Уряд США опублікував посмертний звіт про злом Equifax

Управління урядової звітності (GAO) опублікувало звіт, в якому детально описано, як стався злом Equifax і як компанія кредитної звітності відповідала під час і після інциденту.

Звіт настає за день до річниці публічне оголошення про злом Equifax який розкрив особисті дані 145,5 мільйонів американців, а й мільйонів громадян Великобританії та Канади.

Деякі деталі, включені до звіту, були вже відомі та повідомлялися раніше, але була й нова інформація. Нижче наведено короткий виклад найважливіших подробиць, пов’язаних із зломом Equifax, включених до реконструкції подій GAO.

також: Як влада США вистежила північнокорейського хакера, який стоїть за WannaCry

8 березня 2017 року Apache Foundation виправляє серйозну вразливість (CVE-2017-5638) у Apache Struts Java фреймворк, який на той час використовувався хакерами для захоплення додатків, закодованих поверх рамка.

Питання US-CERT a порада з безпеки того ж дня, попередивши компанії по всій території США про цей новий недолік безпеки.

також: Як стався злом Equifax і що ще потрібно зробити CNET

ІТ-адміністратори Equifax поширюють цю консультацію у внутрішньому списку розсилки. Невідомо ІТ-адміністраторам, список розсилки був застарілим і не включав усіх системних адміністраторів, що опосередковано призвело до неповного виправлення серверів Equifax.

Equifax повідомила GAO, що 10 березня, через два дні після консультації US-CERT, вона виявила зловмисників, які сканували її сервери на наявність цієї конкретної вразливості.

Представники Equifax заявили, що в результаті цього сканування невстановлені особи виявили сервер, на якому розміщено онлайн-портал суперечок Equifax, на якому працює вразлива версія Struts. Зловмисники отримали доступ до цієї системи, перевірили рівень доступу, але нічого не вкрали.

Через тиждень після консультації US-CERT співробітники Equifax сканують власні системи на наявність уразливості Struts, але портал суперечок не відображається як вразливий.

Хакери повернулися 13 травня, і цього разу, згідно зі звітом GAO, вони повернулися з планом і належними інструментами для його виконання.

За словами Equifax, під час цього другого вторгнення зловмисники надсилали запити з систем онлайн-порталу суперечок до інших баз даних у пошуках особистих даних.

«Цей пошук призвів до сховища даних, що містить ідентифікаційну інформацію, а також незашифровані імена користувачів і паролі, які могли надати зловмисникам доступ до кількох інших баз даних Equifax», — йдеться у звіті.

Ці дані допомогли зловмисникам розширити початковий доступ із трьох баз даних до 48. Журнали показали, що потім зловмисники запустили приблизно 9000 запитів, щоб зібрати інформацію про клієнтів Equifax.

У звіті GAO йдеться, що це сталося через те, що Equifax не вдалося сегментувати свої бази даних на менші мережі. Це, у свою чергу, дозволило зловмиснику отримати прямий і легкий доступ до всіх даних своїх клієнтів.

«Після успішного вилучення ідентифікаційної інформації з баз даних Equifax зловмисники видалили дані невеликими кроками, використання стандартних зашифрованих веб-протоколів, щоб маскувати обміни під звичайний мережевий трафік", - дослідники GAO сказав.

Хакери викрадали дані протягом 76 днів до 29 липня 2017 року, коли співробітники Equifax виявили вторгнення під час планових перевірок робочого стану та конфігурації ІТ-систем.

також: British Airways постраждали від крадіжки даних клієнтів

Equifax заявив, що хакери не були виявлені протягом 76 днів тому, що пристрій призначений для перевірки мережевий трафік був неправильно налаштований і не перевіряв зашифрований трафік на ознаки зловмисного діяльність.

За словами Equifax, пристрій не працював тому, що цифровий сертифікат допоміг би Термін дії обладнання для перевірки зашифрованого трафіку закінчився приблизно за десять місяців до злому, що перешкоджає роботі обладнання його робота.

Щойно співробітники Equifax поновили сертифікат, вони одразу побачили ознаки підозрілої діяльності.

також: 143 млн споживачів під загрозою масового витоку даних Equifax TechRepublic

Після розслідування того, що сталося, і виявлення вторгнення, Equifax заблокував портал суперечок 30 липня 2017 року та повідомив про інцидент свого генерального директора наступного дня. На цьому етапі компанія почала внутрішнє розслідування, яке завершилося публічним оголошенням про порушення 8 вересня 2017 року.

Під час підготовки до публічного оприлюднення злому різні люди також дізналися про інцидент безпеки. Комісія з цінних паперів і бірж США (SEC) стягнула Керівник Equifax і ан інженер для інсайдерської торгівлі в березні та червні цього року.

також: Premera Blue Cross звинувачують у знищенні доказів у позові про порушення даних

Величезна громадська реакція послідувала після повідомлення про порушення Equifax. Хоча дехто може подумати, що злом Equifax став наріжним моментом у захисті прав споживачів після витоку даних, за останній рік все не змінилося. У всякому разі, вони залишили неприємний присмак у роті кожного.

Для початку Бюро захисту прав споживачів виведено з повномасштабного зонда Equifax у лютому 2018 року. У травні 2018 р. Федеральна торгова комісія назвав колишнього юриста Equifax головою його відділу захисту прав споживачів доручено розслідувати Equifax на першому місці. А внесено законопроект про санкції проти таких компаній, як Equifax у разі жахливих порушень повільно вимирало, поки інший рахунок Кілька місяців потому було введено винагороду Equifax, незважаючи на порушення конфіденційності.

Звіт GAO, оприлюднений сьогодні, відкриває старі рани та став ляпасом для всіх постраждалих, які очікували дій і більше, ніж нескінченні розмови навколо цієї теми.