Как не следует справляться с большой утечкой данных: пример Equifax
Ожидает приглашения
7 сентября 2017 года американское бюро кредитной истории Equifax рассказало об утечке данных 143 миллионов клиентов. На тот момент похищенная информация уже продавалась на черном рынке. Это не самый масштабный слив в истории США — в том же месяце Yahoo обвинили в недостаточной защите данных более миллиарда пользователей.
Но из базы Equifax, хакеры получили не просто логины и пароли, а личную информацию миллионов пользователей: их имена, даты рождения, номера социального страхования и водительских удостоверений. С этими данными мошенник может похитить чужую личность и даже получить кредит на чужое имя.
В июле 2019 года Equifax пришлось выплатить 700 миллионов долларов в качестве компенсации клиентам и властям США. Из-за ряда неудачных решений удар пришелся не только по бюджету компании, но и по ее репутации.
Equifax узнала о проблеме в июле, за два месяца до объявления. Законы США обязывают компании незамедлительно уведомлять органы и публику о любых утечках персональных данных. Вместо этого, компания хранила молчание и готовилась к последствиям заявления. Не все результаты подготовки оказались удачными.
Пострадавшим от утечки рекомендовали немедленно заморозить свои кредитные досье, чтобы похитители не могли использовать их для оформления кредита. Разморозить досье можно только с ПИН-кодом.
Клиенты Equifax вскоре заметили, что их коды не генерируются случайно, а состоят из даты и времени обращения. Такая система делала защиту ненадежной. Большинство пострадавших отправили запрос на блокировку вскоре после объявления — хакеры могли угадать код, просто указав подходящее время. Более того, исследователи выяснили, что компания использовала такой способ генерации более 10 лет.
“Буква “П” в “ПИН” означает “персональный”. Код по определению не может быть ПИНом, если его можно предсказать или достать из базы данных” — отметил эксперт по кибербезопасности Пол Даклин. Equifax признала несовершенство системы и изменила способ генерации ПИНов, но на этом ошибки компании не закончились.
После публикации информации об утечке Equifax открыла сайт www.equifaxsecurity2017.com, где предлагала бесплатные консультации и кредитный мониторинг. Инженер Ник Свитинг заметил, что хакеры могут легко подделать сайт и собрать еще больше информации о пострадавших от утечки. Чтобы доказать это, он создал securityequifax2017.com — копию настоящего сайта с заголовком “Почему Equifax Использует Домен, Который Так Просто Имитировать Для Фишинга?”.
Сайт Свитинга не собирал данные пользователей и вскоре был закрыт. Но до этого официальный аккаунт Equifax в Твиттере трижды отправил подписчиков на поддельный сайт.
В 2019 проблема повторилась. Завершив судебное разбирательство, Equifax открыла www.equifaxbreachsettlement.com для запросов на компенсацию. Вскоре Федеральная Торговая Комиссия опубликовала предупреждение о новых фишинговых сайтах, которые имитируют официальную платформу.
Критику вызвали не только технические решения компании, но и действия ее руководителей. Трое высокопоставленных менеджеров Equifax — Джон Гэмбл, Рудольфо Плодер и Джозеф Лугран — продали свои акции в компании за месяц до раскрытия утечки. Общая стоимость продаж составила около 1.8 миллиона долларов. Представители Equifax заявили, что менеджеры не знали о сливе. Но комментаторы не поверили компании и обвинили управляющих в инсайдерской торговле.
У экспертов возникли вопросы и к самой системе безопасности Equifax. В процессе расследования обнаружилось, что компания получила уведомление о серьезной уязвимости от US CERT — государственного агентства по кибербезопасности. Внутреннее сканирование, впрочем, не обнаружило проблемы и вопрос остался нерешенным.
Также администраторы Equifax не обновляли цифровой сертификат на средства инспекции сетевого трафика и использовали недостаточно производительное оборудование. Похитители данных использовали шифрование и долго скрывали свою активность.
Разбирательство продолжается до сих пор — в октябре Equifax обвинили в использовании дефолтного пароля “admin” для защиты взломанного портала.
Продакт-менеджер компании One Identity Тодд Питерсон заявил, что “применение правильной защиты заняло бы одну минуту и спасло бы компанию от горы проблем”.
Кто стоял за хищением информации до сих пор неизвестно. Данные исчезли из даркнета и больше не всплывали. В 2019 году появилась версия, согласно которой утечку организовали не преступники, а иностранная разведка. В феврале 2020 года США обвинили в подготовке атаки четырех сотрудников китайских спецслужб. По словам генерального прокурора Уильяма Барра, Пекин планирует использовать данные для саботажа работы американских властей.
Несмотря на недовольство работой Equifax, не все винят в произошедшем только компанию. Некоторые комментаторы отметили, что настоящая проблема скрывается в общей кредитной системе США. Любой мошенник может использовать похищенные данные, чтобы обмануть даже самые крупные финансовые организации. “Это будет происходить, пока мы позволяем людям получать доступ и создавать аккаунты без сильных паролей” — заявил пользователь Hacker News.
