На фоне скандальной утечки из американского бюро кредитных историй издание Quartz опубликовало исследование финансовой компании Robert W. Baird & Co. В нем высказывается предположение о том, как злоумышленники получили доступ к базам данных. По мнению экспертов, преступники воспользовались недавно раскрытой уязвимостью во фреймворке Apache Struts.

Вице-президент Apache Рене Жилен (René Gielen) отреагировал на публикации официальным заявлением на сайте компании. В защиту Struts он приводит два аргумента: отсутствие доказательств, что злоумышленники украли данные пользователей именно через эту брешь, и временной пробел между утечкой из Equifax и обнародованием уязвимостей во фреймворке.

«В отношении уязвимости CVE-2017-9805 нельзя забывать о разнице между обнаружением ошибки через несколько лет после выпуска продукта и знанием о ней на протяжении этого времени. Если бы тут был второй случай, нашей команде пришлось бы долго объясняться, почему они не исправили ее раньше», — объясняет Жилен.

Он добавил, что Apache Software Foundation прилагает «невероятные усилия», чтобы сделать свои продукты безопасными, и целенаправленно сдерживает распространение информации о еще не исправленных уязвимостях. Однако нет никаких гарантий, что злоумышленники не найдут их сами.

Таким образом, если преступники все-таки использовали брешь CVE-2017-9805, чтобы получить данные, то на тот момент она считалась уязвимостью нулевого дня и находилась вне зоны ответственности ASF.

Через некоторое время после публикации обращения Рене Жилена Quartz обновили текст на сайте, но предположили, что в атаке мог использоваться эксплойт CVE-2017-5638, позволяющий выполнять произвольные команды на сервере, изменив содержимое HTTP-заголовка.

Этого же мнения придерживается группа исследователей из Contrast Security. Специалисты утверждают, что злоумышленники скорее использовали уязвимость CVE-2017-5638, так как ее обнародовали в марте 2017 года, за два месяца до утечки, но, что важнее, она намного опаснее в сравнении с CVE-2017-9805.

Напоминаем, что 7 сентября одно из крупнейших в мире бюро кредитных историй призналось, что расследует утечку данных, которая могла затронуть 143 миллиона американцев.

Согласно заявлению на сайте фирмы, с середины мая по июль этого года киберпреступникам удалось воспользоваться уязвимостью неназванного веб-сайта в США, чтобы получить доступ к конфиденциальным данным. Equifax утверждает, что вторжение было обнаружено 29 июля. Исходя из этого, можно предположить, что у злоумышленников был доступ к данным бюро на протяжении почти 12 недель.

По словам представителей компании, злоумышленники получили доступ к номерам социального страхования, датам рождения, номерам водительских прав и адресам пользователей. Киберпреступники могли узнать номера кредитных карт 209 тысяч жителей США и получить доступ к другим документам, содержащим личные данные 182 000 других американцев.

Пострадали не только клиенты из США; по словам Equifax, утечка коснулась персональных данных жителей Великобритании и Канады. В компании не говорят, к данным какого типа злоумышленники получили доступ, но сообщают о разработке плана действий совместно с правоохранительными органами этих стран. Данные клиентов не из Великобритании, США и Канады в безопасности.

Equifax также заявила, что продолжает внутреннее расследование этого инцидента. Пока же пользователи могут узнать, затронула ли их эта атака, подав заявку на сайте equifaxsecurity2017.com.

Клиенты Equifax остались недовольны действиями компании в сложившейся ситуации. К примеру, они жалуются на недоступность телефонной справочной службы: если до нее и удавалось дозвониться, операторы не могли предоставить какую-либо информацию. «Спустя 48 минут меня наконец-то соединили с неким Кевином, и он сказал, что у Equifax нет списка пострадавших пользователей», — возмущается один из клиентов.

Даже вышеупомянутый сайт для информирования клиентов подвергся суровой критике. Кенн Уайт (Kenn White) шокирован: «Я думал, что люди шутят, но нет —  новый сайт Equifax, посвященный утечке, написан на базовом WordPress. ВАУ». Вдобавок ко всему, сайт не мог подтвердить достоверность сертификатов TLS, и через некоторое время компания OpenDNS заблокировала его по подозрению в фишинге (на данный момент его работоспособность восстановлена).

Категории: Главное, Кибероборона