I september ble det kjent at det amerikanske kredittvurderingsselskapet Equifax var utsatt for det «største datainnbruddet i historien». Nå viser det seg at skandalen var større enn først antatt. Det skriver The Register.
I perioden mai til juli i fjor har uvedkommende fått tilgang til registre som inneholder blant annet navn, personnumre, fødselsdatoer, adresser og førekortnummer.
145,5 millioner personnumre
146,6 millioner navn, 146,6 fødselsdatoer, 145,5 millioner personnumre, 99 millioner adresser og kortinformasjonen til 209 000 mennesker har kommet på avveie.
I tillegg har også 38 000 førerkort og 3 200 pass havnet i hendene på uvedkommende, slår «Securities and Exchange»-kommisjonen (SEC) fast.
– Det tilsvarer stort sett «alle» amerikanere over 18 år, skriver zapbark i en kommentar på Reddit.
Selv om antall berørte mennesker ikke nødvendigvis har gått opp, viser det seg at uvedkommende har hatt tilgang til flere registre enn først opplyst. Den nye informasjonen kommer som et ledd i den pågående etterforskningen til SEC.
Manglende patch
Datainnbruddet skjedde på grunn av manglende patch-styring hos Equifax. Det amerikanske kredittvurderingsselskapet skal ikke ha holdt tritt med patcheregimet til Apache.
– Hvis man hadde orden på dette i alle bedrifter, ville vi opplevd en reduksjon på rundt 80 prosent av vellykkede hackerangrep, har leder Jørgen Sørensen i den danske avdelingen av revisjons- og konsulentbedriften Pricewaterhouse Coopers (PwC) uttalt til Version2.
Et godt patch-regime er helt avhengig av at informasjonen fra programvareleverandørene når relevante ledd i organisasjonen.
«Admin» som admin-passord
Sørensen bemerker i den forbindelsen at det altså ikke er nok at det finnes en teoretisk mulighet for at noen tar seg av at det som må patches. Det må også følges opp hvorvidt det faktisk blir gjort.
– En styringsprosess innebærer også at noen følger opp om tingene er utført.
Tidligere har det også blitt kjent at Equifax beskyttet fortrolig informasjon med «admin» som admin-passord.
En rekke IT-sikkerhetseksperter har uttalt seg svært kritisk om lekkasjen. Mike Shultz, CEO hos Cybernance, sier at innbruddet rett og slett er utilgivelig fordi tilgangen ble gjort mulig som følge av at webapplikasjonen ikke var godt nok sikret.
Innbruddstyver
Andre, inkludert ZDNet-kommentatoren Larry Dignan og teknologidirektør Etienne Greeff hos SecureData, har kritisert hvordan Equifax har håndtert situasjonen etter at innbruddet ble kjent.
– Som en respons på innbruddet lagde Equifax et nettsted – Equifaxsecurity2017.com – som tilbyr gratis beskyttelse mot identitetstyverier og overvåkning av kredittinformasjon til alle amerikanske kunder, sier Greef og fortsetter:
– Men kundene bes om å oppgi ytterligere informasjon til nettstedet, som ikke engang har et gyldig sikkerhetssertifikat. Det er som å tilby innboforsikring til en person som allerede har hatt besøk av innbruddstyver, og potensielt utsette dem for enda større risiko.
