Oh hombre, vas a odiar lo que Equifax acaba de admitir sobre esa violación de seguridad
Equifax, la principal agencia de informes crediticios que recopiló datos financieros extensos sobre cientos de millones de estadounidenses antes de perder dichos datos sobre 143 millones de esas personas a manos de piratas informáticos, finalmente explicó qué salió mal.
Usted está por lo que no va a gustar.
En una publicación en un sitio web diseñado para difundir información sobre cómo la compañía está manejando el ataque, Equifax dijo que había rastreado la vulnerabilidad :
Como señaló Ars Technica , Apache Struts es un “marco de trabajo de código abierto para desarrollar aplicaciones basadas en Java que ejecutan servidores web tanto de front-end como de back-end” que es extremadamente popular entre las instituciones financieras.
Aquí está la descripción de la base de datos nacional de vulnerabilidades del error:
El error en cuestión se solucionó con un parche el 6 de marzo. Poco después, los piratas informáticos comenzaron a explotarlo en masa y no cedieron .
Equifax afirma haber tenido conocimiento de la infracción, que comenzó en mayo, a fines de julio.
Eso es meses después de que se conoció la vulnerabilidad y se solucionó fácilmente con una actualización, aunque Equifax podría haber tenido que reescribir o actualizar otros componentes de su cartera de software después de aplicar los parches.
“Teniendo en cuenta que Equifax es una de las agencias de informes crediticios más grandes cuyo único negocio depende tanto de la credibilidad de los datos como del manejo seguro de los datos confidenciales de millones de consumidores, es justo decir que deberían haberlo parcheado lo antes posible, sin exceder a la semana ”, dijo a USA Today Pravin Kothari, jefe de la firma de seguridad CipherCloud . "Un banco típico habría solucionado esta vulnerabilidad crítica en unos pocos días".
Apache Struts había respondido previamente a informes de que otra vulnerabilidad parcheada en septiembre, CVE-2017-9805, estaba involucrada en la infracción mediante cobertura.
“Con respecto a la afirmación de que especialmente CVE-2017-9805 es una falla de seguridad de nueve años, uno tiene que entender que hay una gran diferencia entre detectar una falla después de nueve años y conocerla durante varios años” , escribieron . "Si este último fuera el caso, el equipo habría tenido dificultades para dar una buena respuesta por qué no lo arreglaron antes".
Pero ahora que se sabe que la infracción es CVE-2017-5638, la compañía de software no está tirando golpes.
En un comunicado, Apache Struts escribió : “Esta vulnerabilidad fue parcheada el 7 de marzo de 2017, el mismo día en que se anunció ... En conclusión, el compromiso de los datos de Equifax se debió a que no instalaron las actualizaciones de seguridad proporcionadas de manera oportuna. "
En un incidente no relacionado, pero casi tan vergonzoso, el periodista de seguridad Brian Krebs escribió que la sucursal de Equifax en Argentina había dejado un portal para que los empleados resuelvan disputas de informes crediticios configurados con la combinación predeterminada de inicio de sesión y contraseña "admin / admin". Además de proporcionar información personal sobre más de 100 empleados de Equifax, la vulnerabilidad habría permitido que cualquiera pudiera obtener DNI (el equivalente a un número de Seguro Social) de más de 14.000 argentinos.
Ejem. Explíqueme por qué necesitamos instituciones financieras poderosas e irresponsables a las que se les permita almacenar grandes cantidades de información explotable sobre prácticamente todos los estadounidenses, nuevamente.
[ Ars Technica ]
Actualización 1:07 pm ET: Esta publicación se ha actualizado con contexto adicional sobre la infracción.
Corrección: esta publicación originalmente decía incorrectamente cuando Equifax dice que descubrió por primera vez la infracción. La compañía dice que se enteró de la infracción a fines de julio, no en mayo. Lamentamos el error.
