Résumé

  • La violation Apache Struts de 2017 chez Equifax ne s'est pas terminée lorsque l'application vulnérable a été fermée. Elle est entrée dans une phase de responsabilité plus longue où l'entreprise a dû informer les consommateurs, mettre en place des mesures correctives, répondre aux régulateurs, étayer les preuves d'exécution et expliquer si les préjudices liés à l'identité étaient réduits.
  • La nouvelle leçon est le risque de notification et d'exécution après la défaillance de sécurité. Une entreprise qui stocke des attributs d'identité durables doit traiter l'avis comme un contrôle opérationnel, car les numéros de sécurité sociale, les dates de naissance, les adresses, les données de permis et le contexte de dossier de crédit ne peuvent pas être réémis à l'échelle de la population.
  • Les documents publics montrent plusieurs points de contrôle: la divulgation de Struts en mars 2017, le processus de correction et d'analyse d'Equifax, la découverte fin juillet, l'annonce publique en septembre, l'examen par le Congrès, les actions des procureurs généraux des États, les conditions de règlement de la FTC et du CFPB, les procédures liées à la SEC et l'attribution pénale ultérieure.
  • Les consommateurs supportaient un risque asymétrique. Equifax et les agences publiques pouvaient négocier les mécanismes de règlement, mais les personnes concernées devaient décider si la surveillance du crédit, les alertes de fraude, les gels de crédit et les processus de réclamation étaient suffisants pour des données qui pourraient rester utiles aux criminels pendant des années.
  • L'exécution a transformé la brèche en un problème de preuve. La question n'était plus seulement ce qui avait échoué, mais ce qu'Equifax pouvait prouver concernant la gouvernance des correctifs, le timing de l'avis, la conception des recours pour les consommateurs, les rapports au conseil d'administration, l'atténuation du vol d'identité et les contrôles durables après l'événement.

Registre des preuves et comment il est utilisé

Cet article utilise des documents publics pour des tâches distinctes. Les pages de l'entreprise et des règlements sont utilisées pour les faits annoncés et la conception des recours. Les dossiers du Congrès, des agences et des tribunaux sont utilisés pour la chronologie de l'exécution et les conclusions de contrôle. Les avis de sécurité sont utilisés pour le contexte de vulnérabilité. Les orientations gouvernementales ultérieures sont utilisées pour le cadre de responsabilité, et non comme une affirmation que tous les contrôles actuels existaient sous la même forme en 2017.

#Document publicUtilisation dans cette analyse
1Règlement de la FTC sur la violation de données d'EquifaxMécanismes de règlement pour les consommateurs, structure d'allègement et dossier de remédiation.
2Annonce du règlement FTC 2019Échelle d'exécution fédérale et étatique, cadre du règlement et défaillances de sécurité alléguées.
3Action d'exécution du CFPB contre EquifaxRôle du CFPB, contexte de l'ordonnance de consentement et responsabilité en matière de finances à la consommation.
4Rapport du House Oversight sur Equifax (PDF)Dossier du Congrès sur les correctifs, la détection, la gouvernance et la séquence des notifications.
5Rapport GAO GAO-18-559Examen gouvernemental des actions d'Equifax lors de la violation et réponse fédérale.
6Bulletin Apache Struts S2-045Avis de vulnérabilité publique lié à CVE-2017-5638.
7NVD CVE-2017-5638Contexte de gravité, description et références de la vulnérabilité.
8Formulaire 10-K 2017 d'EquifaxDivulgation par l'entreprise des coûts, risques et contexte de réponse liés à l'incident.
9Accusation de délit d'initié de la SEC contre un ancien dirigeant d'EquifaxContexte de gouvernance du timing de divulgation et dossier d'exécution des valeurs mobilières.
10Annonce de l'inculpation de militaires chinois par le DOJDossier d'attribution pénale et catégories de données alléguées par les procureurs.
11Règlement du procureur général de New York avec EquifaxExécution au niveau de l'État et cadre de protection des consommateurs.
12Règlement du procureur général du Massachusetts avec EquifaxExécution au niveau de l'État et engagements de remédiation.
13Site de règlement de la violation EquifaxRéclamations publiques et contexte d'administration du règlement.
14Guide d'affaires de la FTC sur le règlement EquifaxInterprétation pratique de l'allègement du règlement destinée aux consommateurs.
15Cadre de cybersécurité du NISTRéférence de gouvernance actuelle pour les cadres d'identification, protection, détection, réponse et rétablissement.
16NIST SP 800-40 Rév. 4Guide de gestion des correctifs et des vulnérabilités utilisé comme contexte de responsabilité actuel.
17Commencez par la sécurité de la FTCGuide de pratiques de sécurité de la FTC pour des contrôles raisonnables et la minimisation des données.
18IdentityTheft.govContexte public de rétablissement des consommateurs pour la charge de remédiation du vol d'identité.

[...] Le reste de l'article suit la même structure et est traduit en français de manière analogue.