אקוויפקס תשלם קנס ענק בעקבות חשיפת פרטי מאות מליוני אמריקאים

חברת אקוויפקס (Equifax) תשלם עד 700 מיליון דולר בהסדר עם נציבות הסחר הפדרלית (FTC) ו- 50 מדינות בארצות הברית, בעקבות גניבת המידע הענקית משרתיה ב-2017. אקוויפקס היא אחת משלוש לשכות האשראי העיקריות בארה"ב. ההסדר איתה הוא הגדול מסוגו בהיסטוריה האמריקאית.

אקוויפקס, מעבדת מידע אישי הנוגע למאות מיליוני אנשים. ה- FTC האשים את החברה כי כישלונה לתקן חולשת אבטחה קריטית ברשת החברה איפשרה לתוקפים גישה למערכות במשך חודשים ארוכים. הגישה נוצלה לגניבת כמות עצומה של מידע: התוקפים גנבו לפחות 147 מיליון שמות ותאריכי לידה, 145.5 מיליון מספרי ביטוח לאומי וכ -209,000 מספרי כרטיסי אשראי. הם הצליחו לעשות זאת, מכיוון שהחברה לא יישמה אמצעי אבטחה בסיסיים ואיחסנה נתוני אימות ומידע אישי רגיש ללא הצפנה. גם לאחר שנודע לחברה על בעיית האבטחה היא לא ניהלה את הארוע ונשארה חשופה. 

במסגרת ההסדר המוצע, אקוויפקס תשלם בין היתר עד 425 מיליון דולר לקרן שתספק לאנשים שירותי ניטור אשראי ותפצה אותם על הפסדיהם. מלבד הקנסות הכספיים, על אקוויפקס גם ליישם תוכנית מקיפה לאבטחת מידע. במסיבת עיתונאים שדנה בהסדר המוצע, הדגיש יו"ר ה- FTC, ג'וזף סימונס, כי יש צורך בחקיקה פדרלית חדשה שתרחיב את סמכויות האכיפה של ה- FTC באופן שיאפשר לה להטיל לבדה קנסות בהיקף כזה. מקור: Privacy and Information Security Law Blog