De Britse tak van de Amerikaanse kredietbeoordelaar Equifax heeft van de Britse privacytoezichthouder ICO een boete van omgerekend 560.000 euro gekregen wegens een groot datalek waarbij de gegevens van 147 miljoen mensen werden gestolen, waaronder 15 miljoen Britten.
Het bedrijf werd gehackt omdat het een beveiligingsupdate voor Apache Struts niet had geïnstalleerd. Daardoor konden aanvallers toegang tot een server krijgen en daarvandaan allerlei databases met gevoelige gegevens benaderen. Equifax had wel maatregelen genomen om netwerkverkeer te inspecteren en beheerders op beschikbare updates te wijzen, maar vanwege een verlopen certificaat en verouderde mailinglist hadden die geen effect.
Hoewel de systemen in Verenigde Staten werden gehackt was de Britse tak van het bedrijf verantwoordelijk voor de bescherming van de gegevens van Britse klanten, aldus de ICO. "De Britse tak van het het bedrijf heeft geen gepaste maatregelen genomen om ervoor te zorgen dat het Amerikaanse moederbedrijf, dat de gegevens voor haar verwerkte, de gegevens beveiligde." Zo stelde Equifax dat het wachtwoorden versleuteld opsloeg, maar het Britse fraudeteam bewaarde deze wachtwoorden in een plaintext bestand. Dit houdt volgens de ICO in dat de wachtwoorden al ergens onversleuteld door het bedrijf werden opgeslagen.
Volgens de Britse privacytoezichthouder heeft het bedrijf vijf van de acht databeschermingsprincipes van de Britse privacywetgeving uit 1998 geschonden, waaronder het niet beveiligen van persoonlijke gegevens en het ontbreken van een juridische basis voor het internationaal uitwisselen van gegevens van Britse burgers. De ICO legde de Britse tak van Equifax dan ook de maximale boete op die onder de privacywetgeving van 1998 kan worden uitgedeeld. Onder de nieuwe Europese privacywetgeving AVG had de boete veel hoger kunnen zijn, maar die was nog niet van kracht toen het onderzoek werd uitgevoerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.