Бюро кредитных историй (БКИ) Equifax сообщило о компьютерном взломе, от которого пострадала почти половина населения США — 143 млн. человек. Бюро занимается обработкой и хранением данных об исполнении физическими и юридическими лицами обязательств по кредитам и займам, а также предоставляют кредитные отчеты и оказывает другие сопутствующие услуги. В результате инцидента хакеры получили доступ к именам, номерам соцстрахования, датам рождения, адресам и, в отдельных случаях, номерам водительских удостоверений американцев. Помимо этого были украдены номера банковских карт 209 тыс. клиентов, а также юридические документы 182 тыс. клиентов. Об этом со ссылкой на заявление компании сообщает Reuters.
Помимо этого хакеры также овладели личными данными некоторых жителей Великобритании и Канады. БКИ заявило, что работает с правоохранительными органами и наняло для расследования компанию, специализирующуюся на кибербезопасности. «Это, несомненно, вызывающее разочарование событие для нашей компании, которое бросает тень на нас и на то, что мы делаем», — приводятся в заявлении слова исполнительного директора компании Ричарда Смита.
В отчёте William Baird & Co. утверждается, что взлом был совершён через уязвимость в веб-фреймворке Apache Struts, который применяется на портале оказания онлайн-услуг потребителям. Утечка была обнаружена 29 июля, но непосредственно взлом произошел в середине мая. Для взлома хакеры могли воспользоваться недавно раскрытой критической уязвимостью CVE-2017-9805 или уязвимостью, выявленной в марте (CVE-2017-5638). Обе проблемы позволяют выполнить на сервере сторонний код, при этом если веб-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root, в результате удалённой атаки может быть получен доступ с правами root.
Согласно новостному изданию QUARTZ, причиной утечки могла послужить именно сентябрьская уязвимость, присутствовавшая в популярном фреймворке в течение девяти лет. В случае Apache Struts проблема была устранена сразу после появления сведений об её наличии (о наличии проблемы было сообщено 17 июля, обновление с исправлением вышло 5 сентября, в тот же день выявившие проблему исследователи публично обнародовали данные об уязвимости).
Учитывая, что взлом произошел в мае, Apache Software Foundation не желает брать на себя ответственность за инцидент, произошедший до того, как ему стало известно о наличии уязвимости в Apache Struts. «Касательно утверждения, будто CVE-2017-9805 просуществовала в коде девять лет, поясняем. Есть огромная разница между обнаружением проблемы спустя девять лет с ее появления и осведомленностью о ней в течение нескольких лет. Если бы имел место второй вариант, команде пришлось бы потрудиться объяснить, почему она не исправила уязвимость раньше. Но в данном случае все обстоит по-другому. Мы только недавно узнали об использовании определенной части кода не по назначению и как можно скорее исправили проблему», — заявили представители Фонда.
Эксперты назвали утечку данных в Equifax очень серьезной. «По шкале от 1 до 10 она соответствует 10 баллам. Она влияет на всю кредитную систему США, поскольку никто не может изменить информацию, все используют одни и те же данные», — заявил аналитик Gartner Авива Литан, специализирующийся на мониторинге инцидентов, связанных с кражей личных данных и мошенничеством. Потерянная информация очень личная и вероятность того, что ее можно использовать для фишинга, очень высока, отметил Мэтт Тейт, бывший аналитик британской разведки GCHQ и специалист по кибербезопасности.
Случившееся — серьезный удар по репутации компании, специалистов которой нанимают для защиты пользовательских данных. «Вы почувствуете себя более защищенными с Equifax. Мы являемся ведущим поставщиком услуг в сфере защиты утечек данных и ежедневно обслуживаем более 500 организаций, столкнувшихся с утечками информации», — сообщается на сайте компании. Ситуация осложняется тем, что Equifax не предприняла никаких действий после того, как неизвестные проникли на ее серверы еще в мае и воровали информацию клиентов вплоть до конца июля. Почему представители компании молчали о случившемся несколько месяцев, неизвестно.