Sudhakar Reddy Bonthu, kierownik ds. produkcji w dziale zarządzania oprogramowaniem w agencji kredytowej Equifax, otrzymał w sierpniu 2017 r. do wykonania projekt o nazwie kodowej «Sparta». Od swoich przełożonych usłyszał on, że projekt jest przeznaczony dla jednego z klientów firmy i ma dostarczyć interfejs użytkownika, który pozwoliłby jego własnym klientom sprawdzać online, czy są narażeni na naruszenie bezpieczeństwa. Bonthu nie poznał nazwy klienta. Został natomiast poinformowany, że projekt ma wysoki priorytet i musi być wdrożony do 26 września 2017 r.
Nazwa klienta nie była Bonthu do niczego potrzebna, a powierzone zadanie wykonał on we własnym interesie.
Podczas pracy nad projektem otrzymywał e-maile i brał udział w rozmowach, które uświadomiły mu, że naruszenie dotknęło co najmniej 100 milionów klientów i że ujawnione prywatne informacje obejmowały imiona i nazwiska, adresy, numery telefonów, daty urodzenia i numery ubezpieczenia społecznego. Pod koniec sierpnia 2017 r. Bonthu otrzymał również kopię e-maila, zawierającego plik z kompletem danych testowych.
Bonthu wywnioskował poprawnie, że projekt Sparta wcale nie ma na celu stworzenia witryny pomocnej przy wykrywaniu zagrożeń dla któregoś z klientów agencji Equifax, jak mówili mu przełożeni. Użytkownikiem witryny miała być sama Equifax. Dysponując tą poufną wiedzą, wykorzystał on konto maklerskie swojej żony i nabył 86 „opcji sprzedaży” akcji Equifax, co stanowi bezpośrednie naruszenie zasad obowiązujących w agencji. Opcje sprzedaży mogły przynieść zysk jedynie pod warunkiem, że cena akcji Equifax spadnie do 15 września 2017 roku.
Wszystkie swoje opcje sprzedaży Bonthu zbył 8 września, dzień po tym, jak Equifax ogłosił wiadomość o naruszeniu danych swoich 143 milionów amerykańskich klientów, powodując tym samym gwałtowny spadek cen akcji. W ciągu zaledwie sześciu dni zainwestowana kwota 2.166,11 dolarów urosła do 73.333,79 dolarów.
Zamieszkały w Atlancie, liczący 44 lata Bonthu odmówił współpracy w prowadzonym wewnątrz agencji śledztwie, w następstwie czego utracił pracę. Wprawdzie były kierownik produkcji uniknął więzienia, ale został skazany na osiem miesięcy aresztu domowego i grzywnę w wysokości 50.000 dolarów. Nakazany też został zwrot zysków z transakcji w obrocie papierami wartościowymi.
Z zamiarem uzyskania szybkiego zysku Bonthu celowo wykorzystał powierzone mu informacje. Integralność rynków giełdowych i zaufanie inwestorów są podważane przez tych, którzy wykorzystują niepubliczne informacje dla osobistych korzyści– powiedziałamerykański prokurator Byung Pak.
Bonthu nie jest jedynym pracownikiem Equifax, który został oskarżony o wykorzystanie informacji poufnych, w związku z naruszeniem bezpieczeństwa danych. W marcu były dyrektor ds. informatyki, odpowiedzialny w Equifax za rozwiązania biznesowe na terenie USA, został postawiony w stan oskarżenia po rzekomej sprzedaży akcji o wartości miliona dolarów. Do szczególnej konsternacji doszło jednak po tym, jak w zeszłym roku trzej menedżerowie wysokiego szczebla sprzedali swoje wspólne akcje Equifax o wartości 1,8 miliona dolarów, i to zaledwie kilka dni po tym, jak w agencji wykryto naruszenie danych.
„Kradzież poufnych danych przez pracowników bywa niezwykle kosztowne i tragiczne w skutkach dla firm. Jak pokazuje historia zazwyczaj ci najbardziej zaufani pracownicy wykradają dane. Aby zapobiegać sytuacjom kryzysowym niezwykle ważne jest sporządzanie dokumentów i umów poufności oraz zmiana haseł, a także możliwość łatwego odbioru dostępu swoim pracownikom”komentuje Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken.
Komentarze