Fast die Hälfte aller US-Bürger ist von dem Hack betroffen: Wie Motherboard berichtet, hatte Equifax bekanntgegeben, dass der Hack bereits im Mai stattgefunden hatte. Die Angreifer erbeuteten dabei die persönlichen Datensätze von Bürgern – neben Sozialversicherungsnummern auch Namen, Geburtstage und Adressen. Diese Informationen alleine dürften es Betrügern leicht machen, Identitäten für verschiedenste Zwecke zu stehlen. Hinzu kommen rund 209.000 Kreditkartennummern sowie eine ungenannte Zahl an Führerscheinnummern.
Equifax ist eigentlich eine Firma für Cybersicherheit, was den Vorfall noch verschlimmert. Wie Engadget schreibt, ist Equifax nicht nur für Liquiditätsprüfungen im Stil der Schufa zuständig, sondern betreibt auch Server, mit denen Kreditkartenbetreiber vor Dateneinbrüchen geschützt werden sollen. In einem Video erklärt CEO Rick Smith seine Sicht der Dinge:
Der Fall dürfte als eine der größten IT-Sicherheitspannen des Jahrzehnts in die Geschichte eingehen: Wenngleich der Yahoo-Hack mit über einer Milliarde gestohlener Nutzerdaten einen größeren Umfang hatte, haben Sozialversicherungsnummern, Adressen und Geburtstage eine ganz andere Qualität. Die Sozialversicherungsnummer eines US-Bürgers ist das nächste Equivalent zu einem permanenten Ausweis in dem Land ohne Meldepflicht – und letztlich die staatliche Identität eines Bürgers.
Equifax hat einen Dienst eingerichtet, mit dem Bürger der USA aber auch Kanadas und Großbritanniens prüfen können, ob sie von dem Hack betroffen sind. Auch juristisch dürfte die Sache noch Folgen haben: Wie inzwischen herausgekommen ist, haben drei Vorstandsmitglieder von Equifax, darunter CFO John Gamble, rund 1,8 Millionen Dollar in Aktien des Konzerns verkauft – und zwar zwischen der Entdeckung des Hacks im Juli und der öffentlichen Bekanntmachung am Donnerstag. Über die Legalität dieser Aktion muss wohl schon bald ein Gericht urteilen.