Equifax wurde bereits im Jahre 1899 als Finanzdienstleistungsunternehmen gegründet und ist das größte der drei bedeutenden Credit Bureaus. Das Unternehmen hat seinen Hauptsitz in Atlanta im amerikanischen Bundesstaat Georgia. Man könnte Equifax in etwa mit der deutschen Schufa vergleichen, denn bei beiden handelt es sich um eine privatwirtschaftlich geführte Wirtschaftsauskunftei zum Zweck der Sammlung wirtschaftsrelevanter Daten, wie zum Beispiel die aktuelle Bonität, von Privatpersonen und Unternehmen, um diese an Geschäftspartner weiterzugeben.
Betroffene Datensätze enthielten Namen, Sozialversicherungsnummern, Geburtsdaten, Adressen und teilweise sogar Führerschein- und Kreditkartendaten. Dieser Datendiebstahl gefährdet die Betroffenen besonders, da die Sozialversicherungsnummer in den USA oft zur Identifizierung genutzt wird, zum Beispiel bei Mobilfunk-Verträgen, Vermietungen oder Kreditanfragen. Zum Schutz vor Identitätsdiebstählen können sich alle US-Verbraucher kostenfrei bei Equifax für das ein Jahr gültige Sicherheitspaket "Trusted ID" anmelden. Bei dem Paket handelt es sich um eine dreifache Überwachung und zwar bei Equifax und den beiden großen Mitbewerben Transunion und Experian. Zusätzlich erhält man eine Versicherung gegen Identitätsdiebstahl, eine Kopie des eigenen Equifax Credit Reports und eine laufende Internetsuche nach der Sozialversicherungsnummer. Interessierte müssen sich derzeit noch gedulden und auf einen Termin warten, da der Andrang doch recht groß ist. Zusätzlich könnte man auch seine Equifax-Akte sperren lassen, allerdings kann dies einen erheblichen Mehraufwand für die Alltagsgeschäfte bedeuten. Für Nicht-US-Bürger gibt es aktuell noch keine Auskunft, in welchem Umfang Equifax helfen kann beziehungsweise helfen wird.
Dieser Hack war anscheinend nur möglich gewesen, da ein bereits im März bekannter Exploit versäumt wurde zu patchen. Über das Eindringen wurde das Unternehmen vom U.S. Homeland Security Department unterrichtet und der Patch wurde durch Apache Struts geliefert. Da das Equifax-Security-Team bei einem Scan keine verletzlichen Systeme feststellen konnte, wurde auch keine Update eingespielt. Diese Lücke wurde dann ausgenutzt, um zwischen dem 13. Mai und dem 30. Juli 2017 insgesamt 145 Millionen Datensätze abzugreifen. Ein Mitarbeiter von Equifax entdeckte am 29. Juli den erfolgreichen Angriff, am 31. Juli stellte man das System offline und am 2. August wurde die FireEye-Tochter Mandiant (amerikanisches IT-Sicherheitsunternehmen) mit der forensischen Untersuchung beauftragt. Erst am 7. September erfolgte die Börsenmitteilung.
Brisant ist dabei auch, das der Finanzchef von Equifax John Gamble bereits am 31. Juli 6.500 Aktien verkaufte, er lukrierte insgesamt 946.400 US-Dollar. Auch Joseph „Trey“ Loughran (President of US Information Solutions) setze 4.000 Aktien zum Gesamtpreis von 584.080 US-Dollar ab. Zudem trennte sich Rodolfo Ploder (Leiter der Personalabteilung) von 1.719 Aktien, was ihm 250.458 US-Dollar einbrachte. Laut US-Medien seien die drei zum Zeitpunkt der Aktienverkäufe noch nicht über den Hack informiert gewesen. Die Aktie fiel nach Bekanntwerden des Hacks insgesamt um ein Siebtel ihres Wertes. Nach massiver Kritik an Equifax trat Ende September Richard Smith von seinem Chefposten zurück. Der Informations- und Sicherheitschef wurde bereits Mitte September in den Ruhestand geschickt.
Leider ist es nicht das erste Mal, dass Equifax gehackt wurde. Zuletzt geschah dies Anfang 2013, denn da haben Unbekannte offenbar Finanzdaten und persönliche Informationen von Prominenten im Internet veröffentlicht. Unter den Betroffenen waren auch Michelle Obama, Al Gore, Hillary Clinton, Joe Biden, Donald Trump, Jay-Z, Beyoncé, Ashton Kutcher, Mel Gibson, Kim Kardashian, Paris Hilton und Britney Spears. Veröffentlicht wurden Kontaktdaten, Sozialversicherungsnummern und Informationen über Kredite und Hypotheken. Die Geschädigten äußerten sich zu den erbeuteten Daten nicht, weder um sie zu bestätigen, noch um sie zu dementieren.
