Nem mindennapi helyzet állt elő az amerikai adatbiztonság terén: Howard Herships beperelte a TransUnion LLC-t egy csoportos kereset keretében, ami az Illinois állambeli szövetségi bíróságon fut jelenleg. A vád szerint a hitelminősítő cég nem tudta megfelelően megvédeni ügyfelei személyes adatait egy 2025 júliusában történt súlyos adatvédelmi incidens során. És hogy miért érdekes ez nekünk? Mert a történet nem csak egy távoli amerikai cégről szól, hanem arról is, milyen sebezhetővé válhatnak a személyes adatok még a legnagyobb vállalatoknál is – és ez bárkivel megtörténhet.
Mi történt pontosan a TransUnion-nál?
A vádak szerint a TransUnion adatvédelmi incidense körülbelül 2025. július 28-án történt, amikor illetéktelenek hozzáfértek egy harmadik fél által biztosított alkalmazáshoz, amit a TransUnion az Egyesült Államokban az ügyfélszolgálati műveleteihez használt. Ez az alkalmazás volt az ajtónyitó az adatokhoz – és sajnos nem zárták be eléggé.
Howard Herships szerint a TransUnion nem tett meg minden szükséges lépést annak érdekében, hogy megvédje a személyes azonosításra alkalmas információkat (PII), különösen amiatt, hogy túlzottan támaszkodott harmadik fél szolgáltatókra. Ez a bizalmi lánc végül gyenge pontnak bizonyult.
Milyen adatok kerültek veszélybe?
A per szerint több mint 4,4 millió ember neve, születési dátuma és társadalombiztosítási száma került illetéktelen kezekbe. Ezek olyan érzékeny információk, amelyekkel könnyen vissza lehet élni – gondolj csak bele, milyen károkat okozhat egy ilyen adatlopás!
Miért hibázott a TransUnion?
A keresetben Herships azt állítja, hogy a TransUnion mulasztása abban rejlik, hogy nem biztosított megfelelő kiberbiztonsági intézkedéseket. A harmadik fél alkalmazásának biztonsági résein keresztül jutottak be az illetéktelenek, akik kihasználták a TransUnion és beszállítója közötti bizalmi kapcsolatot.
Ez a helyzet rávilágít arra, mennyire kockázatos lehet egy vállalat számára, ha nem ellenőrzi kellőképpen partnereinek biztonsági protokolljait. A per szerint ez egyértelmű hanyagságra utal – és ez nem csak jogi kérdés, hanem komoly etikai probléma is.
Milyen következményekkel járhat mindez?
A felperes és az érintett csoport tagjai most jelentősen megnövekedett kockázatnak vannak kitéve: csalásoknak, személyazonosság-lopásnak és más hasonló bűncselekményeknek. Nem csoda hát, hogy Herships kompenzációt követel saját maga és minden érintett számára – beleértve kártérítést és büntető jellegű díjakat is.
Hogyan folytatódik az ügy?
A perben Herships képviseletét Amy Keller és Rebecca Trickey (DiCello Levitt LLP), valamint Norman E. Siegel, Barrett J. Vahle és Tanner J. Edwards (Stueve Siegel Hanson LLP) látják el. A kereset száma: Case No. 1:25-cv-15428, amelyet az Illinois Északi Kerületi Szövetségi Bíróság Keleti Osztályán tárgyalnak.
Érdekességként megemlíthető, hogy nem sokkal az incidens után már egy másik per is indult ugyanebben az ügyben ugyanott – tehát ez nem egy elszigetelt jogi akció.
Mit tanulhatunk ebből?
Ez az eset jól mutatja, hogy még a legnagyobb hitelminősítő cégek sem immunisak az adatvédelmi kihívásokra. Ha te is aggódsz amiatt, hogy személyes adataid biztonsága nincs teljesen garantálva – jogosan teszed! –, akkor érdemes odafigyelni arra, hogyan kezelik ezeket az információkat a cégek.
És te mit gondolsz? Szerinted elég szigorúak ma a vállalatok adatvédelmi intézkedései? Vagy inkább úgy látod, hogy ezek az esetek csak a jéghegy csúcsát jelentik? Írd meg kommentben!
