Equifaxで信用情報が流出した事件には後日談があった。
個人や企業の信用情報を管理・評価しているEquifaxのサーバがハッキングされて、1億4,300万件の消費者の信用情報が流出した件で、同社は事件の詳細情報を提供するサイトを用意したが、間違って消費者を別のサイトに誘導してしまった。
同社は本件の詳細情報サイトとして「equifaxsecurity2017.com」を立ち上げた。そこから被害確認用のサイトに行って、自分の姓とソーシャルセキュリティナンバーの下6桁を入力すれば、自分のデータが盗まれたかどうかもわかるようになっている。
ところがThe Vergeによると、同社は影響を受けた可能性のある人に対しTwitterで「詳細は『securityequifax2017.com』へ」と案内してしまった。しかも、24時間近くそのミスに気づかず、少なくとも8回は間違ったURLでツイートしてしまった。
不幸中の幸いにも、間違ったURLのサイトは悪意のサイトではなく、ミスに気づいたNick Sweeting氏が注意喚起のために本物そっくりに作った「偽のフィッシングサイト」(つまり本物のフィッシングサイトではない・・・?)だったので、ここを訪れたことによる被害はなかった模様だ。
ただし、この詳細情報サイトがEquifaxの正式サイト「equifax.com」の中ではなく、別のサイトでしかもセキュリティの甘い作りになっていたため、このサイト自体がハッキングされたり偽サイトが作られたりする可能性が十分にあるとのことだ。
さらに、被害に遭ったかどうかを確認するサイトで姓に「Test」、ソーシャルセキュリティナンバーの下6桁に「123456」を入れてみたら、「あなたの個人情報は影響を受けた」との結果が出たとの報告もある。どんな確認をしているのか疑わしい。
同社は、今回の事件のお詫びとして、被害にあったかどうかに関わらず、同社の個人情報保護サービス「TrustedID Premier」を1年間無料で提供するというが、そのサービスを申し込むためには当然ながら個人情報を入力しないといけない。
しかも、その無料サービスを利用すると、同社を相手取った集団訴訟に参加しないことに同意したことになるらしく、その注意喚起も出回っている。
何を信じていいのかわからない状況になっている。
