Na última terça-feira (2), o ex-presidente da Equifax Richard Smith depôs diante da Comissão de Energia e Comércio da Câmara dos Deputados dos Estados Unidos e deu a sua versão sobre o vazamento que expôs dados de 143 milhões de clientes de uma das maiores companhias de proteção ao crédito do planeta, a Equifax.
Em um discurso preparado, Smith afirmou que uma combinação de problemas resultou no maior vazamento de dados sensíveis já registrados até agora em todo o mundo. “Parece que a brecha ocorreu graças tanto a uma falha humana quanto uma falha tecnológica”, cravou o ex-executivo, que anunciou a sua aposentadoria no final do mês passado.
Smith descreveu uma série de procedimentos de segurança mantidos pela Equifax a fim de se proteger desse tipo de ataque. Ao identificar a vulnerabilidade em 9 de março, a equipe de tecnologia de informação da companhia recebeu a incumbência de resolvê-la dentro de 48 horas, o que não aconteceu.
Falhas e primeiras medidas
A falha não corrigida gerou a invasão de hackers no dia 13 de maio — mas essa ação foi percebida apenas mais de dois meses e meio depois, apenas em 29 de julho, quando o departamento de segurança da empresa percebeu um tráfico de rede suspeito relacionado a site dedicado a receber contestações de consumidores. Foi somente aí que a página começou a ser monitorada a fim de impedir acessos indevidos, até que ela foi completamente removida no dia seguinte, em 30 de julho.
Smith alega ter ficado sabendo do ocorrido apenas no outro dia, 31 de julho, e em 2 de agosto a Equifax já havia contratado uma companhia de cibersegurança a fim de conduzir uma investigação e consultoria legal em torno do caso. Outra empresa de consultoria em cibersegurança forense também foi contratada a fim de investigar a atividade suspeita e o FBI (a polícia federal dos EUA) também foi alertado.
A partir de então, o cenário foi se tornando ainda mais assustador conforme a Equifax se dava conta do volume de informações que haviam sido vazadas graças a essa falha. Assim, a companhia tratou de restaurar as suas defesas antes mesmo de anunciar que havia sido alvo de um ataque, pois o anúncio provavelmente incentivaria novas ações do tipo.
Apesar das medidas de contenção e apoio oferecidas pela Equifax, os clientes ainda estão insatisfeitos com o atendimento da empresa após a divulgação do vazamento
Além disso, Smith garante que a sua companhia desenvolveu um novo site para oferecer informações adicionais aos consumidores sobre o caso. A companhia lançou ainda um serviço de call center por meio do qual os seus clientes poderiam entrar em contato, mas, na prática, nem o site nem a central de atendimento tem funcionado de forma satisfatória.
A audiência de ontem foi apenas a primeira de uma série de quatro que devem acontecer na mesma comissão do Congresso estadunidense. As explicações dadas por Smith até agora são um tanto inconclusivas e ele ainda deve ter muito o que esclarecer às autoridades e também aos clientes de sua antiga empresa.
Fontes
Categorias