03/10/2017 09:05 GMT+7

Cựu CEO: Equifax thất bại trong việc vá lỗ hổng an ninh từ tháng 3

ANH THƯ

TTO - Cựu giám đốc điều hành Equifax cho biết công ty đã được cảnh báo về lỗ hổng an ninh phần mềm dẫn đến việc tin tặc chiếm lấy thông tin cá nhân của hơn 140 triệu người dùng tại Mỹ từ tháng 3-2017 nhưng mất nhiều tháng để vá lại.

Cựu CEO: Equifax thất bại trong việc vá lỗ hổng an ninh từ tháng 3 - Ảnh 1.

Cựu giám đốc điều hành Equifax Richard Smith tuyên bố từ chức - Ảnh: Reuters

"Có vẻ như vụ việc đã xảy ra bởi lỗi ở con người lẫn sự thất bại của công nghệ" - cựu CEO Richard Smith viết trong bản khai được công bố bởi Ủy ban Thương mại và Năng lượng ngày 2-10.

Ngoài ra, cuối ngày 2-10, như Reuters đưa tin, Equifax cũng thông tin thêm rằng một đợt xem xét bên ngoài xác định thêm khoảng 2,5 triệu khách hàng Mỹ có khả năng bị ảnh hưởng bởi sự cố an ninh trên, nâng tổng số khách hàng bị ảnh hưởng lên 145,5 triệu người.

Công ty chuyên theo dõi và báo cáo chỉ số tín dụng người tiêu dùng của Mỹ cũng cho biết trong đợt xem xét trên, công ty đã phát hiện rằng chỉ có 8.000 khách hàng Canada bị ảnh hưởng chứ không như tuyên bố trước đó về việc có hơn 100.000 khách hàng Canada trở thành nạn nhân của tin tặc.

Theo bản khai của ông Smith, Bộ An ninh Nội địa Mỹ đã thông báo lỗ hổng an ninh với Equifax vào ngày 9-3 nhưng công ty đã không vá lỗ hổng này lại. Đến ngày 15-3 bộ phận an ninh thông tin của Equifax tiến hành quét để phát hiện bất kỳ hệ thống nào dễ làm tổn thương đến phần mềm đã được cảnh báo nhưng không tìm thấy vấn đề nào.

Do đó ông Smith nói rằng kết quả là "lỗ hổng vẫn còn trên ứng dụng web của Equifax lâu hơn mức cần thiết. "Một lỗ hổng không được vá sẽ cho phép các tin tặc truy cập vào các thông tin cá nhân" - ông Smith thừa nhận.

Trong bản lời khai ông Smith cũng nói rằng vụ xâm nhập lấy dữ liệu đầu tiên của tin tặc có lẽ đã diễn ra vào ngày 13-5. Ông Smith nói rằng "giữa 13-5 và 30-7, có bằng chứng cho thấy các tin tặc tiếp tục truy cập vào thông tin nhạy cảm".

Cựu giám đốc điều hành Equifax cho biết bộ phận an ninh chú ý đến các hoạt động khả nghi vào ngày 29-7 và chặn ứng dụng web trên vào ngày 30-7, chấm dứt việc bị xâm nhập. Ngày 2-8 công ty Equifax đã thông báo tình hình cho FBI và thuê một công ty luật và một công ty cố vấn để lấy lời khuyên về sự cố.

Ông Smith thông báo sự cố cho hội đồng quản trị công ty vào ngày 22-8. Ông Smith (57 tuổi) cho biết ông đã nghỉ hưu từ tuần trước và sẽ từ bỏ khoản tiền thưởng năm nay do bị chỉ trích về vụ tấn công. "Tôi đến đây để xin lỗi người dân Mỹ" - ông Smith nói.

Reuters cho biết ông Smith sẽ làm chứng tại 3 phiên điều trần riêng biệt tại quốc hội Mỹ trong tuần này.

ANH THƯ

Bình luận hay