Odtujeni osebni podatki 147 milijonov strank, ker je bilo uporabljeno geslo -"admin"!

Pred dvema letoma, septembra 2017, je podjetje Equifax sporočilo, da so bili žrtev hekerskega napada, v katerem so napadalci odnesli osebne podatke 147 milijonov strank. Equifax, ki je ena izmed treh velikih ameriških agencij za določanje bonitetne ocene fizičnih oseb, se je letos s FTC (Zvezna komisija za trgovino) poravnal o plačilu odškodnine v višini 425 milijonov dolarjev.

Medtem pa zoper podjetje poteka skupinska tožba, ki so jo vložili kupci delnic podjetja, ker da je podjetje dolgo časa zavajalo in prikrivalo vdor. Delnica podjetja je po razkritju izgubila tretjino vrednosti, ki jo je nadomestila šele v zadnjem mesecu. Med sojenjem na dan prihajajo različne podrobnosti, ob katerih se lahko varnostni strokovnjaki le primejo za glavo.

Tako smo izvedeli, da sta bila uporabniško ime in geslo baze podatkov pri Equifaxu admin. To je ena izmed prvih kombinacij, ki jih kdorkoli preveri, in zanesljiv način, da bo nekdo nepooblaščeno dostopil vanjo. Prav tako je v tožbi zapisano, da Equifax osebnih podatkov na strežnikih, ki so bili povezani v internet, ni shranjeval v šifrirani obliki.

Ne glede na rezultat tožbe, ki ni samoumeven, ker tožijo delničarji in ne oškodovane stranke, je nauk te zgodbe jasen. Vdor v kakršenkoli sistem, tudi nepooblaščen dostop v nezaščiten sistem, je kazniv, kakor je kaznivo krasti iz odklenjene hiše. Toda kdor obdeluje osebne podatke, mora prav tako zagotoviti vse razumne ukrepe, da prepreči nepooblaščene dostope. Huda malomarnost, kot je na primer uporaba uporabniškega imena in gesla admin, sicer ni nujno kazniva sama po sebi, je pa podlaga za odškodninsko odgovornost.