Но из базы Equifax, хакеры получили не просто логины и пароли, а личную информацию миллионов пользователей: их имена, даты рождения, номера социального страхования и водительских удостоверений. С этими данными мошенник может похитить чужую личность и даже получить кредит на чужое имя.
В июле 2019 года Equifax пришлось выплатить 700 миллионов долларов в качестве компенсации клиентам и властям США. Из-за ряда неудачных решений удар пришелся не только по бюджету компании, но и по ее репутации.
Equifax узнала о проблеме в июле, за два месяца до объявления. Законы США обязывают компании незамедлительно уведомлять органы и публику о любых утечках персональных данных. Вместо этого, компания хранила молчание и готовилась к последствиям заявления. Не все результаты подготовки оказались удачными.
Пострадавшим от утечки рекомендовали немедленно заморозить свои кредитные досье, чтобы похитители не могли использовать их для оформления кредита. Разморозить досье можно только с ПИН-кодом.
Клиенты Equifax вскоре заметили, что их коды не генерируются случайно, а состоят из даты и времени обращения. Такая система делала защиту ненадежной. Большинство пострадавших отправили запрос на блокировку вскоре после объявления — хакеры могли угадать код, просто указав подходящее время. Более того, исследователи выяснили, что компания использовала такой способ генерации более 10 лет.
“Буква “П” в “ПИН” означает “персональный”. Код по определению не может быть ПИНом, если его можно предсказать или достать из базы данных” — отметил эксперт по кибербезопасности Пол Даклин. Equifax признала несовершенство системы и изменила способ генерации ПИНов, но на этом ошибки компании не закончились.
После публикации информации об утечке Equifax открыла сайт www.equifaxsecurity2017.com, где предлагала бесплатные консультации и кредитный мониторинг. Инженер Ник Свитинг заметил, что хакеры могут легко подделать сайт и собрать еще больше информации о пострадавших от утечки. Чтобы доказать это, он создал securityequifax2017.com — копию настоящего сайта с заголовком “Почему Equifax Использует Домен, Который Так Просто Имитировать Для Фишинга?”.
Сайт Свитинга не собирал данные пользователей и вскоре был закрыт. Но до этого официальный аккаунт Equifax в Твиттере трижды отправил подписчиков на поддельный сайт.
В 2019 проблема повторилась. Завершив судебное разбирательство, Equifax открыла www.equifaxbreachsettlement.com для запросов на компенсацию. Вскоре Федеральная Торговая Комиссия опубликовала предупреждение о новых фишинговых сайтах, которые имитируют официальную платформу.
Критику вызвали не только технические решения компании, но и действия ее руководителей. Трое высокопоставленных менеджеров Equifax — Джон Гэмбл, Рудольфо Плодер и Джозеф Лугран — продали свои акции в компании за месяц до раскрытия утечки. Общая стоимость продаж составила около 1.8 миллиона долларов. Представители Equifax заявили, что менеджеры не знали о сливе. Но комментаторы не поверили компании и обвинили управляющих в инсайдерской торговле.
У экспертов возникли вопросы и к самой системе безопасности Equifax. В процессе расследования обнаружилось, что компания получила уведомление о серьезной уязвимости от US CERT — государственного агентства по кибербезопасности. Внутреннее сканирование, впрочем, не обнаружило проблемы и вопрос остался нерешенным.
Также администраторы Equifax не обновляли цифровой сертификат на средства инспекции сетевого трафика и использовали недостаточно производительное оборудование. Похитители данных использовали шифрование и долго скрывали свою активность.
Разбирательство продолжается до сих пор — в октябре Equifax обвинили в использовании дефолтного пароля “admin” для защиты взломанного портала.
Продакт-менеджер компании One Identity Тодд Питерсон заявил, что “применение правильной защиты заняло бы одну минуту и спасло бы компанию от горы проблем”.
Кто стоял за хищением информации до сих пор неизвестно. Данные исчезли из даркнета и больше не всплывали. В 2019 году появилась версия, согласно которой утечку организовали не преступники, а иностранная разведка. В феврале 2020 года США обвинили в подготовке атаки четырех сотрудников китайских спецслужб. По словам генерального прокурора Уильяма Барра, Пекин планирует использовать данные для саботажа работы американских властей.
Несмотря на недовольство работой Equifax, не все винят в произошедшем только компанию. Некоторые комментаторы отметили, что настоящая проблема скрывается в общей кредитной системе США. Любой мошенник может использовать похищенные данные, чтобы обмануть даже самые крупные финансовые организации. “Это будет происходить, пока мы позволяем людям получать доступ и создавать аккаунты без сильных паролей” — заявил пользователь Hacker News.