هکرها سال گذشته بیش از پیش‌بینی‌ها داده‌های اکویی‌فکس را به سرقت بردند

پس از بررسی‌های مختلف توسط نهاد‌های قانون‌گذار در ایالات متحده مشخص شده هکرها سال گذشته داده‌های بیشتری از آن چیزی که در ابتدا گفته می‌شد از اکوفکس به سرقت برده‌اند.

ماه سپتامبر سال گذشته پرده از یک نفوذ بزرگ اطلاعاتی به شرکت اکوفکس (EquiFax) در ایالات متحده برداشته شد که شامل اسامی افراد، شماره‌ی تأمین اجتماعی، تاریخ تولد، آدرس منزل و در برخی موارد شماره‌های گواهی‌نامه‌ی رانندگی می‌شد. شرکت اکوفکس یکی از بزرگ‌ترین آژانس‌های گزارش اعتبار و تراکنش‌های مالی کاربران است. مدتی بعد از این اتفاق تأیید شد که بیش از ۱۴۵ میلیون نفر تحت تأثیر این نفوذ امنیتی قرار گرفته‌اند که در ابتدا شامل آمریکایی‌ها بوده و سپس برخی از کانادایی‌ها و شهروندان بریتانیایی را نیز در بر گرفته است.

این هک بزرگترین نفوذ اطلاعاتی است که در سال ۲۰۱۷ گزارش شده بود.

اما اسنادی که توسط اعضای کمیته بانکداری سنا بررسی شده‌اند نشان می‌دهد که انواع و میزان داده‌های به سرقت رفته گسترده‌تر از چیزی عنوان شده که شرکت اکوفکس در ابتدا گزارش کرده است.

در نامه‌ای که توسط یکی از اعضای کمیته سنا به نام الیزابت وارن به مدیر اجرایی اکوفکس، پائولو دو رگو باروس نوشته شده است؛ خلاصه‌ای از بازرسی‌های پنج ماهه سناتور‌ها درباره‌ی نفوذ به اکوفکس آورده شده که در آن به شماره‌ شناسایی مالیات، آدرس ایمیل و اطلاعات شناسایی دیگر نظیر تاریخ صدور به عنوان اطلاعات دیگر کاربران اشاره شده که در جریان نفوذ به این شرکت به سرقت رفته‌‌اند و تاکنون پیش از این فاش نشده‌اند.

خبر اسناد ابتدا توسط رسانه‌ی خبری وال استریت ژورنال منتشر شده بود.

شماره‌های شناسایی مالیات به منظور گزارش درآمد و بازپرداخت مالیاتی توسط اداره‌ی مالیات داخلی معمولا برای کارگرانی صادر می‌شود که مانند اتباع بیگانه واجد شرایط برای دریافت شماره‌ی تأمین اجتماعی نیستند.

نفوذ سایبری به شماره‌های شناسایی مالیات احتمالا به این دلیل است که آن‌ها درست در بخشی از پایگاه داده ذخیره شده بودند که شماره‌های مالیاتی دیگر مانند شماره‌های تأمین اجتماعی قرار داشتند.

وارن در چندین توییت می‌گوید:در ماه اکتبر زمانی‌که از مدیر عامل شرکت درباره‌ی تعیین میزان دقیق نفوذ درخواست همکاری کردم، او قادر نبود پاسخ من را صریح بدهد. به همین دلیل خود من این موضع را به مدت پنج ماه بررسی کردم.

وارن اضافه می‌کند:تحقیقات من عمق نفوذ و پنهان‌کاری در اکوفکس را نشان داد و زمانی‌که گزارش خود را منتشر کردم، اکوفکس نیز تأیید کرد که میزان صدمه بد‌تر از چیزی بوده‌ که آن‌ها در ابتدا به ما اعلام کرده‌اند.

مریدث گریفانتی به عنوان سخنگوی اکوفکس در ایمیلی به رسانه‌ی ZDNet اعلام کرده که آن‌ها به‌طور کامل از میزان داده‌های به سرقت رفته مطلع بودند.

