De gehackte Amerikaanse kredietbeoordelaar Equifax is gestopt met het gebruik van timestamps als beveiliging voor kredietrapporten. Vorige week ontstond er ophef op Twitter over het feit dat Equifax een timestamp als pincode voor de toegang tot afgeschermde kredietrapporten gebruikt.
Equifax bezit informatie over miljoenen mensen en bedrijven. De gegevens worden gebruikt om te bepalen of iemand kredietwaardig is en bijvoorbeeld voor een lening in aankomt. Aanvallers wisten gedurende een periode van 2,5 maand ongemerkt de gegevens van 143 miljoen Amerikanen te stelen. Met de gestolen informatie kunnen criminelen bijvoorbeeld leningen in naam van anderen aanvragen.
Om het risico hierop te beperken is het mogelijk om een "credit freeze" of "security freeze" aan te vragen. Deze maatregel beperkt de toegang tot het kredietrapport van de gebruiker, wat het weer lastiger maakt voor identiteitsdieven om met de gestolen informatie nieuwe rekeningen in naam van iemand anders te openen. De meeste kredietverleners moeten het kredietrapport namelijk hebben ingezien voordat ze een lening of rekening kunnen goedkeuren, wat niet kan bij een security freeze.
Nadat een gebruiker een security freeze heeft aangevraagd zal hij een pincode of wachtwoord ontvangen. Hiermee kan de security freeze worden opgeheven. In het geval van Equifax gebruikte het bedrijf als pincode de timestamp van het moment dat de security freeze werd aangevraagd. Een werkwijze die al 10 jaar werd toegepast. Vanwege de ontstane ophef heeft Equifax nu besloten om het genereren van pincodes aan te passen en voor alle gebruikers een "willekeurige pincode" te generen. Op wat voor manier dit wordt gedaan laat Equifax niet weten. Daarnaast hoeven gebruikers ook niet meer voor een security freeze te betalen en krijgen mensen die dit al wel hebben gedaan hun geld terug.
Equifax-ceo Richard Smith schreef daarnaast een opiniestuk voor USA Today waarin hij laat weten dat het bedrijf zes weken heeft gewacht met het waarschuwen van slachtoffers omdat eerst gedacht werd dat de inbraak beperkt was. Verder meldt Smith dat Equifax veranderingen zal doorvoeren en 'uitzonderlijke middelen' inzet om herhaling in de toekomst te voorkomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.