Lösenord är måhända inte enkelt, men framförallt ska de inte vara enkla. Det framgår med all önskvärd tydlighet i fallet Equifax. Företaget Equifax tillhör tillsammans med Experian och TransUnion ”The Big Three” inom kreditpoäng för privatpersoner och företag. Equifax samlar och aggregerar kredituppgifter för 800 miljoner privatpersoner och 88 miljoner företag över stora delar av världen, och säljer tjänster för kreditbevakning och mot bedrägerier.

Dataläckan hos Equifax skedde 2017 och anses vara en av de värsta i historien. Läckan drabbade inte bara väldigt många människor, utan det handlade dessutom om känsliga data. I den stämningsansökan som lämnats in i delstaten Georgia i USA, där Equifax har sitt huvudkontor, framgår det att företaget misskött sina it-säkerhetsmässiga åtaganden å det grövsta, rapporterar bland andra Forbes.

”Idiotsäkert sätt att bli hackad”

Det mest graverande är förmodligen att administratörskontot till den portal där kunderna kunde hantera dispyter kring kreditpoäng hade ”admin” som användarnamn och lösenord, alltså en klassisk admin/admin. Denna webbserver var dessutom inte uppdaterad och patchad i laga ordning. Enligt stämningsansökan är detta ett ”idiotsäkert sätt att bli hackad”.

Utöver detta lagrade Equifax okrypterade lösenord på en publik server som även den hade kunnat bli hackad relativt enkelt. I de fall Equifax faktiskt hade krypterat lösenorden lämnade de nyckeln på samma publika server. Equifax hade heller inte krypterat sin mobilapp.

I juli i år dömdes Equifax till att böta 700 miljoner dollar, alltså runt 6,5 miljarder kronor, varav 425 miljoner dollar har avsatts till en fond för att kompensera drabbade kunder. Taket för kompensationen per person är satt till 20 000 dollar, men det ser allt mer ut som att många drabbade kunder inte ens kommer att få minimisumman på 125 dollar.

Den amerikanska myndigheten FTC (Federal Trade Commission) har redan konstaterat att Equifax inte kommer att ha råd att kompensera alla drabbade kunder. Dessa kommer istället att erbjudas gratis kreditbevakning.

Läs också:
Så mycket kostar ett dataintrång – men det går att minimera skadan
Kraftig ökning av antalet dataintrång – 4 miljarder lösenord på vift