מחשבי אקוויפקס נפרצו גם במארס 2017

מחשבי אקוויפקס נפרצו גם במארס 2017

הגילוי מעמיק את המשבר בחברה, למרות טענותיה כי הפריצה במארס לא הייתה קשורה לפריצה בסוף יולי 2017, שחשפה נתונים של 143 מיליון תושבי ארה”ב

בהודעה שהפיצה חברת דירוג האשראי נטען כי הפריצה במארס לא הייתה קשורה לפריצה ביולי 2017, שגרמה לחשיפת הנתונים האישיים והפיננסיים של כ-143 מיליון תושבי ארה”ב, אך גורם בחברה טען כי אותם פורצים היו מעורבים בשני המקרים. בכל מקרה, הגילוי כי החברה הוותיקה (נוסדה ב-1899) חוותה שתי תקריות אבטחה חמורות בתוך חודשים ספורים החמירה את המשבר באקוויפקס, הנתונה לחקירות מצד גורמים רבים, ואשר הודיעה לאחרונה על פרישת שניים ממנהליה הבכירים.

תקן Payment Card Industry Data Security Standard –  PSS DCI, הוא תקן שנוצר על ידי 5 חברות כרטיסי האשראי הגדולות (ויזה, מסטרקארד, JCB, Discover ואמריקן-אקספרס) כדי להבטיח הגנה על נתוני כרטיסי אשראי בכל סביבה בה הם מאוחסנים, מועברים או מעובדים. התקן כולל דרישות שונות ליישום בקרות אבטחת מידע במטרה ליישם הגנה בארגונים המטפלים בפרטי כרטיסי אשראי באמצעים שונים. יישום תקן זה על ידי חברה המחזיקה מידע פיננסי של לקוחות הינו חובה, ויתכן שבמקרה הזה, לא מומשו כל דרישות התקן.

דובר אקוויפקס טען כי בשני המקרים נעזרה החברה באותה חברת אבטחה – מנדיאנט – אך במארס נבעה תקרית האבטחה משירות הקשור למשכורות בשנת המס 2016. לדברי החברה תקרית זו דווחה ללקוחות, לאנשים שהושפעו ממנה ולרגולטורים.

התגלית החדשה מקשה עוד יותר להסביר את מכירת המניות של בכירים באקוויפקס

הגילוי על ההתקפה שבוצעה במארס מקשה עוד יותר על מאמצי אקוויפקס להסביר שורה של מכירות מניות שבוצעו באופן חריג על ידי מנהלים בכירים בחברה. אם יוכח כי מנהלים אלו מכרו מניות מתוך ידיעה שאחת ההתקפות, או שתיהן, עלולה לגרום נזק לחברה, הם עלולים לעמוד בפני האשמה בשימוש במידע פנים. מקורבים טוענים כי משרד המשפטים בארה”ב פתח בחקירה פלילית בנוגע למכירת המניות, למרות טענות אקוויפקס כי בזמן שבו מכרו את מניותיהם לא היה למנהלים הבכירים כל ידע על הפריצות שבוצעו.

מקרים כדוגמת החדירה לאקוויפקס צפויים להשפיע על הרגולציה בתחום אבטחת המידע ועל הלחץ של צרכנים על ארגונים להשתמש בכלים ותהליכים לחיזוק ההגנה על המידע שבמאגריהם.  NIST 800-53 הינו פרסום אמריקאי אשר ממליץ על בקרות אבטחת-מידע עבור מערכות מידע של הממשל, ומומלץ לפעול על פיו כדי למנוע פריצות מסוג זה.