El regulador financiero del Reino Unido multó a Equifax Ltd. con más de £11 millones (USD 13,4 millones) por no proteger los datos de los consumidores del Reino Unido robados en la notoria violación de datos de 2017.
La Autoridad de Conducta Financiera (FCA) anunció la sanción financiera el 13 de octubre de 2023. La FCA declaró que el negocio de Equifax en el Reino Unido no tomó las medidas adecuadas para proteger los datos personales de 13,8 millones de consumidores del Reino Unido en poder de su empresa matriz con sede en Estados Unidos.
En 2017, el servicio de seguimiento crediticio con sede en EE. UU. informó de una violación de datos de 143 millones de registros. El incidente fue descubierto en julio de 2017, pero pasaron otras seis semanas antes de que fuera revelado al público en septiembre.
Durante el incidente, los actores de amenazas explotaron una vulnerabilidad de Apache Struts sin parchear para obtener acceso a información confidencial.
Los piratas informáticos pudieron acceder a los detalles de los consumidores del Reino Unido porque Equifax Ltd. había subcontratado datos a los servidores de Equifax Inc en EE. UU. para los procesos. Esto incluía nombres, fechas de nacimiento, números de teléfono, detalles de inicio de sesión de membresía de Equifax, detalles de tarjetas de crédito parcialmente expuestos y direcciones residenciales.
La FCA dictaminó que el robo de datos del Reino Unido era “completamente evitable”. Sin embargo, como Equifax no trató su relación con su empresa matriz como subcontratación, no proporcionó suficiente supervisión sobre cómo se gestionaban y protegían los datos que enviaba. Esto a pesar de que existen «debilidades conocidas en los sistemas de seguridad de datos de Equifax Inc».
El regulador señaló que Equifax Ltd no descubrió que se había accedido a datos de consumidores del Reino Unido hasta seis semanas después de que su empresa matriz descubriera el hackeo. La empresa del Reino Unido solo fue informada aproximadamente cinco minutos antes del anuncio oficial en septiembre de 2017.
Esto provocó retrasos en informar a los clientes del Reino Unido que se había accedido a su información.
La FCA dijo que las declaraciones públicas de Equifax Ltd sobre el impacto del incidente «dieron una impresión inexacta del número de consumidores afectados».
En 2019, Equifax Inc. acordó pagar 575 millones de dólares como parte de un acuerdo con la Comisión Federal de Comercio y 50 estados de EE. UU. por sus fallas de seguridad durante el incidente.
En 2018, la Oficina del Comisionado de Información (ICO) del Reino Unido impuso una multa de 500.000 libras esterlinas a Equifax en relación con el mismo incidente. Se descubrió que Equifax había contravenido cinco de los ocho principios de protección de datos de la Ley de Protección de Datos de 1998 al proteger los datos de los ciudadanos del Reino Unido.
