2min

Een Amerikaans kredietbureau is getroffen door een cyberaanval. Het gaat om het bedrijf Equifax, dat zich onder meer bezighoudt met de kredietwaardigheid van consumenten. Gevoelige informatie zoals namen, adressen, sofinummers, geboortedatums, rijbewijzen en creditcardgegevens zijn daardoor bemachtigd.

Equifax geeft aan dat er naar schatting de creditcardnummers van 209.000 Amerikaanse klanten op straat zijn komen te liggen. Van 182.000 Amerikaanse klanten is ook wat omschreven wordt als ‘persoonlijk identificeerbare informatie’ gestolen. In de meeste gevallen gaat het om data betrekking hebbend op namen, sofinummers en geboortedatums.

Ook burgers uit Canada en het Verenigd Koninkrijk zijn getroffen, al gaat het daar om veel minder slachtoffers. De hack vond plaats tussen medio mei en juli. Equifax ontdekte de activiteiten van de cybercriminelen pas op 29 juli. Van deze hack werd donderdag pas melding gedaan, maar CNN noemt het datalek vanwege het bereik en de blootgestelde informatie één van de ergste ooit. De ernst van het lek wordt nog duidelijker met de kennis dat Equifax één van de drie grootste kredietbureaus van de VS is.

Onduidelijkheid

De cyberbeveiligingsspecialist Digital Shadows dook in de data en analyseerde de situatie rondom Equifax. Het bedrijf omschrijft in een bericht wat er wel en niet bekend is over de hack. Auteur Rick Holland gaat in het kopje ‘wat we niet weten’ verder in op de sofinummers. Daarin beschrijft Holland dat het onbekend is hoeveel sofinummers er bemachtigd zijn en of alle 143 miljoen individuele sofinummers getroffen zijn.

Daarnaast is het ook niet bekend wie er achter de aanval zit. Equifax beweert dat de cybercriminelen een webapplicatie misbruikt hebben, maar een schuldige aanwijzen is altijd lastig. Structured Analytic Techniques zoals de Analysis of Competing Hypothesis die gebruikt werd voor WannaCry kan daarbij helpen. Holland geeft aan dat de specifieke kwetsbaarheid die gebruikt werd niet bekend is, maar hij wil er 1000 Gold Dragons (valuta uit Game of Thrones) op wedden dat het de SQL-injection was.

Aandelen

Nadat het lek binnen Equifax ontdekt werd, verkochten een aantal bestuurders van het bedrijf hun aandelen. Het zou onder meer gaan om de financiële directeur van het kredietbureau. Het is verboden om aandelen te verkopen op basis van informatie die nog niet publiekelijk gemaakt is. Equifax ontkent echter dat bestuurders zich hieraan schuldig gemaakt hebben.