Equifax – Gefahr schon Monate zuvor bekannt gewesen
Kürzlich sind ein paar neue Informationen zu dem katastrophalen Equifax Vorfall, bei dem Daten von mindestens 145 Mio. Personen kompromittiert wurde, bekannt geworden.
Der Fall gibt also immer noch viel Gesprächsstoff her. Was aber jetzt ans Tageslicht kam, kann vielleicht am besten als „billigend in Kauf genommen“ bezeichnet werden. Sechs Monate vor dem Equifax Sicherheitsvorfall wurden das Unternehmen über die Schwachstelle informiert – ganz offiziell von einem Sicherheitsforscher, der aber anonym bleiben möchte. Er kann bis heute nicht verstehen, warum Equifax damals nichts unternommen hat:
„Die Schwachstelle hätte in dem Moment repariert werden müssen, in dem sie gefunden wurde. Es hätte fünf Minuten gedauert, sie hätten die Seite einfach offline nehmen können“,
sagte er. Besteht die Möglichkeit, dass Equifax sich also der Gefahr bewusst war, und sich damit abgefunden hat und nichts unternahm? Oder vertraute Equifax einfach darauf, dass die Gefahr über diese Schwachstelle gehackt zu werden nicht eminent war und schlichtweg nie eintreten würde? Diese wohl bewusste Fahrlässigkeit ist im Nachhinein unbegreiflich angesichts des riesigen Schadens, der ein halbes Jahr später entstand. Man kann sich also nur wundern, wie die restlichen Sicherheitsprozesse bei Equifax aufgestellt sind.
Der Sicherheitsforscher hatte Ende 2016 ein paar der Equifax Server und Webseiten im Internet untersucht. Innerhalb weniger Stunden hatte er eine riesige Schwachstelle entdeckt: In der öffentlichen Infrastruktur des Unternehmens war es auf einer bestimmten Seite möglich, Zugriff auf die persönlichen Daten aller Amerikaner, einschließlich deren Sozialversicherungsnummern, vollständigen Namen, Geburtsdaten und Wohnort, zu bekommen.
Die Seite war aufgemacht wie ein Portal für Mitarbeiter, war im Internet aber völlig frei zugänglich für jedermann, der sich ein wenig Mühe gab. Mehrere Suchfelder wurden angezeigt und ohne irgendeine Authentifizierungsbarriere konnten persönlichen Daten von Equifax-Kunden abgefragt werden, sagte der Sicherheitsforscher. Insgesamt hatte er während seiner Untersuchungen die Daten von Hunderttausenden von Amerikanern heruntergeladen, um Equifax damit die Sicherheitslücken im System aufzuzeigen. Im Prinzip, so der Forscher, hätten er die Daten aller Equifax-Kunden in zehn Minuten ganz einfach herunterladen können.
Außerdem stellte er im Laufe seine Untersuchungen fest, dass er die Kontrolle über mehrere Equifax-Server und Webseiten habe übernehmen können. Er fand auch mehrere andere einfache Schwachstellen wie SQL-Injektion und viele Servern mit veralteter Software. Equifax hatte Tausende von Servern im Internet zur Verfügung gestellt. Schwer vorstellbar, dass eine solch riesige Infrastruktur lückenlos kontrolliert werden konnte.
Auf einem Verbraucherportal für Rechtsstreitigkeiten erklärte Equifax nach dem Hackerangriff im September, dass der Verstoß nicht so durchgeführt wurde, wie der Sicherheitsforscher im letzten Jahr vorausgesagt hatte. Allerdings waren es jedoch ähnliche Daten, die dabei kompromittiert wurden. Diese Aussage bestätigt, dass es höchstwahrscheinlich mehrere Möglichkeiten gab, in die Netzwerke von Equifax einzubrechen. Gleichzeitig führt das zur Annahme, dass es vermutlich mehr als einer Hackergruppe möglich gewesen war, sich bei Equifax zu bedienen.
Equifax hat den Sicherheitsvorfall in aller Öffentlichkeit auf eine nicht gepatchte Sicherheitslücke in der Webanwendungssoftware Apache Struts geschoben, für die ein Mitarbeiter verantwortlich war. Dieser hätte sie nicht einmal entdeckt.
Ehemalige Equifax-Mitarbeitern sagen, das Unternehmen habe die IT-Sicherheit nicht ernst genug genommen. Auf die Frage, ob dieser riesige Sicherheitsvorfall für das Unternehmen vorhersehbar war, sagten die meisten ehemaliger Mitarbeiter, dass eine solche Verletzung unvermeidlich gewesen sei. Equifax hätte im vergangenen Jahr Deloitte beauftragt ein Sicherheitsaudit durchzuführen, so einer der Mitarbeiter. Deloitte hatte dabei mehrere Probleme aufgedeckt, insbesondere bei Sicherheitsupdates. „IT-Sicherheit stehe bei Equifax nicht im Vordergrund“, sagte ein Deloitte-Sprecher. „Niemand nahm diese Sicherheitsüberprüfung ernst. Jedes Mal hatten wir es schwer, dem Management begreiflich zu machen, um was es uns ging.“ Alle Ex-Mitarbeiter sagten aus, dass es derartige Sicherheitsprobleme bei Equifax schon immer gegeben habe. Innerhalb von 10 Jahren hatte ein Mitarbeiter mehrmals darauf hingewiesen, dass einige Server gepatcht werden müssten, da sie offene Filesharing-Ports hatten, die von Würmern ausgenutzt werden konnten. Equifax unternahm nichts, und drei Monate später infizierte der Conficker-Wurm einige der Server. Es hatte sogar einen Vorfall gegeben, wo jemand Dateien so programmiert hatte, dass sie unerlaubterweise auf mehreren Servern gelöscht wurden – wie ein interner Sabotageakt sei das gewesen, sagte ein ehemaliger Mitarbeiter. Sein Team hätte nicht einmal herausfinden können, wer das gewesen war, denn es gab keine Aktivitätsprotokolle darüber, wer das Skript programmiert hatte. Intern kursierten Witze, dass Equifax nur ein Hackerangriff entfernt war vom Bankrott.
Equifax lehnte es ab, einen Kommentar zu den Funden des Forschers zu abzugeben. Es hieß lediglich: „Grundsätzlich äußert sich Equifax nicht öffentlich zu internen Sicherheitsmaßnahmen. Wie unser ehemaliger CEO kürzlich gegenüber dem Kongress ausgesagt hat, hat Equifax in der Vergangenheit gründliche Sicherheitsüberprüfungen von externen Gutachterteams durchführen lassen. Equifax hat erhebliche Mittel für die Installation von Cybersicherheitsstandards aufgewendet und Prozesse zur Behebung von Schwachstellen eingerichtet. Seit dem jüngsten Sicherheitsvorfall wurden zusätzliche Korrekturmaßnahmen ergriffen. Es ist falsch zu behaupten, dass Informationen ignoriert wurden.“
Siehe auch:
Artikel von motherboard.vice.com, 26.10.2017: Equifax Was Warned
Artikel von wired.com, 28.10.2017: Security News This Week: Equifax Was Warned of Vulnerability Months Before Breach
Urheberrecht Beitragsbild: shutterstock.com