کمیته رکن چهارم – پس از بررسیهای مختلف توسط نهادهای قانونگذار در ایالات متحده مشخص شده هکرها سال گذشته دادههای بیشتری از آن چیزی که در ابتدا گفته میشد از اکویفکس به سرقت بردهاند.
ماه سپتامبر سال گذشته پرده از یک نفوذ بزرگ اطلاعاتی به شرکت اکویفکس (EquiFax) در ایالات متحده برداشته شد که شامل اسامی افراد، شمارهی تأمین اجتماعی، تاریخ تولد، آدرس منزل و در برخی موارد شمارهی گواهینامهی رانندگی بود. شرکت اکویفکس یکی از بزرگترین آژانسهای گزارش اعتبار و تراکنشهای مالی کاربران است. مدتی بعد از این اتفاق تأیید شد که بیش از ۱۴۵ میلیون نفر تحت تأثیر این نفوذ امنیتی قرار گرفتهاند که در ابتدا شامل آمریکاییها بود و سپس برخی از کاناداییها و شهروندان بریتانیایی را نیز در بر گرفت. این هک، بزرگترین نفوذ اطلاعاتی است که در سال ۲۰۱۷ گزارش شد.
اما اسناد بررسیشده توسط اعضای کمیته بانکداری سنا، نشان میدهند که انواع و حجم دادههای بهسرقترفته گستردهتر از مقداری بوده که شرکت اکویفکس در ابتدا گزارش کرده است.
در نامهای که توسط یکی از اعضای کمیته سنا به نام الیزابت وارن به مدیر اجرایی اکویفکس، پائولو دو رگو باروس نوشته شده است؛ خلاصهای از بازرسیهای پنجماهه سناتورها دربارهی نفوذ به اکویفکس آورده شده و در آن به شماره شناسایی مالیات، آدرس ایمیل و اطلاعات شناسایی دیگر نظیر تاریخ صدور بهعنوان اطلاعات دیگر کاربران اشاره میشود که در جریان نفوذ به این شرکت به سرقت رفتهاند و تاکنون پیش از این فاش نشدهاند. اسناد مذکور ابتدا توسط رسانهی خبریوال استریت ژورنال منتشر شد.
شمارههای شناسایی مالیات بهمنظور گزارش درآمد و بازپرداخت مالیاتی توسط ادارهی مالیات داخلی و معمولا برای کارگران خارجی صادر میشود که واجد شرایط برای دریافت شمارهی تأمین اجتماعی نیستند.
نفوذ سایبری به شمارههای شناسایی مالیات احتمالا به این دلیل است که آنها درست در بخشی از پایگاه داده ذخیره شده بودند که شمارههای مالیاتی دیگر مانند شمارههای تأمین اجتماعی قرار داشتند.
وارن در چندین توییت میگوید:
در ماه اکتبر زمانیکه از مدیر عامل شرکت دربارهی تعیین میزان دقیق نفوذ درخواست همکاری کردم، او قادر نبود پاسخ من را صریح بدهد. به همین دلیل خود من این موضع را به مدت پنج ماه بررسی کردم.
وارن اضافه میکند:
تحقیقات من عمق نفوذ و پنهانکاری در اکویفکس را نشان داد و زمانیکه گزارش خود را منتشر کردم، اکویفکس نیز تأیید کرد که میزان صدمه بدتر از چیزی بوده که آنها در ابتدا به ما اعلام کردهاند.
مریدث گریفانتی بهعنوان سخنگوی اکویفکس، در ایمیلی به رسانهی ZDNet اعلام کرد که آنها بهطور کامل از میزان دادههای بهسرقترفته مطلع بودند.
البته گریفانتی عنوان روزنامهی وال استریت ژورنال دربارهی سرقت دادههای کاربران از این شرکت را کاملا گمراهکننده خواند؛ اما تأیید کرد که میزان بیشتری از دادههای کاربران نسبت به چیزی که در گذشته گفته شده بود، تحت تأثیر این هک قرار گرفتهاند.
این شرکت میگوید همیشه دربارهی دادهها خصوصا دادههای بهسرقترفته در جریان نفوذ به آنها صادق بوده است؛ اما اخیرا در جریان بررسیهای صورتگرفته توسط کمیتهی بانکداری سنا خلاف این موضوع ثابت شد.
گریفانتی در این باره میگوید:
برخی از اطلاعات کاربران تحت تأثیر این حملهی سایبری قرار گرفته بودند و برخی دیگر نظیر اطلاعات گذرنامه یا شمارههای کارت اعتباری خیر.
او میگوید:
برای جلب توجه کاربرانی که اطلاعات آنها از قبیل اسناد اختلافهای شخصی تحت تأثیر این نفوذ قرار گرفته بود، بهطور مستقیم ایمیلهایی برای آنها ارسال کردیم.
از زمان وقوع این اتفاق، این شرکت متهم به این شده استکه بهطور مداوم پاسخهای غیر متقاعدهکننده ارائه میدهد. پس از این اتفاق چهار ماه طول کشید تا اکویفکس کاربران خود را از نفوذ به دادههای آنها توسط هکرها مطلع سازد و بعدها نیز این نفوذ به سرورهای آسیبپذیری ربط داده شد که این شرکت در ابتدای سال موفق به اصلاح آنها نشده است. بعد از اینکه ماجرای هک سرانجام افشا شد، اکویفکس تلاش کرد کاربران از آن اطلاع پیدا نکنند؛ کاربرانی که هیچ اطلاعی از نحوهی ذخیره اطلاعات خود توسط این شرکت روی سرورها و حتی آسیبپذیر بودن سرورها نداشتند.
قانونگذاران نیز نگرانی خود را دربارهی نحوهی مدیریت این شرکت در این اتفاق ابراز کردهاند.
ریچارد اسمیت، کسی که بهعنوان مدیر اجرایی شرکت پس از این نفوذ امنیتی بازنشسته شد، بعدها توسط قانونگذاران به دلیل عدم پاسخگویی به سوالات اساسی دربارهی این هک بازداشت شد.
با وجود اینکه قانونگذاران به دلیل عدم شفافیت اکویفکس در این نفوذ تعهد کرده بودند که در این رابطه تحقیق کنند، سازمانی دولتی به نام اداره حفاظت مالی کاربران، به دلیل تغییر در مدیریت، کار تحقیق و بازرسی را به تعویق انداخت. چندین سناتور خواستار پاسخگویی دربارهی علت توقف تحقیقات شدند.
در همین حال، وارن همراه با یکی از اعضای سابق کمیته به نام سناتور مک وارنر، قانون جدید پیشگیری و جبران خسارت دادهها را معرفی کرد و سناتورها گفتند که آژانسهای گزارش مالی اعتباری را برای نفوذ به اطلاعات کاربران مسئول میدانند.
این لایحه اگر تصویب شود، اکویفکس به ازای کمترین اطلاعاتی که از هر مشتری به سرقت رفته است مبلغ ۱۰۰ دلار جریمه خواهد شد؛ این مبلغ علاوه بر ۵۰ دلاری است که این شرکت باید در ازای به سرقت رفتن اطلاعات شخصی کاربران خود بپردازد.
طبق این قانون، اکویفکس ملزم به پرداخت میلیاردها دلار خسارات برای نفوذ در سال ۲۰۱۷ خواهد بود
منبع : زومیت
