8 сентября руководство американского кредитного агентства Equifax объявило о взломе своих серверов. В результате, произошла одна из самых масштабных утечек информации за последние годы. По данным компании, неизвестные мошенники получили доступ к информации о 143 млн человек в США. Количество пострадавших в других странах (Equifax работает в 15-ти) до сих пор не известно.
Equifax — одно из трех крупнейших бюро кредитных историй в США. Компания содержит личные данные половины граждан США, а также стран Северной и Южной Америки, Европы и Азии. Компания работает с 1899 г. Информация Equifax используется в разных случаях, в том числе при выдаче кредитов.
Взлом Века
Компания официально заявила миру о взломе в начале сентября. В то же время, руководство компании узнало о проникновении на серверы еще в конце июля. По словам руководства, с конца июля до начала сентября Equifax пытался разобраться в ситуации, но не стал уведомлять своих клиентов.
После проведения внутреннего расследования выяснилось, что злоумышленники получили доступ к серверам в мае. Таким образом, больше двух месяцев они имели полностью открытый доступ к личной информации миллионов человек по всему земному шару, включая номера социального страхования и водительских удостоверений, имена, адреса и так далее. В 209 000 случаях они также получили доступ к информации о банковских картах.
В первом сообщении о взломе не упоминалось о его причинах. Только через несколько дней Equifax добавил, что виновато в случившемся некое веб-приложение.
Поиск виноватых
Вскоре выяснилось, что этим приложением оказался Apache Struts, Java EE веб-приложение, которое применяется во многих энтерпрайз-приложениях компаний из списка Fortune 100, к примеру: Lockheed Martin, Citigroup, Vodafone, Virgin Atlantic, Reader’s Digest, и так далее.
В сообщении на сайте equifaxsecurity2017.com, созданном специально для информирования о последствиях взлома, компания сообщила, что для проникновения использовалась уязвимость в приложении Apache Struts CVE-2017-5638 — приложение с открытым исходным кодом, которое Equifax использует в веб-приложении для онлайн-споров.
В Apache Software Foundation не стали отрицать наличие проблем с этим кодом, но уточнили, что баг в нем был выявлен и исправлен еще в марте, а все клиенты получили детальные инструкции как устранить уязвимость. «Большинство нарушений, о которых мы узнаем, вызваны неспособностью обновить программные компоненты, которые, как известно, уязвимы в течение нескольких месяцев или даже лет», — писал вице-президент Apache Struts René Gielen.
В Equifax было достаточно времени для устранения ошибок кода. Они этого не отрицают. В том же сообщении Equifax упоминает, что проблема была обнаружена в начале марта этого года и что IT-команда компании предприняла все возможные попытки для устранения ошибки в своем приложении.
Эксперт по IT-безопасности Бас Ван Шайк считает усилия Equifax недостаточными для предотвращения взлома.
«Эта уязвимость была раскрыта еще в марте. Были четкие и простые инструкции о том, как исправить ситуацию. Затем ответственность за то, чтобы компании имели процедуры, чтобы быстро следовать таким советам», — говорит он. — «Тот факт, что Equifax впоследствии подвергся нападению в мае, означает, что Equifax не последовал этому совету. Если бы они сделали так, это нарушение не произошло бы».
Эксперт считает, что злоумышленникам было легко войти в систему. «Как только они идентифицируют системы Equifax как уязвимые, фактическое использование уязвимости для доступа к серверам и сети Equifax, к сожалению, будет относительно легко», — говорит Ван Шайк.
Есть и вторая версия. По данным издания QZ.com причиной проникновения стала уязвимость в Apache Struts CVE-2017-9805. Баг присутствовал в коде девять лет, но был обнаружен только в июле. В официальном сообщении Apache Foundation отметили, что нужно понимать разницу “между обнаружением уязвимости девятилетней давности и уязвимостью, о которой было известно многие годы. Во втором случае команде разработчиков было бы трудно придумать хороший ответ на вопрос, почему проблему не исправили раньше. Но это действительно не такой случай, нас лишь недавно уведомили о том, что определенная часть кода может использоваться не по назначению. И мы устранили проблему в кратчайшие сроки».
Компания также сообщила, что сервера были доступны для взломщиков с 13 мая по 30 июля. По некоторым данным, взлом произошел сразу же после обнаружения бага — 7 марта.
По информации международного агентства Bloomberg, хакеры выявили уязвимость в серверах Equifax 10 марта, сразу же после обнаружения бага. До 29 июля, когда компания обнаружила взлом, мошенники создали множество бэкдоров, для отключения которых киберкоманде Equifax понадобилось отключить пользовательский портал на 11 дней.
Как пишет издание Quartz, уязвимость в Struts относится к тому, как приложение обрабатывает данные, отправленные на сервер. Взломщики могут использовать загрузку файлов, чтобы вызвать ошибку, которая позволяет им отправлять вредоносный код или команды на сервер. Первые попытки использовать уязвимость случились сразу же после ее обнаружения, но Apache немедленно разработал патч и исправил ошибку.
Все же, официальной причиной взлома стала уязвимость CVE-2017-9805, которая была устранена еще в марте. Apache выпустил обновления, но Equifax не позаботилось о решении проблемы.
История не учит
Американский журналист Браян Кребс также выяснил, что следы взлома прослеживаются и в Аргентине. С помощью компании Hold Security LLC он установил, что доступ на онлайн-портал Equifax в Аргентине — Veraz (“Правдивый”) — был “широко открыт, защищен одним из самых простых для разгадывания комбинаций пароля: “admin/admin”.
После взлома каждый человек мог увидеть имена 100 работников компании в Аргентине, их ID и email адреса. На странице “Список пользователей” у каждого посетителя была возможность изменить список: удалить или добавить учетные записи пользователей.
Также у взломщиков открывался доступ к паролям к учетным записям с помощью фунции “view source”. К тому же, все пароли были простые — на основе имен пользователей.
После входа в систему любой желающий мог увидеть информацию о кредитных спорах и данные DNI — Номер социального страхования. Таким образом, можно было прочесть 14 тыс. таких записей.
Кроме этого, еще стало известно, что компания направляла пользователей не на официальный сайт для пострадавших, созданный сразу после обнародования информации о взломе, а на поддельную страницу.
Взлом Equifax поставил множество вопросов в профессиональной среде, главный среди которых — конфиденциальность в эру участившихся провалов кибербезопасности. Хранилища данных, вроде Equifax, очень огромны. Их работа состоит в том, чтобы собирать, обрабатывать и продавать информацию о различных людях, которая используется как для получения кредита, так и для оформления аренды. Поэтому нужно еще больше работать над безопасность таких баз данных, что может лишь отсрочить очередной взлом, но никак не предотвратить его полностью.
UAevent