unngå.
Les også: Rapporterte sikkerhetshull, men fikk ingen takk. I stedet ble tenåringen arrestert
Intern etterforskning
Den uautoriserte tilgangen ble oppdaget av Equifax den 29. juli i år. Selskapet skal da ha engasjert et ledende, men ikke navngitt IT-sikkerhetsselskap til å granske omfanget av lekkasjen. Også justismyndighetene i USA skal ha blitt varslet. Den interne etterforskningen ventes å bli endelig avsluttet i løpet av noen uker.
– Dette er klart en skuffende hendelse for selskapet vårt, og én som treffer midt i hjertet på det vi er og det vi gjør. Jeg beklager overfor forbrukere og våre næringskunder for bekymringen og frustrasjonen dette medfører, sier Richard F. Smith, styreformann og CEO i Equifax, i kunngjøringen.
Han lover videre en grundig gjennomgang av hele sikkerhetsvirksomheten til selskapet.
Personer med amerikansk Social Security-nummer kan selv sjekke om de er berørt av datainnbruddet.
Også tidligere
Ifølge Ars Technica skal Equifax også i 2013 ha vært involvert i et alvorlig tilfelle av datalekkasje, hvor sensitive forbrukerdata ble eksponert. Dette skjedde via nettstedet annualcreditreport.com, hvor privatpersoner kan se sine egne kredittvurderinger, inkludert gjeldsinformasjon. Men i 2013 var det utilsiktet også mulig å se personlige detaljer om andre personer enn seg selv, inkludert USAs daværende visepresident og FBI-direktør.
Leste du denne? Slik havnet inkassovarsel og bompenge-passeringer i Microsofts søkemotor (Digi Ekstra)
