Бюро кредитных историй Equifax могли взломать через баг в Apache Struts

В конце прошлой недели стало известно о взломе компании Equifax и одной из самых масштабных и неприятных утечек данных за последние годы.

Тогда представители североамериканского подразделения Equifax сообщили, что неизвестные злоумышленники завладели личной информацией 143 млн человек (всего в США проживает 324 млн человек), включая номера социального страхования и водительских удостоверений, полные имена, адреса и так далее. Кроме того, в 209 000 случаях в документах также фигурировала информация о банковских картах пострадавших. И хотя сообщалось, что отделения Equifax в других странах не пострадали, известно, что утечка затронула неназванное количество жителей Канады и Великобритании.

Согласно официальным данным, неизвестные злоумышленники проникли на серверы бюро кредитных историй еще в мае 2017 года, но их присутствие оставалось незамеченным вплоть до конца июля 2017 года. Никаких подробностей об атаке не сообщалось, известно лишь, что злоумышленники скомпрометировали некое веб-приложение. Почему представители Equifax молчали о случившемся более месяца, тоже неизвестно.

Утечка такого количества личных данных – не беспрецедентный случай, однако вместо обычных логинов и паролей в данном случае в руки хакеров попала куда более ценная информация. Полные имена, адреса, а также номера социального страхования и информация о водительских удостоверениях создают идеальную почву для кражи личностей и реализации множества других мошеннических схем.

Однако сейчас Equifax подвергается жесткой критике со стороны прессы и специалистов не из-за самого факта взлома. Проблема в том, как компания справляется с последствиями случившегося. Ранее мы уже рассказывали, что СМИ раскритиковали Equifax за создание путаницы. Дело в том, что для пострадавших был запущен специальный сайт equifaxsecurity2017.com, где можно найти ответы на наиболее распространенные вопросы, а также подать заявление на использование бесплатного кредитного мониторинга и воспользоваться сервисами по защите от кражи личности. Также на сайте со странным доменом trustedidpremier.com/eligibility/ клиенты компании могут проверить, числятся ли их данные в списках пострадавших. Плюс не стоит забывать о существовании официального сайта equifax.com.

Журналисты Vice Motherboard писали, что пострадавшим не только будет сложно разобраться, на какой из трех сайтов заходить, но также они обнаружили, что защита от кражи личности TrustedID Premier работает весьма странно. В частности, система попросила некоторых сотрудников редакции Motherboard вернуться для активации TrustedID Premier через неделю. Другим журналистам система сообщила, что их данные не пострадали, но после повторного запроса их тоже попросили вернуться позже.

Журналист издания ZDNet Зак Уиттакер (Zack Whittaker) вообще заметил, что система принимает test и 123456 в качестве ФИО и номера социального страхования, сообщая, что этот гражданин пострадал от утечки данных.

Just wow. If you enter "Test" and "123456" on Equifax's hack checker page, it says your data has been breached. pic.twitter.com/cTjTs7Frjv

— Zack Whittaker (@zackwhittaker) September 8, 2017

Затем ИБ-специалисты обнаружили, что сайт equifaxsecurity2017.com и работает на стоковой версии WordPress, а значит, его вряд ли можно считать безопасным, хотя ресурс вновь требовал у миллионов пострадавших ввести полные имена и шесть последних цифр номера социального страхования. Хуже того, выяснилось, что TLS-серфикат ресурса не выполняет надлежащие проверки на аннулирование, а домен вообще зарегистрирован не на Equifax (в настоящее время данные whois уже обновили). Словом, все выглядело так, будто сайт был создан мошенниками, причем на скорую руку. В итоге дошло до того, что Open DNS начал блокировать сайт помощи пострадавшим, как потенциальный фишинговый ресурс.

Кроме того, на equifaxsecurity2017.com обнаружили страницу, раскрывавшую всему миру username от панели администратора (см. скриншот ниже), а спустя несколько часов после официального заявления об утечке данных, equifax.com вдруг начал демонстрировать отладочный код (equifax.com/personal/page_cannot_be_found?/cs7/faces/jspx/login.jspx).

Теперь, когда армия разгневанных пользователей и адвокатов собирается подавать против Equifax многомиллионные коллективные иски, масла в огонь подлили представители портала QZ.com, принадлежащего Atlantic Media. Так как до сих пор неизвестно, как именно злоумышленники скомпрометировали бюро кредитных историй, в сети появляются самые разные теории, но теория QZ.com оказалась на удивление «стройной». Издание пишет, что хакеры могли использовать уязвимость в Apache Struts (CVE-2017-9805), об обнаружении которой официально сообщили лишь на прошлой неделе, хотя баг присутствовал в коде девять лет.

Тогда как представители Equifax на эти обвинения не отреагировали, оправдываться стали разработчики Apache Software Foundation, которым совсем не хочется, чтобы вину за одну из крупнейших утечек данных возложили на них. Так, в официальном блоге появилось длинное послание от вице-президента Apache Struts, в котором он подчеркивает, что пока доподлинно неизвестно, использовали злоумышленники, взломавшие Equifax, баг CVE-2017-9805 или же нет. Также представитель разработчиков Apache Struts акцентирует внимание на том, что проблема была обнаружена лишь в июле 2017 года, тогда как взлом произошел в мае 2017 года. Даже если хакеры действительно эксплуатировали данную уязвимость, на тот момент она еще представляла собой 0-day баг.

«Относительно утверждений, что уязвимость CVE-2017-9805 существовала девять лет, нужно понимать, что есть огромная разница между обнаружением уязвимости девятилетней давности и уязвимостью, о которой было известно многие годы. Во втором случае команде разработчиков было бы трудно придумать хороший ответ на вопрос, почему проблему не исправили раньше. Но это действительно не такой случай, нас лишь недавно уведомили о том, что определенная часть кода может использоваться не по назначению. И мы устранили проблему в кратчайшие сроки», — гласит официальное сообщение.

После публикации этого послания в блоге Apache Software Foundation, представители QT.com внесли правки в текст своей статьи, признав, что взлом Equifax произошел за два месяца до обнаружения уязвимости CVE-2017-9805.

Источник