Equifax est l’un des trois plus grands services de protection du crédit aux États-Unis. Des pirates ont piraté le site web de l’entreprise entre mai et juillet, volant les données de 143 millions d’Américains, soit près de la moitié de la population.
Les informations divulguées comprennent le nom complet, l’adresse, la date de naissance, le numéro de sécurité sociale et les données du permis de conduire. Il suffit qu’un criminel vole vos identités et demande des prêts au nom de quelqu’un d’autre. Pire encore : 209 000 numéros de cartes de crédit ont également été exposés.
Et ce n’est pas tout : la fuite a été découverte le 29 juillet, mais n’a été signalée au public qu’après environ 40 jours. En outre, trois cadres – le directeur financier, le président de solutions pour les États-Unis et le président de solutions pour la main-d’œuvre – ont vendu pour 1,8 million de euros d’actions de la société quelques jours après la découverte. Equifax affirme dans une déclaration qu’ils “n’étaient pas au courant qu’une invasion avait eu lieu à l’époque”.
Elle a créé le site equifaxsecurity2017.com pour que les clients puissent vérifier s’ils ont été touchés par la fuite en saisissant leur nom de famille et les trois derniers chiffres de leur numéro de sécurité sociale.
Cependant, comme le note Ars Technica, elle utilise une version standardisée de WordPress, qui n’offre pas le niveau de sécurité approprié. Le domaine n’est même pas enregistré au nom d’Equifax ; l’Open DNS de Cisco a même bloqué l’accès au site en raison de soupçons de phishing.
Il y a aussi un téléphone de service, celui-là avec ses propres problèmes. La journaliste Polly Mosendz de Bloomberg a appelé le numéro et 48 minutes plus tard, le standardiste a déclaré que la société de centre d’appel avait été engagée par Equifax mais n’avait pas reçu la base de données avec les clients concernés. Sarah Buhr, de TechCrunch, a déclaré que le répondeur lui avait raccroché au nez à trois reprises en raison de la forte demande.
Equifax informera les clients concernés par lettre. Elle affirme avoir engagé une société de cybersécurité après avoir découvert la fuite, et avoir collaboré avec les autorités ; en outre, elle offre le service TrustedID Premier gratuitement pendant un an, avec surveillance du crédit et protection contre le mensonge idéologique.
