Non si placa la bufera su Equifax. L’agenzia di credito statunitense, una delle prime tre nel Paese, ha ammesso pochi giorni fa di aver subito un gigantesco attacco hacker che ha portato all’esposizione dei dati personali di 143 milioni di cittadini americani. Un’incursione scattata però a maggio, durata fino a luglio e la cui ammissione pubblica posticipata ha attirato non poche critiche sulla dirigenza dell’agenzia. Ma in queste ore si è aggiunta un’ulteriore tegola. Secondo quanto riportato da Bloomberg, che cita tre persone informate sui fatti, Equifax sarebbe stata a conoscenza anche di un’altra intrusione nei propri sistemi, avvenuta a marzo. Un attacco hacker compiuto dagli stessi attori, ma completamente scollegato dal secondo (e ben più grave) data breach. In sintesi, una situazione di caos totale che ha avuto come risultato il furto di milioni di record di dati sensibili, che ora sono nelle mani di pirati informatici completamente anonimi.
Al momento la principale “punizione” per l’agenzia di credito è arrivata da Wall Street, dove il titolo di Equifax ha perso in pochi giorni circa il 30 per cento del proprio valore, passando dai 142,72 dollari del 7 settembre, il giorno antecedente l’annuncio della manomissione dei sistemi, fino ai 94,38 dollari di ieri. Un crollo alimentato anche dal sospetto di insider trading che ha colpito almeno tre top manager dell’azienda, fra cui il direttore finanziario, accusati di aver venduto le proprie stock option giusto prima della comunicazione ufficiale del data breach.
Nel frattempo stanno proseguendo le indagini ed è di queste ore la notizia che il Dipartimento di Giustizia degli Stati Uniti ha aperto un fascicolo sul furto di dati. Un’inchiesta che vuole fare luce in particolare sul ruolo dei tre manager nella vendita delle azioni, non programmata in anticipo con la Securities Exchange Commission (Sec), l’autorità di vigilanza della Borsa.
In parallelo, pressati anche dalla rabbia dell’opinione pubblica sulla pessima gestione del caso, hanno rassegnato le dimissioni David Webb e Susan Mauldin, rispettivamente chief information officer e chief security officer della società, che secondo quanto ricostruito avrebbero un ruolo di responsabilità diretta nella violazione. L’opinione della società di cybersecurity Comodo è che i dirigenti usassero password molto deboli, tutte in minuscolo e senza simboli speciali, facilitando così il compito degli hacker.