Effiax违约是完全可以预防的,如果它使用了基本的安全措施,众议院报告说。-王其杉博客|程序员|科技新闻
美国众议院监督委员会周一公布的一份报告得出结论,Equifax的安全做法和政策不达标,其系统陈旧过时,而烦恼于基本的安全措施,比如补丁易受攻击的系统,可能已经阻止了Equifax上次大规模的数据泄露。耳朵。
一年多前,世界上最大的信用评级机构之一的Equifax确认其系统已经落入黑客手中。全世界大约有1.43亿消费者受到影响,其中大部分在美国,但也有加拿大和英国,这个数字后来上升到1.48亿消费者。然而,迄今为止,该公司几乎没有受到任何影响,尽管一连串企业倒闭导致史上最大的数据泄露之一。
众议院的报告严厉批评了Equifax前首席执行官理查德·史密斯(Richard Smith)对黑客攻击的处理。
史密斯吹嘘说,这个信贷巨头每天“几乎持有1200次”国会图书馆保存的数据,但众议院的报告说,Equifax“未能实施足够的安全程序来保护这些敏感数据。”
“这种违反是完全可以预防的,”报告说。
该报告证实了大部分已知信息,但增添了先前未报告的新色彩和见解。信贷机构未能修补Apache Struts(一种常见的开放源码Web服务器)中公开的漏洞,国土安全部几个月前曾发出警告。未修补的Apache Struts服务器正在为它的五年之久供电(!)面向Web的系统允许消费者从公司网站上查看他们的信用评级。众议院小组发现,攻击者利用该漏洞在服务器上弹出一个web shell,并设法保持访问超过两个月,并且能够通过在一个服务器上获得一个未加密的密码文件来透视公司的各种系统,从而允许CKER访问超过48个数据库,包含未加密的消费信贷数据。
在此期间,黑客在数据库上发送了9000多个查询,分别在265个场合下载数据。
Equifax的前老板史密斯把责任推给了一个IT职员,因为他没有修补Struts系统。事实上,众议院的报告发现,这只是该公司对数据安全的傲慢态度的另一个例子。
报告称:“Equifax没有看到数据外泄,因为用于监控(易受攻击的服务器)网络流量的设备由于安全证书过期已经停用了19个月。”Equifax又花了两个月的时间更新了过期的证书,这时员工“立即注意到了可疑的网络流量”。甚至Equifax自己的前首席信息官大卫·韦伯——在事件发生后,他也“退休”了——告诉众议院调查人员,W.如果该公司在补丁发布后两天内更新了易受攻击的Struts系统,漏洞事件本来是可以避免的。
报告称:“如果在这次网络攻击之前,公司采取措施解决其明显的安全问题,数据泄露本来是可以避免的。”
两个月后,Erimax上市了。那也不是野餐。
当Erimax的“你有风险吗?”“网站并没有崩溃,而是发出了不正确的结果。随后,该网站很快被模仿,并且被Equifax自己的社交媒体工作人员无意中链接到了。当相关消费者最终通过该网站,他们得到了Equifax自己的信用冻结服务,这是踢出薄弱的PIN号码-唯一一件事,是保护消费者已经脆弱的信用。另一位安全研究人员发现信用冻结网站存在漏洞,让攻击者从敏感消费者数据中窃取信息。这时它的呼叫中心已经超负荷运行,许多呼叫中心都在努力回答基本问题。
总而言之,众议院的报告并没有阻止其批评——抨击信用评级机构糟糕的安全措施,特别是考虑到所涉及的数据——报告指出,消费者没有“选择退出这种信息收集过程的能力”。
Erimax对众议院报告的回应?采取守势。
Equifax发言人怀亚特·杰弗里斯说:“我们深感失望的是,委员会没有给我们提供足够的时间来审查和回复一份100页的报告,这份报告由高度技术性和重要信息组成。”声明继续说:“在几个小时内,我们被要求进行一次初步审查,我们识别出重大的不准确性,并且不同意许多事实调查结果。”
“这很不幸,并破坏了我们协助委员会为那些希望从我们处理2017年网络安全事件的经验中吸取教训的人们提供可信和彻底的公共资源的希望,”声明继续说。
当TechCrunch要求这些“重大不准确性”时,这位发言人回复时列出了一连串“事实错误”或挑剔,而不是指出与报告的重大差异,包括Equifax提供了两年的信用监控期,而不是如报告所述,一年后,报告提到了与州司法部长达成的尚未达成的明显和解。
一年后,Erimax丢失了你的数据,但却没有太多的影响。