Equifax将支付至少5.75亿美元的赔偿金,以解决影响超过1.4亿人的巨大2017年数据泄露事件。根据联邦贸易委员会(FTC)的公告,这一处罚可能会增加到7亿美元。
这家总部位于亚特兰大的消费者信用报告公司于2017年9月成为焦点,当时它公布了多达1.47亿美国消费者的个人信息- 例如姓名,出生日期,社会安全号码,地址等等 -那年5月到7月之间的黑客。根据美国联邦贸易委员会的说法,Equifax以明文形式存储了大部分客户的机密数据 - 包括社会安全号码,网络凭证和密码。
后来发现,Equifax早在当年3月才意识到与其客户数据库相关的安全漏洞,但未能对其进行修补。
联邦贸易委员会在报告中说:
美国联邦贸易委员会称,Equifax在2017年3月被警告影响其ACIS数据库的关键安全漏洞后未能修补其网络,该数据库负责处理消费者对其个人信用数据的询问。即使Equifax的安全团队下令在收到警报后48小时内修补公司的每个易受攻击的系统,但Equifax没有跟进以确保订单是由负责的员工执行的。
在其他一些备受瞩目的数据泄露征收之后,和解协议也随之而来。本月早些时候,英国航空公司被罚款2.3亿美元- 这是欧洲GDPR法案的记录 - 超过2018年的安全漏洞,导致50万客户的个人数据泄露。一天后,酒店巨头万豪酒店因针对GDPR规定的类似违规行为被罚款1.23亿美元。
分解
与FTC,消费者金融保护局(CFPB)以及美国50个州和地区的Equifax和解将构成3亿美元,用于为受影响的消费者提供信贷监控服务,并补偿购买信用卡或由于违规而导致的身份监控服务。如果最初的付款还不够,还会拨出1.25亿美元。Equifax还将每年向所有美国客户提供六份免费信用报告,为期七年。
此外,Equifax将向48个州,华盛顿特区和波多黎各以及另外1亿美元向CFPB支付1.75亿美元的民事罚款。
“从个人信息中获利的公司有额外的责任来保护和保护这些数据,”FTC主席Joe Simons说。“Equifax未能采取可能阻止影响约1.47亿消费者的违规行为的基本步骤。该和解协议要求公司采取措施改善其数据安全性,并确保因此违规行为而受到损害的消费者可以获得保护自己免受身份盗用和欺诈的帮助。
美国联邦贸易委员会还下令Equifax实施“综合信息安全计划”,包括对安全风险进行年度评估,以及其他措施,例如每年获得认证以验证公司是否遵守订单。