A Autoridade de Conduta Financeira (FCA) britânica anunciou na sexta-feira que multou a Equifax Ltd, o braço britânico da empresa de relatórios de crédito Equifax Inc, em mais de £ 11 milhões (aproximadamente US$ 13,5 milhões) pela enorme violação de dados de 2017.
Aproximadamente 147 milhões de pessoas foram afetadas pelo incidente, incluindo 13,8 milhões de consumidores do Reino Unido, depois que hackers obtiveram acesso aos servidores Equifax nos EUA. Em 2020, o governo dos EUA acusou quatro membros do Exército de Libertação Popular da China (ELP) por hackear a agência de relatórios de crédito.
O ataque cibernético começou em 13 de maio de 2017 e permaneceu sem ser detectado até 29 de julho de 2017. A Equifax fez um anúncio sobre o incidente cerca de um mês e meio depois, em 7 de setembro. A FCA lançou uma investigação formal sobre o incidente em outubro de 2017.
De acordo com o reguladora Equifax Ltd falhou “em gerenciar e monitorar a segurança dos dados do consumidor do Reino Unido que havia terceirizado para sua empresa-mãe com sede nos EUA”, levando à exposição de nomes, endereços, números de telefone, datas de nascimento, detalhes de login de membros da Equifax e detalhes parciais do cartão de crédito.
“O ataque cibernético e o acesso não autorizado aos dados eram totalmente evitáveis. A Equifax não tratou seu relacionamento com a controladora como terceirização. Como resultado, não conseguiu fornecer supervisão suficiente sobre como os dados enviados eram adequadamente gerenciados e protegidos”, observa a FCA.
O órgão de fiscalização financeira também observa que os sistemas de segurança de dados da Equifax estavam infestados de fraquezas conhecidas e que o braço britânico da empresa “não tomou as medidas adequadas em resposta para proteger os dados dos clientes do Reino Unido”.
Ademais, a FCA salienta que a Equifax Ltd soube que os dados dos consumidores do Reino Unido tinham sido comprometidos apenas 6 semanas após a descoberta do hack, minutos antes de a empresa-mãe americana tornar o incidente público, e que não foi capaz de lidar com as reclamações que recebeu.
“Após a violação da segurança cibernética, a Equifax fez várias declarações públicas sobre o impacto do incidente para os consumidores do Reino Unido, o que deu uma impressão imprecisa do número de consumidores afetados. A Equifax também tratou os consumidores injustamente ao não manter verificações de garantia de qualidade para reclamações após o incidente de segurança cibernética, o que significa que as reclamações foram mal tratadas”, observa também a FCA.
Em um Aviso Final servido à Equifax Ltd em 3 de outubro, o órgão de fiscalização observa que a multa deveria ter sido de quase £ 16 milhões (cerca de US$ 19,4 milhões).
Em 2019, a Equifax concordou em pagar até US$ 700 milhões para liquidar despesas relacionadas à violação de dados. Em 2020, um tribunal dos EUA ordenou que a empresa de relatórios de crédito investisse um mínimo de mil milhões de dólares na melhoria da sua postura em matéria de segurança de dados.