По меньшей мере семь технологических гигантов до сих пор используют уязвимое программное обеспечение, которое хакеры использовали для атаки на Equifax в прошлом году.
Массовая утечка данных в Equifax в прошлом году должна была стать тревожным сигналом для всей отрасли.
Хакеры украл 145 миллионов записей воспользовавшись уязвимостью в широко используемом программном обеспечении веб-сервера с открытым исходным кодом, которое гигант кредитных рейтингов не удалось установить патч несколько месяцев назад. Имена, адреса, номера социального страхования и многое другое были украдены, в результате чего американцы оказались под угрозой кредитного мошенничества и кражи личных данных.
Но спустя год после выпуска исправлений некоторые из самых богатых компаний мира все еще используют или с тех пор внедрили то же самое ошибочное программное обеспечение.
Тысячи компаний загрузили уязвимые версии Апач Стратс, популярное программное обеспечение веб-сервера, используемое в списке Fortune 100 для предоставления веб-приложений на Java. Он часто используется для работы как внешних, так и внутренних приложений, включая общедоступный веб-сайт Equifax.
Ошибка, использованная при взломе Equifax исправлено в марте 2017 г., но Equifax так и не установил патчи.
Поскольку эти исправления стали доступны, данные, просмотренные ЗДНет показывает, что как минимум 10 800 компаний загрузили уязвимые версии программного обеспечения.
Данные, предоставленные Sonatype, фирмой по автоматизации с открытым исходным кодом, показывают, что более половины компаний из списка Fortune Global 100 используют уязвимые версии программного обеспечения.
Хотя фирма не назвала пострадавшие компании, четверть из них базируются в Северной Америке. Данные показали, что семь из них являются технологическими гигантами, а 15 — компаниями, предоставляющими финансовые услуги или страховыми компаниями.
Но даже после того, как были выпущены исправления и уязвимость получила широкую огласку после взлома Equifax, Данные Sonatype показывают, что только каждая пятая компания больше не использует уязвимые версии программного обеспечения.
Хотя периодически выпускаются новые версии Apache Struts — шесть раз с тех пор, как вышел патч, который мог помешать Equifax. атака — данные показали, что 23 компании из списка Fortune 100 Global в прошлом загружали уязвимые версии Struts тысячи раз. год.
Удача был первый сообщить данные.
Фонд программного обеспечения Apache, который поддерживает Struts, позволяет пользователям скачать устаревшие версии программного обеспечения, даже если они содержат известные уязвимости безопасности.
«У разработчиков будет ряд причин для загрузки старых версий Apache Struts, чтобы воспроизвести работу средах и диагностировать регрессии», — сказал Марк Кокс, член группы безопасности Apache Software Foundation. сказал ЗДНет в электронном письме. «Для производственного использования следует использовать последние версии, чтобы обеспечить устранение известных уязвимостей».
Он добавил, что фонд фиксирует недостатки в работе список Mitre CVE чтобы помочь пользователям и разработчикам сделать осознанный выбор версий, которые они развертывают.
Данные показывают, чему научились компании и как они действовали (и не действовали) после атаки на Equifax. Это стало крупнейшей утечкой американских данных в прошлом году и вызвало множество расследований на уровне штатов, федеральных и некоторых международных органов. Нападавшие пока неизвестны.
Гигант кредитного рейтинга в первую очередь обвинил программное обеспечение Struts за ошибку, но позже выяснилось, что за исправление серверов отвечал только один человек. Компания подверглась нападкам со стороны сообщества безопасности и законодатели за задержку раскрытия факта нарушения на несколько месяцев.
Кредитная фирма позже выяснилось что в некоторых случаях были украдены дополнительные данные, включая дополнительные данные водительских прав и некоторые идентификационные номера налогоплательщиков.
Тогдашний генеральный директор Equifax Ричард Смит ушел из компании. после нарушения. Бывший руководитель был позже предъявлено обвинение с инсайдерской торговлей.
Смотрите также
Есть подсказка?
Вы можете безопасно отправлять советы через Signal и WhatsApp по телефону 646-755–8849. Вы также можете отправить электронное письмо PGP с отпечатком пальца: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Прочитай сейчасЗДНЕТ РАССЛЕДОВАНИЯ
- Исследователи говорят, что у алкотестера есть недостатки, что ставит под сомнение бесчисленные убеждения
- Судебные иски угрожают исследованиям в области информационной безопасности — как раз тогда, когда они нам нужны больше всего
- Программа АНБ «Рэгтайм» нацелена на американцев, свидетельствуют просочившиеся файлы
- Утечка документов TSA раскрывает волну нарушений безопасности в аэропорту Нью-Йорка
- Правительство США заставило технологические компании передать исходный код
- Миллионы записей клиентов Verizon оказались раскрыты из-за брешей в системе безопасности
- Познакомьтесь с теневыми технологическими брокерами, которые передают ваши данные АНБ
- Внутри глобального списка террористов, который тайно следит за миллионами
- 198 миллионов американцев пострадали от «крупнейшей за всю историю» утечки данных об избирателях
- Британия приняла «самый жёсткий закон о слежке, когда-либо принятый в демократическом государстве»
- Microsoft заявляет, что на Windows 10 S не работает ни одна известная программа-вымогатель, поэтому мы попытались ее взломать
- Утечка документа раскрывает планы Великобритании по расширению наблюдения за Интернетом