Verden

Hackere fikk tilgang til sensitive opplysninger om halve USAs befolkning

Amerikanere er i harnisk etter at et kredittopplysningsbyrå lekket personopplysninger om 143 millioner mennesker. Konsekvensene kan følge dem livet ut.

Omdømmet til kredittopplysningsbyrået Equifax er blitt betydelig svekket etter at det ble kjent at selskapet holdt tilbake informasjon om sikkerhetshull. Foto: Tami Chappell / Reuters

  • Inger Lise Hammerstrøm
    Inger Lise Hammerstrøm
    Journalist

Equifax er trolig USAs mest upopulære selskap om dagen. Tidligere i høst ble det kjent at kredittopplysningsbyrået var blitt hacket. Sensitive personopplysninger om opptil 143 millioner amerikanere var på avveie.

  • Bjørn Stærk: Personvernrevolusjonen er på vei: Snart gir EU deg mer kontroll over personopplysningene dine

Det ble ikke bedre da det kom frem at ledelsen kjente til sikkerhetshullet i seks uker før de opplyste om det. Ifølge Wired skal hullet ha blitt oppdaget i juli. Da hadde det vært åpent siden mars. Hackerne fikk fire gode måneder på å hente inn verdifull informasjon om nær halvparten av USAs befolkning.

Equifax forvalter blant annet fødselsnumre, kredittkortopplysninger og adresser.

Solgte aksjer etter at lekkasjen ble kjent

Som om det ikke var nok at Equifax hadde et sikkerhetshull åpent over så lang tid, har selskapets respons vært høyst kritikkverdig, mener mange.

Her er noen av forholdene selskapet kritiseres for:

  • I september avslørte Bloomberg som hadde snakket med kilder i selskapet, at det var oppdaget et sikkerhetshull i mars. Dette skal ikke være relatert til lekkasjen som ble oppdaget i juli, men ifølge en av kildene skal «inntrengerne» ha vært de samme.
  • I stedet for å tette sikkerhetshullet der lekkasjen hadde oppstått, opprettet Equifax et nytt domene, equifaxsecurity.com, ifølge Wired. Der oppfordret de kundene til å plotte inn de seks siste sifrene i personnummeret for å finne ut om de hadde blitt hacket. Dette er kritikkverdig fordi hullet fortsatt var åpent, og folk som eventuelt ikke hadde fått personnummeret sitt stjålet, risikerte det nå.

Tidligere Yahoo-sjef, Marissa Mayer er en av dem som nå må møte til høringer om Equifax-saken. Yahoo er eid av Equifax og Verizon. Foto: KEVIN LAMARQUE / Reuters

  • Tre ledere skal ifølge Bloomberg ha solgt aksjer til en samlet verdi av 1,8 millioner dollar (om lag 14,7 millioner kroner) bare dager etter at lekkasjen ble oppdaget. Selskapet hevder at de tre ikke var informert om lekkasjen.
  • Onsdag fant den femte høringen i saken sted. Ifølge Washington Post var flere av senatorene opptatt av hvorfor Equifax i det hele tatt hadde tilgang til disse personopplysningene. Senator Catherine Cortez Masto lurte på hvorfor kunder ikke hadde noe de skulle sagt hvorvidt de ville være i selskapets databaser eller ikke. Til det svarte Equifaxs midlertidige administrerende direktør, Paulino do Rego Barros, følgende: – Det er slik økonomien fungerer.

Ifølge Datatilsynets juridiske rådgiver, Tobias Jurdin kan ikke norske kredittopplysningsselskap hevde eierskap til kundenes personopplysninger. De fire store kredittopplysningsbyråene i Norge er Bisnod, Experian, Evry og Creditsafe.

Innbruddet omtales som en av de største i historien. Hackingen av Yahoo i 2014 står likevel igjen som det største. Da havnet data fra 500 millioner Yahoo-brukere på avveie.

Saksøkes for 70 milliarder dollar

I god amerikansk tradisjon står Equifax nå overfor store søksmål fra kunder som har fått sine personopplysninger stjålet.

Med god grunn. Hvis disse opplysningene har kommet i feil hender, er opplysningene tapt for alltid. Kriminelle står dermed fritt til å opprette kontoer og kredittkort i deres navn eller bruke delikate personopplysninger for å presse folk for penger.

Midlertidig administrerende direktør i Equifax, Paulino do Rego Barros, Equifax avgåtte administrerende direktør, Richard Smith og tidligere Yahoo-sjef Marissa Mayer, møtte onsdag til ny høring om Equifax-lekkasjen. Foto: Susan Walsh / TT / NTB scanpix

Selskapene som representerer kundene, Olsen Daines PC og Geragos & Geragos varsler ifølge Bloomberg et søksmål som kan koste Equifax 70 milliarder amerikanske dollar i erstatning.

Grunnlaget for søksmålet er at Equifax har prioritert å spare penger fremfor å investere i teknologi som gjør selskapet mer robust mot nettopp hacking.

– Globalisering gjør oss mer sårbare for angrep

Direktør for CCIS (Center for Cyber and Information Security) ved NTNU, Sofie Nystrøm, mener konsekvensene for dem som er i Equifax datalagre kan være enorme.

– Volumet av data som er stjålet er svimlende, og hackerne vil enten prøve å tjene penger ved å selge informasjonen bit for bit på det mørke nettet, eller bruke dataene i et massivt målrettet dataangrep, for eksempel løsepengevirus, sier hun.

Direktør for CCIS (Center for Cyber and Information Security) ved NTNU, Sofie Nystrøm omtaler Equifax-saken som alvorlig. Foto: Signe Dons

Hun tror ikke det er fare for at et angrep av like stort omfang skal skje i Norge.

– Vi har ikke så store datalagre som Equifax i Norge, og vi har dessuten mindre databaser, sier hun, og legger til et stort men:

– Globaliseringen med flere og større internasjonale selskap gjør oss mer sårbare for at våre personopplysninger kan komme på avveie.

Hackerne ligger et hestehode foran

Prioriteringen av cybersikkerhet er ifølge Nystrøm økende.

– Flere store firma rekrutterer nå ansatte med faglig kompetanse inn i styret og toppledelsen.

– Det kan likevel virke som kriminelle hackere ligger et hestehode foran oss?

– Dessverre gjør de det. Og det er fordi vi må gjennom tiltak, finansieringer, lovgivninger for å ruste oss mot angrep. Derfor ender vi ofte opp med en reaksjon på noe som har skjedd, i stedet for å være føre var, sier Nystrøm.

Les mer om

  1. Equifax
  2. Internett
  3. Norge