Po porušení Equifax sa veľké firmy stále spoliehajú na rovnaký chybný softvér

Minuloročný masívny únik dát v Equifaxe mal byť budíčkom pre celé odvetvie.

Hackeri ukradol 145 miliónov záznamov využívaním zraniteľnosti v široko používanom softvéri webového servera s otvoreným zdrojovým kódom, ktorým je ratingový gigant nepodarilo opraviť pred mesiacmi. Mená, adresy, čísla sociálneho poistenia a ďalšie údaje boli odobraté, takže Američania boli vystavení riziku úverových podvodov a krádeže identity.

Ale rok po vydaní záplat niektoré z najbohatších spoločností na svete stále používajú alebo odvtedy zaviedli rovnaký chybný softvér.

Tisíce spoločností si stiahli zraniteľné verzie Apache Struts, populárny softvér webového servera používaný v rebríčku Fortune 100 na poskytovanie webových aplikácií v jazyku Java. Často sa používa na napájanie front-end a back-end aplikácií - vrátane verejnej webovej stránky Equifax.

Chyba použitá pri hackovaní Equifax bola opravená v marci 2017, ale Equifax nikdy nenainštaloval záplaty.

Keďže tieto záplaty boli sprístupnené, údaje videl ZDNet ukazuje, že najmenej 10 800 spoločností si stiahlo zraniteľné verzie softvéru.

Údaje poskytnuté spoločnosťou Sonatype, open-source automatizačnou firmou, ukazujú, že viac ako polovica z rebríčka Fortune Global 100 používa zraniteľné verzie softvéru.

Hoci firma nechce menovať dotknuté spoločnosti, štvrtina z nich má sídlo v Severnej Amerike. Údaje ukázali, že sedem je technologických gigantov a 15 finančných služieb alebo poisťovacích firiem.

Ale aj keď boli vydané záplaty a chyba bola široko publikovaná v dôsledku hacknutia Equifax, Údaje spoločnosti Sonatype ukazujú, že iba jedna z piatich spoločností už nepoužíva zraniteľné verzie softvéru.

Hoci sa pravidelne vydávajú novšie verzie Apache Struts – šesťkrát od opravy, ktorá mohla zabrániť Equifaxu útok – údaje ukázali, že 23 firiem z rebríčka Fortune 100 si v minulosti tisíckrát stiahlo zraniteľné verzie Struts rok.

Fortune bol najprv nahlásiť údaje.

The Apache Software Foundation, ktorá spravuje Struts, umožňuje používateľom stiahnuť staršie verzie softvéru, aj keď obsahujú známe bezpečnostné chyby.

„Vývojári budú mať niekoľko dôvodov na stiahnutie starších verzií Apache Struts, aby reprodukovali beh prostredia a diagnostikovať regresie,“ povedal Mark Cox, člen bezpečnostného tímu Apache Software Foundation, povedal ZDNet v e-maile. "Na produkčné použitie by sa mali používať najnovšie verzie, aby sa zabezpečilo vyriešenie známych zraniteľností."

Dodal, že nadácia eviduje nedostatky s zoznam Mitre CVE pomôcť používateľom a vývojárom robiť informované rozhodnutia o verziách, ktoré nasadia.

Údaje odhaľujú, čo sa spoločnosti naučili - a ako spoločnosti konali (a nekonali) - po útoku Equifax. Stalo sa to najväčším porušením amerických údajov v minulom roku a vyvolalo viaceré štátne, federálne a niektoré medzinárodné vyšetrovania. Útočníci stále nie sú známi.

Prvý ratingový gigant obviňoval softvér Struts pre chybu, ale neskôr sa ukázalo, že za opravu serverov bola zodpovedná iba jedna osoba. Spoločnosť bola pošpinená bezpečnostnou komunitou a zákonodarcov za to, že mesiace odkladali odhalenie porušenia.

Úverová spoločnosť neskôr odhalené že v niektorých prípadoch bolo odcudzených viac údajov vrátane dodatočných údajov o vodičskom preukaze a niektorých daňových identifikačných číslach.

Vtedajší výkonný riaditeľ spoločnosti Equifax Richard Smith odišiel zo spoločnosti do dôchodku po porušení. Bývalý výkonný riaditeľ bol neskôr nabitý s dôverným obchodovaním.