Nul
Als je een Amerikaan met een credit geschiedenis — en ten minste 143 miljoen — je waarschijnlijk al weet je Equifax gegevens, waaronder in ieder geval uw naam, sofi-nummer, geboortedatum, woonadres en kan gestolen zijn.
Wie is de schuldige?
Volgens een onbewezen rapport door het eigen vermogen onderzoeksbureau Baird, citeert geen bewijs, de schuld valt op de open-source server framework, Apache Struts. De firma ‘ s bron, per rapport, wordt verondersteld te worden Equifax.
Apache Struts is een populair open-source software voor het programmeren van Model-View-Controller (MVC) framework voor Java. Het is niet, zoals sommige koppen had, een leverancier van software-programma.
Het is ook niet bewezen dat het Stutten was de bron van de opening van de hackers reed door.
In feite, een aantal koppen: sommige sindsdien teruggetrokken — alle bronnen één citaat van een niet-technische analist van een Equifax bron.
Dat is niet alleen verontrustend journalistically, het is problematisch vanuit een technisch oogpunt. In het geval het je nog niet opgevallen, Equifax lijkt volkomen en volledig clueless over hun eigen technologie. Equifax de eigen gegevens inbreuk detector is niet alleen nutteloos: het is onbetrouwbaar.
Toe te voegen belediging aan verwonding, de credit agency advies en support site ziet er op het eerste gezicht te worden van een nep -, phishing-type site: “equifaxsecurity2017.com.” Dat domein naam schreeuwt nep. En wat doet vragen als je er naartoe gaat? De laatste zes cijfers van uw sofi-nummer voor-en achternaam. In andere woorden, precies het soort van informatie die een hacker zou kunnen vragen voor.
Equifax ‘ s technische expertise, het is weergegeven, is minder dan aanvaardbaar.
Kan de oorzaak van de hack een Stutten gat in de beveiliging?
Een nieuwe en belangrijke Versterkingen security probleem werd ontdekt op 5 September. Maar, terwijl sommige sprong op het gat in de beveiliging meteen, er was een klein probleem met die theorie. Equifax toegelaten hackers gebroken had tussen medio Mei tot en met juli, lang voordat de meest recente Versterkingen fout werd onthuld.
Het is mogelijk dat de hackers vonden het gat op hun eigen, maar zero-day exploits zijn niet zo gebruikelijk zijn. Een citaat van de bekende security expert SwiftOnSecurity: “Vrij veel 99,99 procent van computer security incidenten zijn vergissingen van de problemen opgelost.”
Het is veel waarschijnlijker dat — als het probleem inderdaad was met de Versterkingen — het was een aparte maar even ernstig beveiligingslek in Struts, eerste patched in Maart.
Als dat het geval is, is het de schuld van Struts ontwikkelaars of Equifax ontwikkelaars, systeembeheerders, en hun management?
Ding, Ding, Ding! De mensen die liep code met een bekend “totale aantasting van de integriteit van het systeem” de schuld.
De Apache Struts Project Management Comité zegt in een verklaring dat terwijl ze sorry Equifax “last van een inbreuk op de beveiliging,” ze zijn niet klaar om de last voor deze all-time beveiliging fiasco. In plaats daarvan, de aanvallers “, ofwel een eerder aangekondigde kwetsbaarheid op een niet-gepatchte Equifax server of misbruik wordt gemaakt van een kwetsbaarheid niet bekend op dit punt in de tijd — een zogenaamde ‘ zero-day exploit,” aldus de verklaring.
Het lezen: “Als de tekortkoming werd veroorzaakt door het benutten van [September] CVE-2017-9805, het zou een zero-day exploit in die tijd.”
Ja-het is mogelijk dat de hackers gebruik gemaakt van een zero-day. Maar, sinds Equifax is nog niet onthuld in welke details, weten we niet. Inderdaad, Equifax, die had er bekend is over het probleem voor zes weken, nog niet verteld van de Apache Struts Project-of iemand anders-precies wat er mis ging.
De Veerpoten ontwikkelaars ook duidelijk maken dat:
De ontwikkeling van het team legt een enorme inspanningen in de beveiliging en bescherming van de software die we produceren, en het oplossen van problemen wanneer ze komen om onze aandacht. In afstemming met de Apache beveiligingsbeleid, zodra we een melding van een mogelijk beveiligingsprobleem we in particulier werk met de verslaggevende entiteit te reproduceren en oplossen van het probleem en de uitrol van een nieuwe release gehard tegen de gevonden kwetsbaarheid. Vervolgens hebben We in het openbaar aan te kondigen de beschrijving van het probleem en hoe op te lossen. Zelfs als de exploit code is bekend bij ons, we proberen in te houden deze informatie voor meerdere weken te geven Struts Framework gebruikers zo veel mogelijk tijd patch hun software producten voor exploits zal pop-up in het wild. Echter, sinds kwetsbaarheid opsporing en exploitatie is uitgegroeid tot een professioneel bedrijf, is en altijd zal het waarschijnlijk dat aanslagen zal optreden, zelfs voordat we het volledig openbaar maken van de aanval vectoren, door reverse engineering van de code die lost het beveiligingslek in de vraag of door het scannen naar nog onbekende kwetsbaarheden.
Hoewel het mogelijk werd het bedrijf getroffen door een zero-day aanval, wat meer waarschijnlijk is dat Equifax ‘ s lange lijst van fouten laat zien hoe technisch uitgedaagd, als niet geheel onzinnig, het is geweest.
Verwante artikelen:
Enorme Equifax inbreuk op gegevens bloot zoveel 143 miljoen klanten Equifax is dikke vette fail: Hoe het niet moet omgaan met een inbreuk op gegevens die We hebben getest Equifax de gegevens van schending checker — en het is eigenlijk nutteloos
0