Elkészült az amerikai képviselőház ellenőrzési bizottságának jelentése a 148 millió amerikai pénzügyi adatainak ellopásáról szóló Equifax-ügyről.

Elkészült az amerikai képviselőház ellenőrzési bizottságának jelentése a 148 millió amerikai pénzügyi adatainak ellopásáról szóló Equifax-ügyről.

Képünk illusztráció. Kapucnis pulóveres hackeres fotót még mindig könnyebb találni, mint az IT-biztonságra nem költő vezérigazgatósat (Fotó: Katy Levinson CC-BY-SA)

Kezdjük a gyorstalpalóval, hátha nem rémlenek mindenkinek a részletek. Durván egy éve jelentette be a világ egyik legnagyobb hitelminősítője, hogy hackerek jártak a rendszerében. És ha már ott voltak elvittek egészen sok ügyféladatot is. Először csak 143 millió rekordról volt szó, aztán ez a szám 148 millióra nőtt. Az ügy sértettjei főleg amerikaiak, de jelentős még a brit és a kanadai állampolgárok érintettsége is.

A képviselőházi jelentés egyrészt elmarasztalja az Equifaxot, másrészt a botrány miatt nyugdíjba vonuló céges vezető, Richard Smith is megkapja a magáét. Utóbbi azért jut külön fejezethez, mert bár gyakran dicsekedett azzal, hogy a Kongresszusi Könyvtár által tároltnál 1200-szor nagyobb adatvagyon felett rendelkezik a cége, nem iparkodott megfelelő információbiztonsági rendszert kiépíteni. A jelentés szerint:

Az adatszivárgás teljesen elkerülhető lett volna.

Ahhoz viszont, hogy ne következzen be a baj, a cégnek például frissítenie kellett volna a szerverein futó Apache Struts programot. A frissítés elérhető volt, az Nemzetbiztonsági Minisztérium figyelmeztetést is tett közzé a hibáról a hackertámadás előtt pár hónappal, az Equifax azonban nem lépett – írja Techcrunch. A cég saját háttérrendszere sem volt felkészítve a modern kihívásokra. Hogyan lett volna, öt évtizede írták a mélyén futó kódot.

Az sem javít az Equifax megítélésén, hogy két hónapig fel se tűnt senkinek, hogy a hackerek bejutottak a rendszerbe. Bent egyébként még egyszerűbb dolguk volt, mert az egyik szerveren találtak egy jelszófájlt, ami nem volt titkosítva, és így hozzáférhettek 48, ügyféladatokat tartalmazó adatbázishoz. A 148 millió rekordnyi adatot ennek segítségével töltötték le, 265 alkalommal hozzáférve az adatbázisokhoz.

Smith korábban úgy nyilatkozott, hogy az adatvesztés annak az egy informatikusnak a felelőssége, aki nem frissítette a szerverszoftvet. A jelentés készítői azonban találtak ellenérveket. Például azt, hogy a cég ugyan rendelkezett olyan rendszerrel, amely az adatok kiáramlására figyelmeztethette volna a biztonsági csoportot, ám ez a törés idején már 19 hónapja nem működött egy lejárt biztonsági tanúsítvány miatt. A hacket is azért fedezték fel, mert két hónappal később, amikor a tanúsítványt frissítette a cég, a jelzőrendszer azonnal sípolni kezdett.

Az utolsó pillanatig tudtak bénázni

Az pedig már csak a cseresznye a süti tetején, hogy amikor az Equifax továbi két hónappal később jelezte, hogy feltörték, akkor az ügyfelek tájékoztatására kiadott rendszer gyakorta elérhetetlenné vált, amikor pedig működött, akkor fals adatokat közölt. Az oldalról pillanatok alatt készült adathalászatra használt másolat, amit a cég közösségi médiás csapata is ajánlott egyszer tévedésből. Később pedig találtak még hibát a figyelmeztetőrendszerben, így azt is lekapcsolta a cég.

A cég természetesen tagad, próbálja elkenni az ügyet, szőrszálhasogatásba menekül. Mindeközben pedig az ügy sértettjei gondolkodhatnak azon, miért nem kellett még egy fillér büntetést vagy kártérítést sem fizetnie a cégnek, ami 148 millió ember adatait hagyta el.


Ha tetszett a cikk:

és kövess minket a Facebookon!



Szólj hozzá

Vélemény, hozzászólás?