Kreditbureau Equifaq was sinds maart al op de hoogte van de kwetsbaarheid die leidde tot de hack waarbij persoonsgegevens van 143 miljoen Amerikanen werden buitgemaakt.

Dat blijkt uit een verklaring van de eind vorige maand afgetreden ceo Richard Smith, die dinsdag over de hack getuigt voor het Amerikaanse congres.

In zijn getuigenis schetst Smith het precieze verloop van de hack, waaruit blijkt dat Equifax al op 9 maart bericht kreeg over een kwetsbaarheid in software die door het kredietbedrijf werd gebruikt.

Gratis software

Die berichtgeving kwam van het Amerikaanse ministerie van binnenlandse veiligheid. Het blijkt te gaan om de gratis serversoftware Apache Struts, zoals Equifax eerder heeft gemeld.

Volgens Smith is er volgens protocol een melding uitgestuurd naar medewerkers die de software van een beveiligingsupdate moeten voorzien. Dat is echter niet gebeurd. Ook bij een aanvullende scan op 15 maart zijn geen kwetsbare computersystemen geïdentificeerd door Equifax.

De hackers zouden op 13 mei voor het eerst de systemen van het kredietbedrijf zijn binnengedrongen, en als laatste op 30 juli. De hack werd op 29 juli door Equifax ontdekt.

Gevolgen hack

Het bedrijf maakte de cyberaanval en diefstal van persoonlijke gegevens van klanten begin september bekend. Verschillende topmensen van het bedrijf zijn inmiddels opgestapt, waaronder de twee medewerkers die verantwoordelijk waren voor de beveiliging.

Sinds de bekendmaking van de hack zijn meerdere aanklachten ingediend tegen Equifax en lopen er verschillende onderzoeken, onder meer naar handel met voorkennis. Een aantal topmensen verkocht een deel van hun aandelen in het kredietbedrijf, enkele dagen voordat de hack publiekelijk bekend werd.