Fejl i udbredt Java-bibliotek bag amerikansk kæmpelæk

læk datalæk datasikkerhed lækage
Hul i Apache Struts var årsag til læk af millionvis af følsomme persondata.

Det var en fejl i Java-biblioteket Apache Struts, som gav kriminelle adgang til millioner af personfølsomme data i USA i sidste uge.

Det fremgår af en rapport fra finansanalysefirmaet William Baird & Co.

Læs også: Næsten halvdelen af USA's befolknings personoplysninger blotlagt i nyt, enormt hack

Der fremgår ikke af rapporten, om der er tale om den sårbarhed, som Apache-projektet offentligjorde i sidste uge, eller om det drejer sig om et hul i en tidligere version af biblioteket.

Læs også: Kritisk sikkerhedshul i populær webserver-komponent

Omkring 143 millioner amerikanske forbrugeres personoplysninger kan være lækket, efter at kriminelle udnyttede svagheden i firmaet Equifax' website. Det er blandt de største læk af persondata endnu set og rammer omkring 44 procent af USA's befolkning.

Lækagen startede i maj og forsatte indtil juli. Ud over amerikanere er data på britiske og canadiske forbrugere også lækket.

De lækkede data er personnumre, fødselsdatoer, adresser og i visse tilfælde kørekortnumre. Derudover skulle hackerne også have fået adgang til 209.000 personers kreditkortnumre samt kreditoplysninger for 182.000 personer.

Den seneste sårbarhed i Apache Struts udgør en stor risiko, da biblioteket ofte anvendes i webapplikationer rettet mod det offentlige internet. Det benyttes for eksempel i mange flybooking- og internetbank-systemer. Organisationer, der benytter Struts, opfordres til at opgradere komponenterne hurtigst muligt.

Alle versioner af Struts udgivet siden 2008 indeholder sårbarheden. Hullet er lukket i den seneste udgave, version 2.5.13.

Sårbarheden gør det muligt for en angriber at afvikle en vilkårlig kode på en hvilken som helst server, som er vært for en applikation, der benytter Struts og dets populære REST-komponent. Svagheden skyldes den måde, hvorpå Struts deserialiserer data, som softwaren ikke bør stole på.

Deserialisering er processen, hvor et objekt laves om til en strøm af bytes, som kan sendes over nettet og gemmes på disk for senere at blive indlæst igen. Det er en almindelig kendt type fejl i Java-verdenen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (3)

Kommentarer (3)
Magnus Jørgensen

Deserialisering er processen, hvor et objekt laves om til en strøm af bytes, som kan sendes over nettet og gemmes på disk for senere at blive indlæst igen. Det er en almindelig kendt type fejl i Java-verdenen.

Deserialisering er processen, hvor en strøm af bytes, som kan sendes over nettet, bliver fortolket til objekter af en type der er kendt af programmet der deserialiserer. Det er en almindelig kendt type fejl i Java-verdenen at der ikke bliver tjecket om byte strømmens data stemmer overens med objecterne. Fejlen kan udnyttes af en hacker som kan indsætte data i bytestrømmen, så det bliver eksekveret under kørselsmiljøet som om at det var en del af programmet.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017

Xena - an innovative force in testing next-generation communications technology

22. aug 2017