Credit: Mister Metokur. |
Ora stanno emergendo i dettagli di questo attacco, e il comportamento di Equifax sta somigliando sempre più a una barzelletta amara.
Per esempio, l’attacco è stato reso possibile perché Equifax non aveva installato gli aggiornamenti di Apache Struts, secondo la Apache Software Foundation e le ammissioni della stessa Equifax.
Non ha certo complicato la vita agli intrusi il fatto che Equifax “proteggeva” uno dei suoi database in Argentina usando come login e password il classico admin:admin, come racconta CNBC.
E il ricercatore di sicurezza Kevin Beaumont ha trovato, pubblicamente accessibili sul sito di Equifax, i resoconti dell’audit di sicurezza effettuati qualche anno fa dalla KPMG.
For some reason Equifax have their KPMG security audits sat on their website. pic.twitter.com/gpIyqciWwg— Kevin Beaumont (@GossiTheDog) 14 settembre 2017
Come li ha trovati? Facendo una semplice ricerca in Google.
it's on google pic.twitter.com/X56hndzpgn— Kevin Beaumont (@GossiTheDog) 14 settembre 2017
Poco dopo la segnalazione, i documenti sono stati rimossi (non prima che me ne scaricassi una copia).
Equifax ha anche messo a disposizione degli utenti un servizio d’emergenza che generava un PIN per “proteggere” la propria situazione, ma è emerso che il PIN era semplicemente un numero progressivo composto dalla data e dall’ora corrente, quindi facilissimo da scoprire per forza bruta.
Come se tutto questo non bastasse, Ars Technica segnala che gli intrusi sono riusciti a raccogliere dati sulle transazioni di circa 200.000 carte di credito, risalenti oltretutto fino a novembre 2016. Questo fatto indica che o Equifax non stava cifrando i dati delle carte o c'era un componente del suo software che dava accesso ai dati in forma decifrata; inoltre la conservazioni di questi dati sarebbe stata una violazione degli standard basilari del settore.
Ma ormai è piuttosto chiaro che ancora una volta una grande azienda del settore dei servizi è stata colta ad usare consapevolmente metodi e processi di sicurezza assolutamente inadeguati.
Nessun commento:
Posta un commento