[ad_1]

À la suite de l’attention médiatique attendue depuis longtemps sur les révélations selon lesquelles une unité commerciale du bureau de crédit Expérian vendu des données personnelles de consommateurs directement à un service en ligne qui s’adressait aux voleurs d’identité, Experian tente à juste titre d’expliquer sa version de l’histoire en publiant une série de points de discussion. Ce billet de blog est une tentative d’ajouter plus de contexte et de vérification des faits à ces points de discussion.

Experian a publié plusieurs articles sur ses propriétés Web qui déplorent l’existence «d’informations inexactes sur Experian circulant dans les organes de presse et d’autres sites Web».

« Il n’est pas surprenant que la cybercriminalité et les violations de données soient des sujets brûlants pour les médias et les blogueurs ces jours-ci », a écrit Gerry Tschopp, vice-président senior des affaires publiques chez Experian. « Malheureusement, en raison de toute l’attention portée à ces sujets, nous avons vu des informations inexactes sur Experian circuler dans les médias et d’autres sites Web. Je veux prendre un moment pour clarifier les faits et les événements.

j’ai lu cette clarification de prèset il semble que Les derniers points de discussion d’Experian méritent des éclaircissements et une vérification des faits. Vous trouverez ci-dessous les affirmations d’Experian sur les faits (en gras), suivies de quelques informations supplémentaires passées sous silence par lesdites déclarations de fait.

-Aucune base de données Experian n’a été consultée. Les données en question ont à tout moment été détenues et conservées, non par Experian, mais par une société appelée US Info Search.

Comme tous de mes histoires sur cet incident l’ont explicitement déclaré, le gouvernement a déclaré que les données n’avaient pas été obtenues directement d’Experian, mais plutôt via US Info Search, basé à Columbus, dans l’Ohio. US Info Search avait un accord contractuel avec une société californienne nommée Court Ventures, selon lequel les clients de Court Ventures avaient accès aux données US Info Search ainsi qu’aux données de Court Ventures, et vice versa. Experian est entré en scène en mars 2012, lorsqu’il a acheté Court Ventures (avec tous ses clients, y compris le propriétaire du service d’usurpation d’identité).

Pour sa part, US Info Search affirme que l’explication des événements par Experian est basée sur de fausses déclarations et de fausses déclarations, et que le propriétaire du service de vol d’identité a payé Experian pour son accès en utilisant d’importants paiements en espèces envoyés à Experian par virement bancaire depuis Singapour.

« Experian a fourni l’accès aux enregistrements via une passerelle qui utilisait plusieurs sources de données et le suspect n’a jamais eu accès à notre service », Marc Martin, PDG de US Info Search dit dans une déclaration écrite. « Nous, comme beaucoup d’autres, fournissons des données à Experian, qui à son tour a vendu des données aux clients qu’ils ont approuvés et surveillés. Notre accord avec Court Ventures puis Experian était de fournir des informations qui étaient utilisées pour la vérification d’identité et la prévention de la fraude.

-En outre, la seule implication d’Experian était qu’elle a acheté les actifs d’une société, Court Ventures, qui a fourni l’accès aux données de US Info Search aux clients de Court Ventures. En vertu de ce contrat, les clients de Court Ventures, y compris le criminel dans cette affaire, pouvaient accéder aux données de US Info Search. Ce n’était pas une base de données Experian, et plus précisément, ce n’était pas une base de données de crédit.

Experian a le devoir de faire preuve de « diligence raisonnable » sur les entreprises qu’elle souhaite acquérir, car elle sait qu’en achetant une entreprise, elle acquerra tous les actifs de l’entreprise – y compris les dettes, les passifs ou les mauvaises décisions que les propriétaires précédents pourraient avoir contractés à cette fin. jusqu’à créer des problèmes sur la route. Experian veut blâmer tout le monde, mais de son propre aveu, Experian n’a pas effectué une diligence raisonnable appropriée sur Court Ventures avant d’acquérir la société. S’adressant à un comité du Sénat américain en décembre dernier, le vice-président directeur de la politique gouvernementale d’Experian, Tony Hadley, a admis que « pendant le processus de diligence raisonnable, nous n’avions pas un accès total à toutes les informations dont nous avions besoin pour vérifier complètement cela, et au moment où nous avons appris le malversation, neuf mois s’étaient écoulés et les services secrets sont venus à nous et nous a raconté l’incident. Nous avons été victimes et arnaqués par cette personne.

De plus, si ce n’était pas clair à ce jour, le mantra de relations publiques d’Experian sur cette crise a été qu ‘«aucune base de données d’Experian n’a été consultée», dans cette fraude. Mais ce mantra détourne l’attention de la vraie victime : les consommateurs dont les informations ont été vendues par la société d’Experian directement à un service d’usurpation d’identité. Une question essentielle à poser à cette ligne de pensée est la suivante : Pourquoi est-ce important de savoir à qui appartient la base de données, si elle contient des informations personnelles et qu’Experian a profité de sa vente ?