البته گریفانتی عنوان روزنامه‌ی وال استریت ژورنال درباره‌ی سرقت داده‌های کاربران از این شرکت را کاملا گمرا‌ه‌کننده خواند؛ اما تأیید کرد که میزان بیشتری از داده‌های کاربران نسبت به چیزی که در گذشته گفته شده بود تحت تأثیر این هک قرار گرفته‌اند.

این شرکت می‌گوید همیشه درباره‌ی داده‌ها‌ خصوصا داده‌های به سرقت رفته در جریان نفوذ به آن‌ها صادق بوده است؛ اما اخیرا در جریان بررسی‌های صورت گرفته توسط کمیته‌ی بانکداری سنا خلاف این موضوع ثابت شد.

گریفانتی در این باره می‌گوید:برخی از اطلاعات کاربران تحت تأثیر این حمله‌ی سایبری قرار گرفته بودند و برخی دیگر نظیر اطلاعات گذرنامه یا شماره‌های کارت اعتباری خیر.

او می‌گوید:ایمیل‌هایی را مبنی بر جلب توجه کاربرانی که اطلاعات آن‌ها از قبیل اسناد‌ اختلاف‌های شخصی تحت تأثیر این نفوذ قرار گرفته بود به طور مستقیم برای آن‌ها ارسال کردیم.

از زمان وقوع این اتفاق، این شرکت متهم به این شده که به‌طور مداوم پاسخ‌های غیر متقاعده‌کننده ارائه می‌دهد. پس از این اتفاق نه تنها چهار ماه طول کشید تا اکوفکس کاربران خود را از نفوذ به داده‌های آن‌ها توسط هکرها مطلع سازد، بعد‌ها نیز این نفوذ به سرورهای آسیب‌‌پذیری ربط داده شد که این شرکت در ابتدای سال موفق به اصلاح آن‌ها نشده است. بعد از اینکه ماجرای هک سرانجام افشا شد اکوفکس تلاش کرد تا کاربران از آن اطلاع پیدا نکنند؛ کاربرانی که هیچ اطلاعی از نحوه‌ی ذخیره اطلاعات خود توسط این شرکت روی سرورها و حتی آسیب‌پذیر بودن سرورها نداشته‌اند.

قانون‌گذاران نیز نگرانی خود را درباره‌ی نحوه‌ی مدیریت این شرکت در این اتفاق ابراز کرده‌اند.

ریچارد اسمیت کسی که به عنوان مدیر اجرایی شرکت پس از این نفوذ امنیتی بازنشسته شد، بعدها توسط قانون‌گذاران به دلیل عدم پاسخگویی به سوالات اساسی درباره‌ی این هک بازداشت شد.

با وجود اینکه قانون‌گذاران به دلیل عدم شفافیت اکوفکس در این نفوذ تعهد کرده بودند که در این رابطه تحقیق کنند، سازمانی دولتی به نام اداره‌ حفاظت مالی کاربران که با حفاظت از اطلاعات کاربران در ارتباط است به دلیل تغییر در مدیرت کار تحقیق و بازررسی را به تعویق انداخت.

چندین سناتور خواستار پاسخگویی درباره‌ی علت توقف تحقیقات شدند.

در همین حال، وارن همراه با یکی از اعضای سابق کمیته به نام سناتور مک وارنر قانون جدید پیشگیری و جبران خسارت داده‌ها را معرفی کرد که سناتورها در اظهاراتی گفتند که آژانس‌های گزارش‌گری مالی اعتباری را برای نفوذ به اطلاعات کاربران مسئول می‌دانند.

این لایحه اگر تصویب شود، اکوفکس به ازای کم‌ترین اطلاعاتی که از هر مشتری به سرقت رفته مبلغ ۱۰۰ دلار جریمه خواهد شد این مبلغ علاوه بر ۵۰ دلاری است که این شرکت باید در ازای به سرقت رفتن اطلاعات شخصی کاربران خود بپردازد.

طبق این قانون، اکو فکس ملزم به پرداخت میلیاردها دلار خسارات برای نفوذ در سال ۲۰۱۷ خواهد بود.