Hmmm. Twee maanden nodig voor detectie. En dan nog grofweg een maand voor notificatie als ik goed reken. Houd dit even tegen het licht met de AVG-eisen...

Class-action rechtszaken zijn waarschijnlijk de meest effectieve manier om deze bedrijven met de neus op de feiten te drukken, namelijk dat het ontbreken van een goede beveiliging nu meer geld gaat kosten dan het correct implementeren daarvan.
Persoonlijk zou ik ook pleiten voor wettelijk vastgelegde hoofdelijke verantwoordelijkheid, zodat ook aan de bestuurlijke top, de bittere noodzaak van een goede beveiliging gaat inzien.

De customer success story "Equifax and Fireeye for best security" is ook snel van de Fireeye website gehaald.

Je kunt die twee maanden ook uitleggen als het netjes beschikbaar hebben van alle logs zodat op het moment men vermoede dat er iets mis was twee maanden terug kon terwijl men een maand bezig was om te achterhalen wat er mis was.
Op die manier klinkt het ineens heel anders.

Het is de VS die hebben niets met AVG eisen. Alles wat regulerend en controlerend is is een belemmering van de vrije markt. De vrije markt met veel geld verdienen is de American Dream. Lukt het niet dan ligt dat aan jou zelf.

Nou, mooie "update" hoor:


Bij nader onderzoek blijkt dat de "certificaat chain" niet compleet is. Dat was eerder niet zo.

Daar ga je dan met je goeie gedrag.....

Die wist ik niet. Interessante ontwikkeling. Met de hack bij Target waren ze ook betrokken. De CEO ging uiteindelijk de laan uit. In dat geval waren de alerts afgegaan en gemeld maar niemand reageerde er op totdat het te laat was.

http://fortune.com/2017/07/31/researcher-fireeye-cybersecurity-hacked/
Interessant al die lins die naar boven komen.
https://krebsonsecurity.com/2017/09/equifax-breach-response-turns-dumpster-fire/

Alleen als je niet verder kijkt dan de zinnen die je produceerde, niet als je een paar momenten nadenkt. Ze beheren een grote hoeveelheid aan zeer privacygevoelige data, namelijk precies wat een identiteitsdief nodig heeft om toe te kunnen slaan, en als je zo'n dataset beheert dan ben je er ook verantwoordelijk voor. Dat ze logbestanden hebben bewaard om te analyseren is geen bijzondere verdienste, het is een basisvoorwaarde om hun verantwoordelijkheid te kunnen nemen, en nog lang niet de enige. Een maand de tijd nemen om de inbraak wereldkundig te maken is onverantwoordelijk, ze hadden direct iedereen die er mogelijk door getroffen is de kans moeten geven om maatregelen te treffen, ook als ze nog geen overzicht hadden van de omvang van die groep. Dat ze in de eerste instantie ook nog het geven van informatie koppelden aan het opgeven van het recht om ze te vervolgen voor de schade geeft aan wat de mentaliteit is bij die tent.

En er is inmiddels meer ellende naar buiten aan het komen:
• De tool die nu online staat om te checken of je bent geraakt geeft willekeurige resultaten. Bij dezelfde query ben je de ene keer wel en de andere keer niet geraakt, ook als de ingevulde gegevens willekeurige onzin zijn.
• De pincode die mensen bij een "security freeze" krijgen blijkt al jaren niet meer dan een timestamp te zijn.

https://techcrunch.com/2017/09/08/psa-no-matter-what-you-write-equifax-may-tell-you-youve-been-impacted-by-the-hack/
https://mobile.twitter.com/webster/status/906638411930497029

Dat bedrijf schiet ernstig tekort in het beschermen van de gegevens die ze beheren.

Ik bekijk het graag van meerdere kanten, als je de normale goede gang van zaken onderuit haalt met argumenten, prima.
Dan komen we tot een meer overwogen inzicht.
Mijn eerste reactie was overigens kritisch, dat het niet goed zit. Dat er onaangekondigd/ niet gepland aandelen verkocht zijn. https://www.security.nl/posting/530310/Priv%C3%A9data+143+miljoen+Amerikanen+gestolen+bij+kredietbeoordelaar

Of het meteen wereldkundig gemaakt kon worden is mij niet helder. Als je niet echt weet wat er aan de hand is kun je van alles gaan zeggen wat dan later ver bezijden de waarheid is. Daar hebben we genoeg gevallen van.

Dat met die zee rare website en alles er omheen kon je ook krebs lezen. Of er nog iets speelt met mandiant (fireeye) en edelman PR zijn andere wonderlijke zaken waar hopelijk betere duidelijkheid geboden gaat worden. Ik zie het struts lek nu als hoofdverdachte in het nieuws. Gezien het genoemde wijd verspreide gebruik is dat een schok voor verplichte updates.

Op 29 juli, zeggen ze zelf, hebben ze de ongeautoriseerde toegang geconstateerd. Op dat moment wisten ze dus al iets heel belangrijks. Als men kan constateren dat toegang ongeautoriseerd is dan weet men vermoedelijk ook al iets over welke gegevens of welk soort gegevens benaderd kunnen zijn, de autorisatie gaat namelijk over waar iemand al dan niet bij kan en daar wisten ze op 29 juli iets concreets over.

Ik kan me goed voorstellen dat het onderzoek vergt om de volle omvang van het probleem te achterhalen, en ook dat er wellicht een hoop te onderzoeken valt over hoe de toegang precies is verkregen, maar het is niet zo dat ze niets wisten. Tel bij die kennis op dat ze daar gegevens vastleggen waarmee in de VS uit naam van een ander leningen mee afgesloten kunnen worden. De conclusie is dat er een concreet en urgent probleem bestaat dat mensen buiten hun schuld financieel in de shit belanden door dat lek. Edifax kon het niet maken om dat voor zich te houden, zoiets moet je wereldkundig maken, ook als je nog niet kan aangeven wiens gegevens er wel en niet zijn gelekt.

