Equifax fatálně selhal v zabezpečení svých systémů
18.9.2017, Jan Vítek, aktualita
Případ společnosti Equifax je z hlediska úniku osobních údajů asi nejhorší v historii. Týká se totiž poloviny populace USA a útočníci získali dost informací na to, aby to stačilo na krádeže identity. Navíc se ukázalo, že tomuto úniku se dalo snadno předejít.
Stačilo by, kdyby správci počítačových systémů firmy Equifax dělali svou práci, což čítá mimo jiné i údržbu zabezpečení a aplikaci nejnovějších bezpečnostních záplat. Jedná se o MVC framework Apache Struts, který zůstal náchylný pro napadnutí i dlouho poté, co byla odhalena chyba označovaná jako CVE-2017-5638 týkající se uploadu souborů. Ta umožňovala, aby útočník pomocí stringu #cmd= vzdáleně prováděl příkazy.
Tato chyba byla opravena 6. března 2017 a Ars Technica uvádí, že v dalších dnech značně narostly pokusy o její zneužití, což přispělo k tomu, že byla vyhodnocena jako extrémně nebezpečná a také byla široce zmiňována v bezpečnostních bulletinech i jinde, aby se o ní správci včas dozvěděli a své systémy záplatovali. Jenomže Equifax byl napaden až v polovině května, čili více než dva měsíce poté, co se objevil patch.
To jen ukazuje, že značně kritizovaná reakce této firmy na únik informací je v podstatě jen důsledek všeho toho, co se děje pod korporátní pokličkou Equifaxu. Mluvilo se v tomto ohledu především o naprosté inkompetenci, jež se v plné nahotě ukázala třeba na tom, že veledůležité piny pro zmrazení dat o zákaznících byly generovány čistě jen na základě data a času, kdy o ně bylo požádáno.
Ostatně ani není divu, že takový laxní přístup k bezpečnosti se týká celé firmy, která spravuje velice citlivé informace o více než 140 milionech američanů. Tyto informace jsou nyní bezpochyby k dispozici na temných končinách webu a je jen otázka času, kdy to bude mít své následky.
Federal Trade Commission (FTC) už tento únik zkoumá a možná začne s vyšetřováním firmy Equifax, ale o tom se moc nedozvíme, neboť tato komise svá neukončená vyšetřování zpravidla nekomentuje. Přesto její mluvčí vzhledem k obrovskému dosahu úniku a zájmu veřejnosti potvrdil, že FTC se touto věcí zabývá. Není divu, že akcie Equifaxu míří strmě dolů a za nějakých 10 dní se jejich hodnota propadla ze 142 dolarů na aktuálních 92 dolarů. Zaměstnanci z vedení firmy tak opravdu dobře věděli, proč se jich zbavit ještě před ohlášením úniku informací.
Zdroj: Extremetech