Daten von 143 Millionen Amerikanern durch Hack der Kreditauskunftei Equifax aufgedeckt

VonCraig Timberg, Craig Timberg Nationaler Reporter für TechnologieEmail War Folgen Elizabeth Dwoskinund Elizabeth Dwoskin Silicon Valley KorrespondentinEmail War Folgen Brian FungBrian Fung Reporter mit den Schwerpunkten Telekommunikation, Medien und WettbewerbEmail War Folgen 7. September 2017

Die Kreditauskunftei Equifax teilte am Donnerstag mit, dass Hacker Zugang zu sensiblen personenbezogenen Daten – Sozialversicherungsnummern, Geburtsdaten und Privatadressen – von bis zu 143 Millionen Amerikanern erhalten haben, eine schwerwiegende Cybersicherheitsverletzung bei einer Firma, die als eine der drei großen Clearinghäuser für Kredithistorie der Amerikaner.

Laut Equifax begann der Verstoß im Mai und dauerte an, bis er Ende Juli entdeckt wurde. Hacker hätten eine „Sicherheitslücke bei Website-Anwendungen“ ausgenutzt und persönliche Daten von britischen und kanadischen Verbrauchern sowie Amerikanern erhalten. Sozialversicherungsnummern und Geburtsdaten sind besonders sensible Daten, die ihren Besitzern die Zutaten für Identitätsbetrug und andere Verbrechen liefern.

Equifax verlor auch die Kontrolle über eine unbestimmte Anzahl von Führerscheinen, zusammen mit den Kreditkartennummern von 209.000 Verbrauchern und Kreditstreitsachen für 182.000 andere. Das Unternehmen sagte, es habe keine Einbrüche in seine „Kerndatenbanken für Verbraucher- oder Handelskreditauskünfte“ entdeckt.

[Equifax fragt Verbraucher nach persönlichen Daten, auch nach massiver Datenschutzverletzung]

Equifax lehnte es ab, sich zu Fragen zu äußern, die mehr Details zur Art der kompromitierten Daten forderten.

Equifax ist eine der größten in den USA ansässigen Kreditauskunfteien, die detaillierte Aufzeichnungen von Finanzdaten fürAufzeichnungen voneine breite Palette von Verbrauchern weltweit. Die Urteile dieser Unternehmen über die Kreditwürdigkeit von Einzelpersonen können sich auf ihre Fähigkeit zur Aufnahme von Krediten, Wohnraum und Arbeitsplätzen auswirken und gleichzeitig die Zinssätze für Konsumgüter bestimmen.



Die bei der Equifax-Verletzung offengelegten Informationen werden als 'persönlich identifizierbare Informationen' oder PII kategorisiert und gelten als besonders sensibel, sagen Experten.

„Die Art von Informationen, die offengelegt wurden, ist wirklich sensibel“, sagte Beth Givens, Geschäftsführerin des Privacy Rights Clearinghouse, einer Verbraucherschutzgruppe mit Sitz in San Diego. 'Alles in allem hat dies das Potenzial, eine sehr schädliche Verletzung für diejenigen zu sein, die davon betroffen sind.'

Das Unternehmen antwortete nicht auf eine Frage, warum es sechs Wochen gewartet hat, um den Hack zu enthüllen.

Bloomberg News berichtete am Donnerstagabend, dass drei Führungskräfte des Unternehmens – Chief Financial Officer John W. Gamble; Joseph M. Loughran III, der Präsident von US-Informationslösungen; und Rodolfo O. Ploder, der Präsident von Workforce Solutions – verkauften in den Tagen nach der Entdeckung des Verstoßes am 29. Juli große Mengen ihrer Equifax-Aktien im Gesamtwert von fast 1,8 Millionen US-Dollar. Die Washington Post bestätigte die Verkäufe auf der Grundlage von Unterlagen der Securities and Exchange Commission.

Die Aktiengeschäfte waren nicht Teil eines früheren geplanten Verkaufs, wie Bundesanmeldungen zeigen.

Eine Unternehmenssprecherin, Ines Gutzmer, sagte am Donnerstagabend in einer E-Mail: „Die drei Führungskräfte, die am Dienstag, dem 1. sie haben ihre Anteile verkauft.“

Am Donnerstag, nachdem das Unternehmen den Hack bekannt gegeben hatte, brachen die Aktien von Equifax im nachbörslichen Handel um 12 Prozent ein.

