Расследование подтвердило, что причиной успешной атаки хакеров на Equifax, завершившейся компрометацией персональных данных 143 млн американцев, явилась нерадивость сетевых администраторов: они не удосужились вовремя установить патч для уязвимости CVE-2017-5638, вышедший еще в марте.

В минувшую среду на сайте компании появилось следующее заявление: «Equifax активно расследует незаконное вторжение, прибегнув к помощи одной из ведущих независимых ИБ-компаний. Мы стараемся определить, к какой информации был получен доступ и кто пострадал. Установлено, что преступники использовали уязвимость в приложении на американском веб-сайте — CVE-2017-5638 в Apache Struts. Расследование ведется во взаимодействии с правоохранительными органами, которым уже переданы индикаторы компрометации».

Это заявление положило конец разногласиям экспертов: когда стало известно об утечке, появились предположения, что злоумышленники проникли в базу данных Equifax, воспользовавшись уязвимостью в Struts. Какой именно, оставалось только догадываться. Одни называли недавно закрытую CVE-2017-9805, другие грешили на более давнюю CVE-2017-5638, также пропатченную, — к примеру, специалисты из Contrast Security.

«Мартовская уязвимость — более вероятный кандидат, — признал в субботней записи на сайте Contrast Security Джефф Уильямс (Jeff Williams), технический директор компании. — Ее проще эксплуатировать, и она шире известна, к тому же больше подходит по временным рамкам: ее раскрытие состоялось за несколько месяцев до июльской атаки на Equifax».

«Замена, новое тестирование и повторное развертывание могут длиться месяцы, — пишет далее эксперт, поясняя возможную причину отсутствия важного патча в сетях Equifax. — Я недавно был у крупного телеком-провайдера, так этот процесс занимает у него более четырех месяцев и обходится в миллионы долларов. При этом из-за отсутствия защиты среды исполнения все процедуры приходится повторять каждый раз, когда объявляется новая уязвимость в какой-либо библиотеке».

Известный специалист по криптографии Брюс Шнайер (Bruce Schneier) в среду внес свою лепту в обсуждение атаки на Equifax, заявив, что, как и в случае с IoT, единственным решением в борьбе с утечками такого рода является вмешательство на правительственном уровне. «Урегулирование практики в отношении безопасности в компаниях, хранящих наши данные, и наложение штрафов на тех, кто ее не придерживается, позволит сделать так, что небрежное отношение к вопросам обеспечения безопасности станет более дорогим удовольствием, чем надежная защита, — пояснил эксперт в своем блоге. — Тот же эффект получится, если предоставить пострадавшим от утечки частным лицам возможность выигрывать иски с вердиктом: хранение персональных данных в открытом доступе причиняет ущерб».

В тот же день, как будто сговорившись со Шнайером, сенатор-демократ Марк Уорнер (Mark Warner) от штата Вирджиния послал запрос в Федеральную торговую комиссию США, требуя начать расследование утечки в Equifax и практик компании в отношении кибербезопасности. Два других сенатора запросили у Equifax дополнительную информацию об июльском инциденте.

Громкое событие в мире ИБ привлекло также внимание известного журналиста и исследователя Брайана Кребса (Brian Krebs). По его данным, утечка затронула не только жителей США, Канады и Великобритании, как сообщила Equifax, но также аргентинцев. Как поведал Кребсу глава Hold Security Алекс Холден (Alex Holden), два работника этой компании, родом из Аргентины, обнаружили на местном портале Equifax имена, email-адреса и ID-коды социального страхования служащих аргентинских компаний. Со слов Холдена, доступ к этому сайту был «широко распахнут и защищен лишь легко угадываемой комбинацией логин — пароль, вроде admin/admin». Кребс не преминул проверить: этот портал был закрыт после того, как юристы Equifax взяли все в свои руки и запустили внутреннее расследование и поиск виновников.

Категории: Главное, Уязвимости, Хакеры