Et av verdens største kredittvurderingsbyråer, amerikanske Equifax, innrømmet som kjent i forrige uke å ha blitt frastjålet personopplysninger om blant annet 143 millioner nåværende og tidligere amerikanske innbyggere, som følge av et innbrudd hvor en sårbar webapplikasjon ble utnyttet. I kjølvannet av dette har to av de ansatte i et lite amerikansk sikkerhetsselskap, Holden Security, gransket webapplikasjoner som Equifax' argentinske virksomhet tilbyr de ansatte.
Dette skriver sikkerhetsbloggeren Brian Krebs, som har blitt kontaktet av Holden Security.
Bakgrunn: Massiv kritikk etter gigantisk lekkasje av persondata
admin/admin
De to, som begge opprinnelig kommer fra Argentina, fant raskt fram til en ansattportal, Veraz, hvor de kunne logge seg inn ved å bruke admin som både brukernavn og passord. Da fikk de tilgang til administrasjonsgrensesnittet til løsningen og mulighet til å se en liste over 111 ansatte i selskapet og deres brukernavn og epostadresse. Passordene til brukerne ble vist som prikker i vanlige passordfelter, men kunne leses i klartekst ved å kikke på kildekoden til portalsiden.
Selv det at passordene tydeligvis har vært lagret i klartekst i databasen, er et brudd på selv grunnleggende sikkerhetsanbefalinger. Programvaren må derfor endres slik at passordene kun er tilgjengelig som en kryptografisk hash som er kostbar å knekke.
Les også: Millioner av tjenester bruker utdatert kryptering
Etternavn brukt som brukerpassord
Det viste seg da at samtlige passord var de samme som etternavnene til hver bruker, mens brukernavnene enten var fornavnet eller etternavnet kombinert med initialen til fornavnet.
Via den samme ansattportalen fikk de to Holden Security-medarbeiderne også tilgang til oversikt over klager på kredittvurderinger som argentinske innbyggere har kommet med til Equifax i Argentina via telefon, faks eller post. Listen inkluderer det argentinske personnummeret til den som har klaget. I alt skal portalen gitt tilgang til mer enn 14 000 slike klagesaker fra det siste tiåret.
Svært samfunnsskadelig
Den ene av de to som oppdaget dette, er Jorge Speranza, IT-sjef hos Holden Security. Han forteller til Krebs at det argentinske samfunnet tradisjonelt har vært veldig kontantorientert og at det først ganske nylig har blitt mulig for landets innbyggere å få kreditt.
– Folkene der har gjort en stor innsats for å kunne få et lån, og det vil være en katastrofe for dem å komme i en situasjon som dette, mener Speranza.
– For meg handler dette bare om forsømmelse. I dette tilfellet var deres sikkerhetstilnærming elendig, og det er vanskelig for meg å tro at resten av virksomheten deres er noe særlig bedre, sier han. Equifax har virksomhet også i en rekke andre land, ikke minst i Sør-Amerika.
Krebs skal ha tatt kontakt med Equifax etter å ha blitt fått kjennskap til disse opplysningene. Selskapets advokater bekreftet noe senere at Veraz-portalen var blitt deaktivert og at selskapet skal etterforske hvordan dette har kunne skje.
En talskvinne for Equifax sier til BBC at tilfellet i Argentina ikke har noen som helst tilknytning til datalekkasjen i USA, som skjedde i sommer. Hun sier videre at det så langt ikke er tegn til at argentinske forbrukere eller kunder har blitt negativt påvirket av den fraværende sikkerheten i Veraz-portalen.
Les også: Brukerdata og passord til flere hundre tusen kunder kan være på avveie
