Lyssky DB-forespørgsler blev genafviklet for at finde hoved og hale i Equifax-hack

For at finde ud af omfanget af et gigantisk datalæk måtte sikkerhedsfolk genafvikle database-forespørgsler fra hacket mod amerikanske Equifax.

Sikkerhedsfolk så sig nødsaget til at genafvikle de databaseforespørgsler, hackere havde brugt, da de tilgik millioner af menneskers persondata hos det amerikanske kreditvurderingsfirma Equifax.

Det oplyser The Register på baggrund af en netop offentliggjort rapport fra Government Accountability Office (PDF). GAO er en officielt instans, der foretager undersøgelser på vegne af den amerikanske kongres.

Rapporten hedder meget forklarende 'Actions Taken by Equifax and Federal Agencies in Response to the 2017 Breach'.

Den 13. maj 2017 fik angribere via en upatched webserver med Apache Struts 2 adgang til Equifax' netværk.

Det resulterede i sidste ende i, at ca. 150 mio. amerikaneres personoplysninger, omkring 15 millioner briters oplysninger samt oplysninger om andre nationaliteter blev tilgået af uvedkommende.

The Register bemærker, at det er sjældent, at et cyberangreb bliver undersøgt så detaljeret, som der er tale om med rapporten fra GAO. Det skyldes ifølge mediet, at flere afdelinger under den amerikanske regering er kunder hos Equifax.

9.000 forespørgsler

Efter at have kompromitteret netværket lykkedes det angribere at køre i alt ca. 9.000 databaseforespørgsler, hvoraf en del returnerede personhenførbare data. Angrebet stod på i 76 dage, før det blev opdaget, fremgår det af GAO-rapporten.

Det er i forbindelse med det efterfølgende oprydningsarbejde, at sikkerhedsfolk hos Equifax har genkørt tusindvis har hackernes databaseforespørgsler for at finde ud af omfanget af datatyveriet.

Angrebet blev i øvrigt opdaget lidt ved et tilfælde.

Det lykkedes angriberne at trække data fra forespørgslerne ud via en krypteret forbindelse.

Egentlig var det meningen, at krypteret trafik til og fra Equifax-netværket skulle inspiceres i forhold til ondsindet trafik.

Det kan være muligt også at inspicere indhold af krypteret trafik. Eksempelvis via en slags man-in-the-middle-setup på virksomhedsnetværket, hvor trafik til og fra internettet bliver dekrypteret og inspiceret ved et centralt knudepunkt.

GAO-rapporten oplyser, at et udløbet certifikat bevirkede, at krypteret trafik på Equifax-nettet ikke blev undersøgt nærmere.

Certifikatet var udløbet omkring 10 måneder før, sikkerhedshændelsen fandt sted. Angrebet blev opdaget, da certifikatet blev fornyet, og en administrator fandt tegn på kompromittering.

På et punkt var folkene hos Equifax heldige, bemærker The Register. Angriberne slettede nemlig ikke logfiler, og det gjorde det efterfølgende arbejde med at afdække omfanget noget nemmere.

Der er ikke nogen sikkerhedsanbefalinger i GAO-rapporten, men som det britiske medie bemærker, så er det et eksempel på, hvordan små individuelle fejl hos et stort selskab kan føre til, at 150+ millioner menneskers data bliver kompromitteret.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize