skip to main | skip to sidebar
14 commenti

Equifax: aggiornamenti sul disastro informatico, incompetenze incredibili

Credit: Mister Metokur.
La settimana scorsa ho segnalato l’attacco informatico sferrato contro Equifax, che ha consentito la sottrazione di dati estremamente sensibili riguardanti le valutazione creditizia di 143 milioni di utenti, circa metà della popolazione statunitense: un bersaglio ghiottissimo per truffe e furti d’identità di ogni genere.

Ora stanno emergendo i dettagli di questo attacco, e il comportamento di Equifax sta somigliando sempre più a una barzelletta amara.

Per esempio, l’attacco è stato reso possibile perché Equifax non aveva installato gli aggiornamenti di Apache Struts, secondo la Apache Software Foundation e le ammissioni della stessa Equifax.

Non ha certo complicato la vita agli intrusi il fatto che Equifax “proteggeva” uno dei suoi database in Argentina usando come login e password il classico admin:admin, come racconta CNBC.

E il ricercatore di sicurezza Kevin Beaumont ha trovato, pubblicamente accessibili sul sito di Equifax, i resoconti dell’audit di sicurezza effettuati qualche anno fa dalla KPMG.



Come li ha trovati? Facendo una semplice ricerca in Google.



Poco dopo la segnalazione, i documenti sono stati rimossi (non prima che me ne scaricassi una copia).

Equifax ha anche messo a disposizione degli utenti un servizio d’emergenza che generava un PIN per “proteggere” la propria situazione, ma è emerso che il PIN era semplicemente un numero progressivo composto dalla data e dall’ora corrente, quindi facilissimo da scoprire per forza bruta.

Come se tutto questo non bastasse, Ars Technica segnala che gli intrusi sono riusciti a raccogliere dati sulle transazioni di circa 200.000 carte di credito, risalenti oltretutto fino a novembre 2016. Questo fatto indica che o Equifax non stava cifrando i dati delle carte o c'era un componente del suo software che dava accesso ai dati in forma decifrata; inoltre la conservazioni di questi dati sarebbe stata una violazione degli standard basilari del settore.

Ma ormai è piuttosto chiaro che ancora una volta una grande azienda del settore dei servizi è stata colta ad usare consapevolmente metodi e processi di sicurezza assolutamente inadeguati.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (14)
Che Equifax abbia assunto la gente scartata da Beppe Grillo per lo sviluppo di Russeau? :-)
@Guastulfo
O viceversa?? :-))
Ah, i danni da tutorial di YouTube... "anche tu azienda di ciber security in 5 minuti".
Oppure, ancora, hanno provato a fare "poca spesa, tanta resa" e non gli è riuscito bene...
Non c'è molto da stupirsi. Non conosco l'agenzia Equifax, ma so come funzionano le cose in Italia e immagino non funzioni tanto diversamente altrove.
Tipicamente le grosse aziende (private o pubbliche) che svolgono servizi per il pubblico si rivolgono ad aziende di consulenza che mandano a lavorare, appunto, dei consulenti.

Ora, mentre l'obiettivo dell'azienda specifica è quello di fornire un servizio ed essere pagata per quel servizio, l'obiettivo dell'azienda di consulenza è quello di mandare in giro quanti più consulenti possibile, magari pagandoli meno possibile per aumentare il margine di guadagno. A questo proposito quindi rivendono alle aziende anche neolaureati NON FORMATI adeguatamente (non tutte, intendiamo i), spacciandoli per esperti. Il neolaureato, per definizione, non ha esperienza, e non per colpa sua, ma perché non ha mai lavorato (essendosi appena laureato è difficile in effetti...). Trovandosi davanti a un problema da risolvere, lo risolve come crede meglio. Purtroppo tante volte il suo "meglio" non corrisponde al meglio. Patatrac. L'idea di usare il timestamp come pin non è stata un'idea geniale (neanche lontanamente), ma neanche mandare gente non formata adeguatamente è stata un'idea geniale.

Concludo: non me ne vogliano i consulenti, non ho nulla contro i consulenti, avrei invece qualcosa da dire verso il "fantastico" mondo della consulenza in generale. Se riguardo il codice scritto quando ho iniziato a lavorare mi vengono i brividi, per fortuna che da quel codice non dipendevano la privacy e i soldi di nessuno...
..consulente neolaureato, sì. Laureato per cirrispondenza, aggiungerei...
@Massimo
Condivido in parte quello che dici sulla consulenza, nel senso che è vero che le società di consulenza cercano di piazzare più consulenti possibili, però sulla formazione degli stessi, beh, il mio moroso ha fatto per anni il consulente ed ho un amico che fa tuttora il lavoro di selezionare e piazzare consulenti: neolaureati se ne sono sempre visti pochissimi: dipende da che clientela hai.
Semmai delle volte ho visto delle consulenze più lunghe di contratti a tempo indeterminato, soprattutto nelle aziende del biomedicale!
Credo, poi, che il tipo di casino che hanno combinato non possa essere riconducibile alle azioni sconsiderate di uno o due pasticcioni inesperti: deve avere radici ben più profonde.
Poi, oh, credo che quasi tutti, non solo tu, andando a rivedere i lavori fatti all'inizio della carriera lavorativa sarebbero tentati di mettere un paio di baffi finti... :-D
Lavoro in Italia nella consulenza da più di 10 anni e non mi stupisce affatto il "disastro informatico" descritto e le mancanza "incredibili". Qualche genio molti anni fa si è inventato l'outsourcing informatico e le aziende hanno pensato di risparmiare ad affidare i propri servizi informatici ad aziende esterne (servizi informatici che spesso gestiscono il "core business" dell'azienda). Il risultato è stato un disastro totale. Le aziende non spendono meno (anzi spendono molto di più), si trovano software che non funziona, i progetti sono in ritardo nel 90% dei casi e le falle di sicurezza sono enormi. I motivi sono tantissimi, non basterebbe un libro a scriverli tutti. Il settore della consulenza in Italia è un disastro infinito.
"Qualche genio molti anni fa si è inventato l'outsourcing informatico e le aziende hanno pensato di risparmiare"



Non è una questione di risparmio, ma di delega di responsabilità, per cui in quasi tutte le aziende sono disposti a spendere anche 10 volte tanto, basta che a togliere le castagne quotidiane dal fuoco ci debba pensare qualcun altro e, soprattutto, che in caso di guai i marroni sui carboni ardenti siano di qualcun altro...
[quote-"CimPy"-"/2017/09/equifax-aggiornamenti-sul-disastro.html#c1185293841248349342"]
Non è una questione di risparmio, ma di delega di responsabilità, per cui in quasi tutte le aziende sono disposti a spendere anche 10 volte tanto, basta che a togliere le castagne quotidiane dal fuoco ci debba pensare qualcun altro e, soprattutto, che in caso di guai i marroni sui carboni ardenti siano di qualcun altro...
[/quote]

Non conosco nessuna situazione come quella che descrivi. In caso di guai ci rimette SEMPRE anche l'azienda appaltante non solo l'azienda fornitrice (es recente la violazione di sicurezza subita da Unicredit). Ti dirò di più: le aziende di consulenza più quotate sul mercato sono quelle che combinano più disastri.
E' un settore veramente strano.

"Non conosco nessuna situazione come quella che descrivi. In caso di guai ci rimette SEMPRE anche l'azienda appaltante non solo l'azienda fornitrice"



Non intendo fare polemiche, probabilmente frequentiamo situazioni diverse.

Certo che va nei guai anche l'azienda appaltante ma ha diritto di rivalsa sul fornitore, il quale è comunque ufficialmente (anche a torto, poi, eh?!) l'esperto del settore.



Quindi, dal punto di vista dell'azienda dare in outsurcing significa non doversi occupare di un know how che non è core business dell'azienda stessa, e di avere comunque qualcuno da graticolare in caso di guai.



Che poi sia un doppio errore, come giustamente fai notare, io concordo senza riserve.
"Quindi, dal punto di vista dell'azienda dare in outsurcing significa non doversi occupare di un know how che non è core business dell'azienda stessa, e di avere comunque qualcuno da graticolare in caso di guai."

Non voglio innescare polemiche ma... vogliamo fare tutti - mi ci metto anche io! - uno sforzo per evitare un eccesso di inglesismi? 3 in una stessa frase sono un po' troppi, che ne dici? :)

outsourcing: esternalizzazione
core business: attività principali
know how: competenze

... graticolare: grilling! :)
pgc,

Mi stava per uscire un "and these dicks, won't you put them?", ma mi sembrava volgarotto...
Ops...
"and 'ese dicks, won't you put them?", prego... :)

@Stupidocane
"and these dicks, won't you put them?"

Ma questo non è un "francesismo"?

Qui si parlava di inglesismi...