«Историческая» утечка

В начале сентября 2017 года стало известно об утечке персональных данных минимум 143 млн клиентов Equifax. Эта компания, основанная в 1899 году, входит в тройку крупнейших бюро кредитных историй США. База Equifax включает данные 800 млн клиентов из 24 стран, в том числе из России.

В мае 2017 года в систему Equifax проникли злоумышленники, и в течение трех месяцев их присутствие оставалось незамеченным. Все это время у неизвестных был доступ к личной информации клиентов, включая имена, даты рождения, адреса, номера социального страхования и другие данные, которых достаточно для «кражи личности». В 209 тыс. случаев в документах содержались также реквизиты банковских карт. В результате инцидента пострадали интересы клиентов из США, Великобритании и Канады.

В Equifax официально признали инцидент, но не стали раскрывать подробности. Известно, что злоумышленники воспользовались уязвимостью платформы для создания веб-приложений. Причем об ошибке в коде платформы (речь идет о Apache Struts) было известно еще в марте 2017 года. Почему Equifax не хватило двух месяцев, чтобы установить обновление ПО, и почему в бюро молчали об инциденте больше месяца, неизвестно.

Утечка в Аргентине

Зато во время независимого расследования инцидента выяснилось, что у Equifax есть еще одна серьезная ИБ-проблема. Подробности приводятся в статье DataBreachToday и в блоге ИБ-исследователя Брайана Кребса.

После раскрытия факта утечки в Equifax команда Hold Security начала изучать другие домены компании, в том числе и подразделения в Аргентине. Сократив URL-адрес местной службы по работе с претензиями, эксперты попали на внутренний портал Veraz, что в переводе с испанского означает «правдивый». Логин и пароль для входа на портал – «admin» и «admin», соответственно.

Кроме клиентской информации, на портале обнаружили адреса электронной почты и идентификационные номера примерно 100 сотрудников бюро, как нынешних, так и бывших. Пароли от учетных записей были закрыты звездочкам, но при просмотре исходного HTML-кода страницы эксперты легко обнаружили пароли в незашифрованном виде. Они совпадали с именами пользователей.

Из-за небрежности сотрудников Equifax под угрозой оказались номера национальных удостоверений личности минимум 14 тыс. аргентинцев, однако потенциально утечка данных могла коснуться десятков тысяч клиентов. После того, как Брайан Кребс сообщил Equifax об уязвимости, портал закрыли.

Команде Hold Security не понадобилось ни много времени, ни специальных методов взлома, чтобы выявить утечку и получить доступ к консоли управления порталом. Основатель и технический директор Hold Security отметил, что сайт Equifax для Аргентины «мог бы взломать и трехлетний ребенок».

«С моей точки зрения, это халатность. Отношение к безопасности просто отвратительное. Трудно представить, что в остальных подразделениях дела намного лучше», – отметил основатель Hold Security.

Представитель Equifax в Латинской Америке заявила, что инциденты не связаны между собой и компания уже приняла меры, чтобы остановить утечку. По ее словам, у Equifax нет доказательств того, что клиенты в Аргентине пострадали из-за уязвимостей.

Итоги

Несмотря на то, что другие утечки более масштабны, например, утечка данных 500 млн учетных записей Yahoo или 200 млн избирателей США, инцидент в Equifax называют одним из худших из-за типа собранных данных.

«Это, несомненно, вызывающее разочарование событие для нашей компании, которое бросает тень на нас и на то, что мы делаем», – говорится в заявлении исполнительного директора компании.

Equifax сотрудничает с правоохранительными органами, а также обратилось к услугам сторонней ИБ-компании. По иронии, специалистов Equifax регулярно нанимают для защиты пользовательских данных после утечек. Теперь бюро придется разбираться с последствиями собственной небрежности.

Пострадавшим клиентам Equifax начал помогать чат-бот DoNotPay. Это сервис, который оказывает юридические консультации пользователям. Его разработчик заявил, что сам пострадал от инцидента. Чат-бот помогает клиентам направлять судебные иски с обвинением в халатности и требованием компенсации от 2,5 до 25 тыс. долларов в зависимости от законов штата.

Сервис DoNotPay только заполняет документы и не представляет интересы истца в суде. Юристы двух пострадавших клиентов уже подали жалобу в федеральный суд и предложили другим жертвам утечки присоединиться к коллективному иску. Адвокаты намерены получить 70 млрд долларов компенсации. Это ровно в четыре раза больше, чем рыночная капитализация Equifax, которая после инцидента упала на 2 млрд долларов.