Op 8 september 2017 werd duidelijk dat bij een hack van kredietbeoordelaar Equifax de privégegevens van 143 miljoen Amerikanen gestolen zijn. Dit betekent dat uiterst vertrouwelijke gegevens van 44% van de Amerikaanse bevolking in handen van derden gekomen zijn. De hack begon halverwege mei en werd pas op 29 juli opgemerkt, zo laat het bedrijf weten.
Met de gestolen data zijn kwaadwillenden in staat om bankrekeningen te openen, kredieten aan te vragen, credit cards en rijbewijzen aan te vragen op naam van de burgers van wiens data gestolen zijn (http://money.cnn.com/2017/09/11/technology/equifax-identity-theft/index.html).
Equifax heeft data van 800 miljoen personen
Equifax is één van de grootste kredietbureaus in de Verenigde Staten en bezit gegevens van meer dan 800 miljoen mensen en 88 miljoen bedrijven wereldwijd. De informatie wordt gebruikt om te bepalen of personen of ondernemingen kredietwaardig zijn. Bij de nu geopenbaarde hack zijn namen, social security nummers, geboortedata, adresgegevens en in sommige gevallen ook rijbewijsnummers van Amerikaanse burgers buitgemaakt. Ook hebben de aanvallers de creditcardnummers van 209.000 Amerikanen benaderd en bepaalde documenten die de persoonlijke identificeerbare informatie van 182.000 Amerikanen bevatten.
Struts kwetsbaarheid misbruikt
Via een kwetsbaarheid in een webapplicatie wisten aanvallers toegang tot verschillende bestanden te krijgen. De hack vond plaats via een beveiligingslek in Apache Struts, zo claimen onderzoekers van onderzoeksbureau Baird Equity (pdf). Het is echter onbekend om welk lek het precies gaat. Struts is een opensourceframework voor het ontwikkelen van Java-webapplicaties.
Op 6 maart van dit jaar verscheen er een belangrijke beveiligingsupdate voor de Struts software die een kwetsbaarheid verhielp waardoor aanvallers servers waarop Struts-applicaties draaiden konden overnemen. Een paar dagen na het uitkomen van de Struts-update werd de kwetsbaarheid al actief aangevallen. Zo gebruikten aanvallers het beveiligingslek om servers onderdeel van een botnet te maken.
Incident had eenvoudig voorkomen kunnen worden
Zoals hiervoor beschreven wordt was er al maanden een beveiligingsupdate beschikbaar die ernstige Struts kwetsbaarheden verhielp. Equifax heeft deze update niet geïnstalleerd en was daardoor kwetsbaar voor een aanval. Of er een bewuste afweging gemaakt is om de update niet te installeren, is niet duidelijk. Door de aard van de data van Equifax en het feit dat de webapplicatie publiek beschikbaar is vind ik het meer aannemelijk dat ze de update over het hoofd hebben gezien.
Kennelijk heeft Equifax geen scanning en monitoring ingeregeld of is hier niet adequaat op gereageerd. Wanneer Equifax het Guardian360 platform ingezet zou hebben was al snel duidelijk geworden welke webapplicaties en -servers kwetsbaar waren voor de Struts kwetsbaarheid. Ons platform scant namelijk al vanaf 10 maart 2017 op deze kwetsbaarheid. Niet alleen zouden wij de kwetsbaarheid gevonden hebben, de oplossing voor het verhelpen van de kwetsbaarheid wordt ook door ons geboden.
Impact had ook lager kunnen zijn
Ook wanneer Equifax er bewust voor gekozen had om de update niet te installeren had de impact veel lager kunnen zijn. Wellicht zijn er afwegingen gemaakt waardoor het installeren van de update (nog) niet kon. Equifax had er ook voor kunnen kiezen om maatregelen te treffen zoals wij met de Hacker Alert bieden. Door op bepaalde plekken in een webapplicatie, database of op een webserver ’struikeldraden’ aan te brengen worden kwaadwillenden snel betrapt. Daardoor kan een hack op een vroeg moment onderbroken worden en de schade beperkt worden.