Případ společnosti Equifax je z hlediska úniku osobních údajů asi nejhorší v historii. Týká se totiž poloviny populace USA a útočníci získali dost informací na to, aby to stačilo na krádeže identity. Navíc se ukázalo, že tomuto úniku se dalo snadno předejít.
Odměníme každého! Vyplňte komunitní průzkum a získejte luxusní ceny
Kdo jste, na čem a co hrajete, jaký obsah konzumujete a jaký vztah máte k AI? Věnujte nám pár minut a jako dárek za vyplnění získáte slevu na nákup a šanci získat také další luxusní ceny.
Stačilo by, kdyby správci počítačových systémů firmy Equifax dělali svou práci, což čítá mimo jiné i údržbu zabezpečení a aplikaci nejnovějších bezpečnostních záplat. Jedná se o MVC framework Apache Struts, který zůstal náchylný pro napadnutí i dlouho poté, co byla odhalena chyba označovaná jako CVE-2017-5638 týkající se uploadu souborů. Ta umožňovala, aby útočník pomocí stringu #cmd= vzdáleně prováděl příkazy.
Tato chyba byla opravena 6. března 2017 a Ars Technica uvádí, že v dalších dnech značně narostly pokusy o její zneužití, což přispělo k tomu, že byla vyhodnocena jako extrémně nebezpečná a také byla široce zmiňována v bezpečnostních bulletinech i jinde, aby se o ní správci včas dozvěděli a své systémy záplatovali. Jenomže Equifax byl napaden až v polovině května, čili více než dva měsíce poté, co se objevil patch.
To jen ukazuje, že značně kritizovaná reakce této firmy na únik informací je v podstatě jen důsledek všeho toho, co se děje pod korporátní pokličkou Equifaxu. Mluvilo se v tomto ohledu především o naprosté inkompetenci, jež se v plné nahotě ukázala třeba na tom, že veledůležité piny pro zmrazení dat o zákaznících byly generovány čistě jen na základě data a času, kdy o ně bylo požádáno.
Ostatně ani není divu, že takový laxní přístup k bezpečnosti se týká celé firmy, která spravuje velice citlivé informace o více než 140 milionech američanů. Tyto informace jsou nyní bezpochyby k dispozici na temných končinách webu a je jen otázka času, kdy to bude mít své následky.
Federal Trade Commission (FTC) už tento únik zkoumá a možná začne s vyšetřováním firmy Equifax, ale o tom se moc nedozvíme, neboť tato komise svá neukončená vyšetřování zpravidla nekomentuje. Přesto její mluvčí vzhledem k obrovskému dosahu úniku a zájmu veřejnosti potvrdil, že FTC se touto věcí zabývá. Není divu, že akcie Equifaxu míří strmě dolů a za nějakých 10 dní se jejich hodnota propadla ze 142 dolarů na aktuálních 92 dolarů. Zaměstnanci z vedení firmy tak opravdu dobře věděli, proč se jich zbavit ještě před ohlášením úniku informací.
