Dados de 143 milhões de pessoas – a maioria americanos, embora haja também canadenses e ingleses – foram roubados da Equifax, uma das três maiores empresas de avaliação de crédito dos EUA. Esse número equivale a metade da população americana e torna esse um dos maiores vazamentos da história. Nomes, endereços, telefones, número do seguro social, número da carteira de motorista, e em 209 mil registros há o número do cartão de crédito. A invasão aconteceu começou em algum dia de maio e só parou no dia 29 de julho. A Equifax fez a comunicação ao mercado somente ontem, depois de 40 dias de silêncio. O VP e CTO da Avast Ondrej Vlcek tem certeza de que esses dados irão aparecer na Dard Web: “Não é uma questão de se, mas de quando”. De posse desses dados, ele suspeita que criminosos possam pedir empréstimos usando a identidade das vítimas.
Reação
A empresa publicou um site com informações em https://www.equifaxsecurity2017.com, onde há um vídeo do presidente da empresa e do conselho de administração Richard Smith contando um resumo dos fatos e das providências já tomadas. Curiosamente, a empresa oferece gratuitamente aos prejudicados um pacote de proteção de identidade. Mas segundo o portal TechCrunch, quem aceita a oferta é obrigado a abrir mão do direito de processar a empresa.
Rick Smith declara em seu vídeo que todas as providências foram tomadas em relação a proteger os dados, fazer denúncia às autoridades, contratar uma empresa de perícia e informas as autoridades reguladoras sobre o incidente. Curiosamente, três executivos venderam parte de suas ações da empresa três dias antes do anúncio da invasão. A Equifax declarou à Bloomberg que eles não sabiam do fato, mas com certeza ainda terão de provar isso à SEC.
As redes sociais – em especial o Twitter – estão repletas de informações em torno do assunto. A norte-americana Polly Mosendz (@polly) conta que ligou para o número 0800 anunciado pela Equifax para atender clientes sobre o assunto e foi informada de que de fato tinha havido um vazamento com impacto em 1,43 milhão de pessoas. Teve de corrigir o atendente com o número real: 143 milhões de pessoas.
No Brasil
A Equifax tem participação em uma operação semelhante no Brasil: é na Boa Vista Serviços, antigo SPC (Serviço de Proteção ao Crédito), da Associação Comercial de São Paulo. É uma agência de crédito assim como a Serasa.
Eu acho que a Equifax tomou todas as providências necessárias em relação ao incidente, mas acho que será difícil justificar um prazo de 40 dias para informar o público.
Como foi a invasão
O vice-presidente e CTO da Avast, Ondrej Vlcek, diz que embora ainda não esteja claro que tipo de vulnerabilidade foi explorada, é provável que tenha sido uma falha na aplicação web. Mas lamentou: “É inaceitável que as agências de crédito que detêm tanta informação para venda possam permitir que uma violação assim ocorra e falhem na higiene do programa. Nós estamos especulando que os invasores usaram SQL injection para obter acesso. Os hackers estão constantemente procurando por essas vulnerabilidades, e as empresas, especialmente aquelas com acesso a tanta informação sensível, precisam aumentar significativamente sua fiscalização para manutenção da segurança de seus dados. Este é um daqueles casos em que infelizmente não há nada que os consumidores possam fazer, exceto estarem vigilantes. Achamos que seja apenas uma questão de quando, e não se, esses dados aparecem no mercado Dark Web. Neste momento, existem algumas ações que as potenciais vítimas podem tomar para ajudar a garantir que elas estejam protegidas. Primeiro monitorar atentamente todas as contas de e-mail, redes sociais, cartão de crédito e banco. Em segundo lugar, pensar em um congelamento de crédito para impedir os hackers de usarem sua identidade para pedir empréstimos. Além disso, não responda diretamente a e-mails e outras mensagens informando que você é uma vítima. Eles podem ser golpes.”
