Equifax' it-chefer trækker sig: Kendte til Apache-sårbarhed, men koksede patch
Equifax' sikkerhedsfolk var allerede i marts bekendt med den sårbarhed, som fra maj til juli gav hackere adgang til persondata på 143 millioner amerikanere.
Det skriver The Register på baggrund af en meddelelse, som Equifax har sendt ud.
I den første del af redegørelsen fremstår it-indsatsen ikke horribel. I tidsforløbet fremgår det, at Equifax’ sikkerhedshold spottede mistænkelig aktivitet i forbindelse med en web-applikation den 29 juli. Dagen efter blev den taget offline og patchet.
Længere nede svarer Equifax imidlertid på spørgsmål om en sårbarhed i Apache Struts, der i sidste uge fik skylden for det rekord store læk. Her fremgår det, at den specifikke sårbarhed blev identificeret af U.S. CERT allerede i starten af marts.
»Equifax’s Security organization was aware of this vulnerability at that time, and took efforts to identify and to patch any vulnerable systems in the company’s IT infrastructure,« forklarer selskabet yderligere.
Den indsats har tilsyneladende ikke givet pote, da Equifax samtidig erkender, at det var netop denne sårbarhed, der i perioden fra 12. maj til 30. juli gav hackere adgang til persondata – herunder over 200.000 kredikortnumre.
Præcist hvad der er gået galt i sikkerhedsarbejdet i marts er endnu ikke klart, og forløbet undersøges stadig, skriver selskabet, der også oplyser, at Equifax’ CIO og CSO begge trækker sig tilbage.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