En dat hoef je niet allemaal te bedenken op het moment dat het gebeurt. Een organisatie die zijn zaken goed op orde heeft heeft uitgebreid what-if-scenario's doorgewerkt en de draaiboeken voor dit soort calamiteiten klaarliggen.

Voor dat laatste zijn we het eens. Nu gaarne het onderzoek naar alle organisaties waar dit order is.
Ik heb het sterke vermoeden dat zoiets nog wel eens heel minimaal zou kunnen zijn. Iedereen zegt wel dat het zo hoort maar het kost geld en brengt niets op, waarom zou het dan gedaan worden.

Dat leningen afsluiten in naam van een ander zonder behoorlijke controle op de juiste persoon is al een gotspé waarop de kredietverleners aangesproken zouden moeten worden niet de derden als personen/slachtoffers. De machtsverhouding van rijke bedrijven met vertegenwoordiging in de regering tegenover gewone burgers is nogal in onbalans. Dit punt hoort elders.

Komen we terug op constateren van een hack zonder nog te weten wat de impact is.
https://www.theverge.com/2014/3/13/5503952/targets-security-system-reportedly-caught-massive-hack-but-was-ignored Als je niets met een alert doet of kan doen wegens het grote aantal alerts dan is er effectief niets.
Voor die overreactie "het hele netwerk is onbetrouwbaar", "alles moet plat gelegd worden" kun je de voorbeelden denk ik wel vinden. Heel handig als dan achteraf blijkt dat het een handjevol machines gaat zeer gericht op bepaalde personen (whale phising).
Als je weet de frontend ofwel de winkel lek is, zonder te weten wat nu het doel van de aanval is, ga je dan je bedrijf meteen plat leggen? In dit verhaal is het vreemd dat de informatie selectief aangeboden wordt op de zwarte markt aan Equifax zelf. (zie krebs). Als de opbrengsten om het vrij aan te bieden veel lucratiever zijn waarom dan dat niet.

Dat is het punt niet. De verantwoordelijkheid om de data goed te beschermen ligt bij die organisatie. Ze kunnen dat te duur vinden, maar dat ontslaat ze niet van die verantwoordelijkheid. En Edifax is groot, zonder dat hun systemen daarmee veel complexer hoeven te worden dan die van kleinere concurrenten die dezelfde diensten bieden en dezelfde logica moeten implementeren. Die hebben een schaalvoordeel dat benut kan worden om het dan ook beter te doen dan de concurrent. Ze wekken niet de indruk dat gedaan te hebben.

Ja, maar ondertussen werkt het daar wel zoals het op dit moment werkt. Soms is een onwenselijke situatie een gegeven. En bedenk wel dat Edifax daaraan verdient door beschermingsconstructies aan te bieden aan particulieren als het mis is gegaan. Als ze eraan verdienen is het niet raar om van ze te vragen er rekening mee te houden.

Hier is toch helemaal geen sprake van iets platleggen? Het lek is kennelijk snel genoeg na ontdekking gedicht. Wat men gedurende een maand heeft nagelaten is iedereen die potentieel benadeeld is ervan op de hoogte te stellen. Da's wat anders dan de zaak platleggen.

jammer dan dat het kalf alweer...

Het is de standaard reactie van een soc. Zodra er iets ontdekt is komt de escalatie dat de systemen uit moeten.
Als het lek nog onbekend is bij de externe softwareleverancier dan moet je op die Patch gaan wachten.
Denk even aan dat laatste struts gebeuren en je ziet de spagaat

Eens dat is het ideaal. Mijn ervaringen met grotere organisaties budget gebonden etc zijn niet overeenkomstig dat ideaal, integendeel.

Alleen is er geen enkele indicatie dat dat hier de reactie was, zelf stellen ze:
Voor zover ik weet is Equifax niet een maand uit de lucht geweest, dus los van wat naar jouw inschatting de standaardreactie is denk ik niet dat die hier van toepassing is. Je opmerking die je maakte over "je bedrijf platleggen" lijkt mij in dit geval de plank misslaan.
Dat dat ideaal lang niet altijd wordt waargemaakt weet ik. Maar ik bedoel het niet als een vage droom van hoe de wereld zou moeten zijn maar als een norm die een samenleving kan stellen. Naarmate de berg data waarop een organisatie zit bij misbruik tot grotere schade kan leiden neemt de verantwoordelijkheid om die data goed te bewaken ook toe. En niet alleen de verantwoordelijkheid, ook de capaciteit. Dataverwerking is, mits goed opgezet, nou eenmaal heel wat beter schaalbaar dan bijvoorbeeld fysieke produktielijnen. Het lijkt erop dat Equifax ernstig nalatig is geweest in het nemen van die verantwoordelijkheid en het daartoe benutten van die capaciteit.

Dit treft iets van 57% van alle Amerikaanse volwassenen, het is echt enorm. Als dat bedrijf de moeite niet heeft genomen om rekening met al die mensen te houden door zich af te vragen wat er mis zou kunnen gaan, te beseffen hoe groot dat kon worden en passende maatregelen te nemen, dan zie ik geen enkele reden waarom de Amerikaanse bevolking of wie dan ook de moeite moet nemen om begrip te hebben voor de keuzes die dat bedrijf heeft gemaakt. Die hebben een enorme verantwoordelijk op zich genomen en zich er niet naar gedragen. Jouw "op die manier klinkt het ineens heel anders", waar deze discussie mee begon, vind ik om die reden misplaatst.