Krebs on Securityに9月17日(米国時間)に掲載された記事「Ayuda! (Help!) Equifax Has My Data! - Krebs on Security」が、1億4000万超の顧客情報流出が報じられたEquifaxについて、アルゼンチンオフィスで、社会保障番号などの重要な情報を含むデータに対し、推測しやすいユーザー名とパスワードでアクセスできる状態であることが判明したと伝えている。
Equifaxのアルゼンチンオフィスの従業員向けポータルは、アカウント名「admin」、パスワード「admin」という組み合わせでアクセス可能であり、これを発見するのに多くの時間は必要なかったと説明している。
記事によると、上記のアカウントとパスワードでポータルにログインしてから、従業員のアカウント情報にアクセスすることができ、それらパスワードが平文の状態で存在していたという。さらに、それらはアカウント名と同じだったとしており、従業員の名前がわかればポータルにログインできる状態になっていたと指している。
加えて、ポータルでは、過去10年間にわたり顧客から寄せられた苦情に関するデータを閲覧することが可能であり、データには顧客の電話番号、メールアドレス、アルゼンチンの社会保障番号などが含まれていたという。
Equifaxは、世界有数の米国の消費者信用情報企業で、先日セキュリティインシデントによって約1億4,300万人の顧客情報が流出した可能性があると発表。漏洩したデータの一部には英国およびカナダの顧客データも含むとしている。
同社は米国以外でも事業を展開している。記事ではHold Securityの情報技術マネージャーの発言として、アルゼンチンの多くの個人情報が存在しないセキュリティによって保護されている事実に驚きを禁じ得ないという指摘を取り上げている。