Eine der anderen führenden Ratingagenturen, Experian, wurde 2015 gehackt, wodurch die persönlichen Daten von 15 Millionen Amerikanern preisgegeben wurden.

Der jüngste Hack von Equifax war viel größer, blieb jedoch hinter den Datenschutzverletzungen von Yahoo zurück, von denen weltweit 1 Milliarde Menschen betroffen waren.

Equifax sagte am Donnerstag, dass es diejenigen alarmiert, die von der Post betroffen waren. Es richtete auch eine Website, equifaxsecurity2017.com, ein, um Verbrauchern zu helfen, die Sicherheitsverletzung zu verstehen und zu überprüfen, ob sie betroffen waren. Das Unternehmen bietet allen Betroffenen ein Jahr lang kostenlose Kreditüberwachung und Schutz vor Identitätsdiebstahl.

[Warum es so lange dauern kann, bis Unternehmen ihre Datenschutzverletzungen aufdecken]

„Dies ist eindeutig ein enttäuschendes Ereignis für unser Unternehmen und eines, das uns ins Herz trifft und was wir tun. Ich entschuldige mich bei Verbrauchern und unseren Geschäftskunden für die Besorgnis und Frustration, die dies verursacht“, sagte Richard F. Smith, der Vorstandsvorsitzende des Unternehmens, in einer auf seiner Website veröffentlichten Erklärung. „Wir sind stolz darauf, führend bei der Verwaltung und dem Schutz von Daten zu sein, und wir führen eine gründliche Überprüfung unserer gesamten Sicherheitsabläufe durch.“

Equifax mit Sitz in Atlanta arbeitet mit den Strafverfolgungsbehörden an einer Untersuchung des Verstoßes und hat ein unabhängiges Cybersicherheitsforschungsunternehmen beauftragt, den Umfang des Eindringens zu bewerten. Laut der Website des Unternehmens ist es in 24 Ländern tätig und hat Zugriff auf die Daten von mehr als 820 Millionen Verbrauchern weltweit sowie auf Daten von 91 Millionen Unternehmen.

Unternehmen warnen betroffene Menschen oft nicht sofort über Cybersicherheitsvorfälle, was zu regelmäßigen Aufforderungen von Gesetzgebern auf Bundes- und Landesebene nach neuen Gesetzen führt, die eine schnellere und vollständigere Offenlegung gegenüber den betroffenen Verbrauchern erfordern.

Am Donnerstagabend bezeichnete Senator Mark R. Warner (D-Va.), Mitbegründer des Senats Cybersecurity Caucus, die Equifax-Verletzung als „zutiefst beunruhigend“ und forderte mehr Verbraucherschutz gegen Datendiebstahl und eine rechtzeitige Benachrichtigung der Verbraucher, deren personenbezogene Daten kompromittiert werden.

„Es ist keine Übertreibung zu behaupten, dass ein solcher Verstoß – die Offenlegung hochsensibler persönlicher und finanzieller Informationen, die für das Identitätsmanagement und den Zugang zu Krediten zentral sind – eine echte Bedrohung für die wirtschaftliche Sicherheit der Amerikaner darstellt“, sagte Warner in seiner Erklärung.

Obwohl Equifax weithin als Kreditauskunftei bekannt ist, ist das Unternehmen auch an der Sammlung und dem Verkauf von Verbraucherdaten beteiligt – eine lukrative und locker regulierte Branche, die 2013 von den Ermittlern des Senats untersucht wurde.

In einem Bericht stellte der Handelsausschuss des Senats fest, dass solche Datenbroker dafür verantwortlich waren, Verbraucherdaten aufzuschneiden und Amerikaner nach ihren finanziellen Merkmalen zu kategorisieren, wobei sie Labels wie „X-tra Needy“, „Fragile Families“ und „Ethnic Second-City“ verwenden Strugglers“, um die finanziell Schwachen zu beschreiben.

Kritiker sagen, dass die Praxis das Targeting und die Vermarktung von räuberischen Finanzinstrumenten ermöglicht und dass die Labels eine grundlegende Gleichgültigkeit gegenüber der Branche widerspiegeln.

Die Federal Trade Commission beschuldigte Equifax im Jahr 2012, Tausende von Listen mit Verbraucherdaten unangemessen an Dritte verkauft zu haben, die dann laut FTC „die Listen nutzten, um Kreditänderungen und Entschuldungsdienste für Menschen in finanziellen Notlagen anzubieten“.

Drew Harwell und Steven Mufson haben zu diesem Bericht beigetragen.