Der Hack beim US-Unternehmen Equifax hat für den IT-Chef nun doch Konsequenzen – er muss für 4 Monate in den Knast. Die Strafe wurde nicht wegen fehlender Sicherheit oder wegen des nicht verhinderten Hacks, sondern wegen damit verbundener Insider-Geschäfte verhängt.
Anzeige
Der Equifax-Hack
Es war so etwas wie der größte anzunehmende Unfall (GAU), der die amerikanische Wirtschaftsauskunftei Equifax im Jahr 2017 getroffen hat. Equifax ist die größte Wirtschaftsauskunftei in den USA. Privatpersonen können zudem ihre Kreditkartenbewegungen auf ungewöhnliche Aktivitäten überwachen lassen, wie man hier nachlesen kann. Auch im Bereich Identitätsdiebstahl wollte diese Firma punkten.
Das Unternehmen war seit Monaten gehackt, ohne dass man es bemerkte. Private Daten von Millionen US-Bürgern wurden von den Hackern abgezogen. Laut Equifax waren die Cyber-Kriminellen von Mitte Mai bis Ende Juli 2017 am Werk und hatten Zugriff auf:
- Namen
- Sozialversicherungsnummern
- Geburtsdaten
- Adressen
- Führerscheinnummern (in einigen Fällen)
- Kreditkartennummern (von ca. 209.000 US-Konsumenten)
Außerdem wurden auch persönliche Daten von einigen Bewohnern aus der UK und Kanada entwendet. Ich hatte im Blog in diversen Artikeln, unter anderem im Beitrag GAU: US Wirtschaftsauskunftei Equifax gehackt, berichtet. Der Hack war auf fehlende Patches von Apache Struts zurückzuführen und auch nach dem Hack machte das Unternehmen bzw. dessen Management eine extrem schlechte Figur. So hat das Management wohl Stunden vor Bekanntgabe der Nachricht über den Hack seine Aktien verkauft.
Juristisches Nachspiel für den IT-Vorstand
Anzeige
Genau dieser Aktienverkauf holte den IT-Vorstand (Chief Information Officer, CIO) von Equifax nun ein. Jun Ying, der damalige CIO von Equifax, mittlerweile gefeuert, hatte Unternehmensaktien, die er hielt, rechtzeitig vor der Bekanntgabe des Hacks verkauft. Er wollte, wie auch einige seiner Vorstandskollegen, noch schnell Kasse machen.
(Quelle: Pexels / Pixabay CC0 Lizenz)
Jun Ying verkaufte alle seine Aktien im Wert 1 Million US-Dollar und machte wohl einen Gewinn von fast 500.000 Dollar. Ohne Verkauf hätte er dagegen einen (zumindest buchmäßigen) Verlust von 117.000 Dollar erlitten. Der Verkauf unter solchen Konstellationen wird in den USA als Insider-Handel bestraft (als IT-Chef hatte Ying Kenntnis des Vorgangs). Der Kurs der Aktien fiel nach der Veröffentlichung des Hacks erwartungsgemäß drastisch.
Jun Ying wurde folglich angeklagt und bekannte sich im März des Insider-Handels schuldig. Wie ich gerade bei heise lese, hat er jetzt eine Haftstrafe von vier Monaten sowie eine Bewährungsstrafe von einem Jahr bekommen. Zudem muss er 55.000 US-Dollar Strafe zahlen und es werten 117.000 Dollar vom Gewinn abgeschöpft. Bei heise ist zu lesen, dass auch ein Software-Entwickler, der 2+2 zusammen zählte, als er neue Aufträge bekam und dann Put-Optionen auf fallende Kurse orderte, inzwischen ebenfalls verurteilt wurde.
Ähnliche Artikel:
GAU: US Wirtschaftsauskunftei Equifax gehackt
Equifax-Hack Schlampereien: Apatche Struts ungepatcht
Equifax bereits im März 2017 gehackt
Equifax-Hack nutzte Apache Struts-Lücke
Equifax schickte Kunden auf Phishing-Site
Equifax: Prüfseite nutzlos und anfällig für XSS
Untersuchungsbericht zum Equifax-Hack
Anzeige
"Auch im Bereich Identitätsdiebstahl wollte diese Firma punkten."
Das ist ihr ja auch hervorragend gelungen, leider im negativen Sinn.
Bleibt die Frage, wofür das Personal der IT bezahlt wird.
In einem derart hoch sensiblen Geschäftsbereich solch unverzeihliche Schluderei ist nicht wirklich entschuldbar.
"Der Hack war auf fehlende Patches von Apache Struts zurückzuführen…"
Es müssen Warnhinweise missachtet worden sein, die auf den Sicherheitspatch hingewiesen haben.
112$/Stunde Gehalt – nicht schlecht *grrrrrr*
500.000$ Gewinn = 4 Monate Haft, -55.000$, -117.000$ = 328.000$ "Verdienst" für rund 122 Tage [=rund(um-die-Uhr) 2.928 Stunden] => Verbrechen zahlt sich aus. Kann einem richtig leid tun der arme Kerl. Wenn er so weiter macht wird er noch hochrangiger Politiker da drüben.