На этой неделе Equifax, кредитное агентство, где летом произошла утечка данных 143 миллионов американцев, сообщило об увеличении количества жертв атаки.

Паулино до Рего Баррос мл. (Paulino do Rego Barros, Jr.), временно исполняющий обязанности генерального директора компании, в понедельник рассказал о том, что атака затронула еще 2,5 миллиона американцев и в результате общее количество пострадавших достигло 145,5 миллионов человек.

Сначала агентство Equifax сообщило, что расследование утечки «полностью завершено», но специалисты продолжают анализировать ситуацию вместе с Mandiant, дочерней компанией FireEye, которую они наняли для изучения инцидента безопасности. По словам представителей Equifax, исследователи не нашли новых уязвимостей. Число жертв атаки увеличилось на 2,5 миллиона человек за то время, когда специалисты Mandiant завершали свой анализ.

В понедельник компания напомнила о том, что жители Канады тоже пострадали от утечки, но не так серьезно, как предполагалось изначально: несколько недель назад среди жертв атаки числилось 100 000 канадцев, но после тщательного расследования выяснилось, что инцидент затронул лишь 8000 жителей этой страны.

Согласно Equifax, специалисты компании еще выясняют число жителей Великобритании, пострадавших во время инцидента, и вместе с регулирующими органами ищут способ уведомить их об этом.

Подробности утечки стали известны за день до того, как Ричард Смит (Richard Smith), бывший генеральный директор Equifax, должен был дать показания перед Подкомитетом по цифровой торговле и защите потребителей, входящим в Комитет энергетики и торговли США. Смит, бывший исполнительный директор Equifax, подал в отставку в прошлый вторник.

В письменных показаниях, опубликованных вместе с протоколом слушаний подкомитета, Смит объяснял утечку сочетанием «человеческой ошибки и технологических сбоев». По словам Смита, Группа быстрого реагирования на компьютерные инциденты Министерства внутренней безопасности США (U.S. CERT) 8 марта уведомила Equifax о необходимости исправить CVE-2017-5638 — уязвимость фреймворка Apache Struts, которая в итоге привела к взлому. 9 марта компания Equifax в электронном письме попросила «ответственных сотрудников» обновить Apache Struts, причем это нужно было сделать в течение 48 часов, говорит Смит. Это не было сделано, и, по словам Смита, уязвимость не была обнаружена в процессе внутреннего сканирования систем на уязвимости, проведенного 15 марта, и оставалась незамеченной еще долго. Через два месяца, 13 мая, злоумышленники проникли в системы Equifax, но обнаружена эта атака была лишь 30 июля.

Утром во вторник Грег Уолден (Greg Walden) (R-Ore.) указал на ряд серьезных ошибок Equifax, в числе которых размещение сайта для потребителей не на корпоративном домене, а на отдельном, возникшее замешательство и многочисленные случаи направления пользователей Equifax на неверный сайт.

«Помимо всего прочего, несколько раз компания Equifax публиковала в Twitter URL-адреса с ошибками — они направляли потребителей, которые хотели проверить, затронул ли их инцидент, на неверные сайты, — говорит Уолден. — Подобные ошибки недопустимы и наводят на мысль о том, что у компании не было плана действий на случай утечки и нет человека, ответственного за его выполнение».

Вопрос с использованием разных доменов для основного и клиентского сайтов поднял во время другого слушания американский политик Тим Мерфи (Tim Murphy). Когда Ричард Смит сообщил, что основной домен мог не справиться с нагрузкой, Мерфи был поражен.

«Почему ваш сайт не может справиться с этим трафиком? — спрашивал Мерфи. — Мне сложно поверить в то, что компания ваших размеров и с таким большим опытом не знает, как справиться с трафиком на 100 миллионов человек и выше. Разве вы не используете службу облачных вычислений Elastic, которая обладает достаточными мощностями для этого?»

По словам Смита, в масштабируемой облачной среде был размещен только клиентский микросайт, а традиционная среда основного сайта «не смогла бы справиться с 400 миллионами посещений за три недели».

Кроме того, Мерфи спросил у Смита, почему специалисты Equifax так долго исправляли мартовскую уязвимость, и есть ли вероятность того, что внутренняя система сканирования могла упустить еще одну уязвимость.

«Если внесение исправления заняло всего несколько дней, почему специалисты Equifax не смогли сделать это в марте, когда это было так необходимо?» — спрашивает Мерфи.

Смит уклонился от ответа: «Установка исправления может занять много времени… несколько дней, недель или того больше», — сказал Смит и добавил, что ничего не знает о конкретных уязвимостях Struts. Однако позже в ходе слушаний, еще раз описывая ситуацию, он все же признал, что в марте уязвимость не была найдена техническими средствами и ее начали исправлять только в июле.

Категории: Уязвимости