信用评级机构Equifax已同意支付高达7亿美元(5.61亿英镑),作为2017年数据泄露后与美国监管机构达成的和解协议的一部分。
联邦贸易委员会曾指控总部位于亚特兰大的
静态混合器公司未能采取合理措施来保护其网络。
该事件至少暴露了1.47亿人的记录。
至少3亿美元将用于支付身份盗窃服务以及受害者提供的其他相关费用。
如果需要支付消费者的损失,这笔款项将扩大到最高4.25亿美元。
剩下的资金将分配给美国50个州和地区以及支付给消费者金融保护局的罚款。
它代表了FTC迄今为止最大的数据泄露结算,超过了Uber去年同意的1.48亿美元罚款。
联邦贸易委员会主席乔·西蒙斯说:“Equifax未能采取可能阻止违规的基本步骤。”
“此和解协议要求公司采取措施改善其数据安全性,并确保因此违规行为而受到损害的消费者可以获得保护自己免受身份盗用和欺诈的帮助。”
该机构补充说,在窃取的信息中,黑客复制了:
至少有1.47亿名姓氏和出生日期
社会安全号码约为1.455亿
共有209,000张支付卡号和到期日
英国信息专员办公室已经向该公司发出了50万英镑的罚款,因为在同一次袭击中未能保护多达1500万英国公民的个人信息。
未修补的系统
FTC表示,Equifax在3月份被警告说,其中一个数据库 - Equifax自动消费者访谈系统(ACIS)遭遇了一个严重的漏洞。
公众使用ACIS检查他们自己的信用报告。但由于Equifax的IT系统的发展方式,它还为黑客提供了访问
汽水混合器公司存储的其他无关记录的手段。
美国联邦贸易委员会称,Equifax的安全团队在2017年3月被告知这一发现后,在48小时内命令对易受攻击的系统进行修补。
但监管机构补充说,该公司没有检查这是否已经完成,因此多个黑客能够利用这个漏洞并在几个月的时间内窃取消费者的个人信息。
更糟糕的是,它说,许多敏感信息都是以纯文本形式未加密存储的。
作为和解协议的一部分,FTC表示,Equifax也同意:
对安全风险进行自己的年度审计
每两年提交一次对其安全工作的外部评估
确保授权访问公司存储的个人数据的第三方也有适当的数据保护措施
哈萨克斯坦新的在线安全工具引起了人们的注意