-Court Ventures vendait les données en question au criminel pendant plus d’un an avant qu’Experian n’acquière les actifs de Court Ventures.

Vrai. Ce qui suggère que l’équipe de diligence raisonnable d’Experian aurait dû disposer de nombreuses preuves pour détecter une activité frauduleuse du type généré par un service d’usurpation d’identité utilisant son réseau. Peut-être tout aussi important, Court Ventures a continué de vendre des dossiers de consommateurs au service de vol d’identité pendant près de 10 mois après l’acquisition de la société par Experian.

-En outre, toute implication selon laquelle il y a eu une violation de 200 millions d’enregistrements est entièrement fausse et trompeuse – alors que la taille de la base de données peut être de 200 millions, cela ne signifie pas que le nombre total d’enregistrements a été consulté.

Cette publication n’a jamais déclaré qu’il y avait eu une violation de 200 millions d’enregistrements. Mais il est vrai que BreachTrace.com a été le premier à rendre compte des informations contenues dans les déclarations gouvernementales faites lors de l’audience de plaidoyer de culpabilité de Hieu Minh Ngo — l’homme qui a admis avoir dirigé le service d’usurpation d’identité. Dans ces déclarations, les procureurs du ministère américain de la Justice ont déclaré que Ngo – en faisant croire à Court Ventures qu’il était un détective privé – avait accès à environ 200 millions de dossiers de consommateurs. Comme je l’ai dit précédemment, cependant, Ngo devait payer pour les dossiers auxquels il avait accès, et il gérait un service qui facturait les clients pour chaque recherche de dossiers qu’ils effectuaient.

Une transcription (PDF) de la procédure de plaidoyer de culpabilité de Ngo obtenue par BreachTrace montre que son entreprise de vol d’identité a attiré plus de 1 300 clients qui ont payé au moins 1,9 million de dollars entre 2007 et février 2013 pour rechercher des numéros de sécurité sociale, des dates de naissance, des adresses, des adresses, numéros de téléphone, adresses e-mail et autres données sensibles sur plus de trois millions d’Américains.

Enfin, Experian a cessé la vente de ces données dès qu’il a pris connaissance du problème et a travaillé en étroite collaboration avec les forces de l’ordre pour traduire ce criminel en justice (l’auteur a récemment plaidé coupable). Nous prenons l’affaire au sérieux et avons déposé une plainte contre les anciens propriétaires de Court Ventures pour avoir autorisé la vente des données de US Info Search à Ngo (l’auteur), et avons l’intention de tenir ces personnes entièrement responsables de leur conduite en établissant l’accès au données pour un voleur d’identité à l’insu d’Experian.

Si c’était vraiment US Info Search – et non Court Ventures – dont la base de données a été consultée dans ce stratagème, Pourquoi Experian poursuit Court Ventures ? [Update, 9:03 P.M.: Databreaches.net has a good explanation to this question, which happens to support previous research of mine on why this breach could be far bigger than 3 million Americans).

Original story:

Here’s a far more important question that Experian needs to answer: What has the company done to make things right with the Americans whose identities were stolen because of this whole fiasco? 

Regarding those victims, Experian’s Mr. Hadley stated under oath in front of a U.S. Senate committee that “we know who they are, and we’re going to make sure they’re protected.” But, incredibly, in the very next breath Hadley seemed to suggest that none of the millions of consumers whose data was stolen by Ngo and his identity theft service had experienced any danger of identity theft or were even in need of Experian’s protection.

“There’s been no allegation that any harm has come, thankfully, in this scam,” Hadley told the committee.

For his part, US Info Search CEO Martin says it doesn’t appear that Experian is interested in notifying anyone.

“We have cooperated and assisted the authorities in their investigation and from the onset have urged Experian to make timely notifications,” Martin wrote in an email to BreachTrace. “In addition, Experian never notified us of the breach as required by state statute, and to date has not cooperated with our investigation, nor provided us with the queries the suspect ran.”

Experian has declined to answer questions about whether it has lifted a finger to help consumers impacted by this scheme, or to clarify its apparently conflicting statements about whether it believes anyone has been harmed by its (in)action. But then again, what exactly would the company do? Offer them a year’s worth of dubiously valuable credit monitoring services? Oh wait, that’s right, Experian practically invented the hugely profitable credit monitoring industry, whose services are negotiated and purchased en masse virtually every time there is a major consumer data breach. Br’er Rabbit would be so proud.

In summary, Experian wants you to remember that the consumer data sold to Ngo’s identity theft service didn’t come directly from its database, but merely from the database of a company it owns. But happily, there is no proof that any of Ngo’s customers — who collectively paid Experian $1.9 million to access the data — actually harmed any consumers.

Readers who find all of this a bit hard to swallow can be forgiven: After all, this version of the facts comes from a company that has been granted a legal right to sell your personal data without your consent (opting out generally requires you to cut through a bunch of red tape and to pay them a fee on top of it). This from a company that is quibbling over which of its business units profited from the sale of consumer records to an identity theft service.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *