19 Monate nach dem großen Sicherheitsvorfall bei Equifax wurde der GOA-Abschlussbericht (United States Government Accountability Office) veröffentlicht. Eigentlich hätte man davon ausgehen können, dass darin alles bereits Aufgedeckte lediglich bestätigt werden würde. Doch nicht ganz überraschend sagt der Report, es habe noch viel mehr Schlampereien gegeben als zunächst bekannt.

Wir erinnern kurz: Equifax ist mit deutlichem Abstand das größte amerikanische Finanzdienstleistungsunternehmen. Im September 2017 wurde bekannt, das Equifax im ganz großen Stil gehackt wurde. Schlimm genug, aber Equifax hatte dies gegenüber der Öffentlichkeit einfach ein halbes Jahr lang verschwiegen. Ein großer Skandal, aber es kam noch schlimmer: Das amerikanische IT-Sicherheitsunternehmen Mandiant stellte ein Update für eine Schwachstelle im Apache Struts Open-Source Framework zur Verfügung, die von Equifax aber nie installiert wurde. So konnte eine Equifax Website mit Malware infiltriert werden die Seitenbesucher aufforderte, Spyware Code von Drittanbietern herunterzuladen getarnt als ein Update für die Adobe Flash Player-Software.

Equifax sagte öffentlich „unsere Systeme wurden nicht kompromittiert…“ Mitte Mai dann der zweite und viel schlimmere Streich der Hacker. Ganz einfach über die gleiche Sicherheitslücke in der Anwendungssoftware gelangten sie an die Datenmasse von 150 Mio. Amerikanern und etwa 15 Mio. Briten. Sozialversicherungsnummern, Geburtsdaten, Anschriften, fast 300.000 Kreditkartennummern sowie viele weitere persönliche Daten. Im Zeitraum Mai bis Ende Juli ganz problemlos abgreifbar über das Internet, weil die Admin-Zugangsdaten dazu wirklich vom aller Schwächsten waren. Dann kam auch noch heraus, dass einige Equifax Topmanager sich im großen Stil von ihren Equifax-Aktienpaketen trennten. Deloitte fand in einem Sicherheitsaudit heraus, dass die „IT-Sicherheit bei Equifax wirklich nicht im Vordergrund steht“.

Im August 2018 war dann der GAO-Abschlussbericht fertiggestellt, den die US-Regierung in Auftrag gegeben hatte. Er stand der breiten Öffentlichkeit im September zur Verfügung. Der Abschlussbericht listet die Geschehnisse chronologisch auf. Demnach scannten die IT-Leute bei Equifax am 10. März ihr Server nach einer Schwachstelle über die sie zwei Tage zuvor gewarnt worden waren durch US-CERT. Informationen zu dieser bestimmten Sicherheitslücke erhielten die Equifax-Admins mittels einer E-Mail. Leider griff man auf eine veraltete E-Mail-Liste zurück und einige Systemadministratoren erhielten die Infos nicht. So wurde der Server von Equifax nur unvollständig aktualisiert, anschließend gescannt und als nicht verwundbar eingestuft.

Einen Monat später gingen die Hacker bei Equifax wieder ans Werk.

Sie zielten ihre Anfragen ausgehend von den online Abfrageportalsystemen an andere Systemdatenbanken und suchten systematisch nach persönlichen Daten. Sie wurden fündig in einem Datenspeicher und erhielten unverschlüsselte Benutzernamen und Passwörter, mit denen sie dann weiteren Zugriff auf andere Datenbanken erhielten. Nun hatten sie freien Zutritt zu 48 Datenbanken von Equifax. Laut den Protokollen führten sie dann ca. 9.000 Abfragen durch, um die persönlichen Daten der Kunden zu sammeln. Auch hier meldete der Server keine verdächtigen Vorgänge, denn man hatte keine Abfragelimitierung gesetzt. Der Untersuchungsbericht stellt auch fest, hätte Equifax die Datenbanken kleiner segmentiert, wäre der Schaden nicht so groß gewesen. Schritt für Schritt griffen die Hacker dann die Kundendaten ab, ohne einen einzigen Systemalarm auszulösen. Sie tarnten diesen Austausch als ganz normaler Netzwerkverkehr mit Standard-verschlüsselten Webprotokollen. Das ging weiter bis Ende Juli. Dann erst wurde der Hack bei einer Routineüberprüfung entdeckt. Eineinhalb Monate lange konnten sie also unerkannt ihr Unwesen treiben. Das war möglich, weil das digitale Zertifikat des Geräts zur Überprüfung des Netzwerkverkehrs erst Ende Juli aktualisiert wurde. Diese Aktualisierung war unglaubliche zehn Monate überfällig gewesen.

Nun nahm der Vorfall endlich ein Ende, als die Equifax-IT-Verantwortlichen den Zugriff auf einige ihrer Internetadressen blockierten. Dann gingen sie ans Werk, den Angriff anhand der von den Hackern zurückgelassenen Protokolle nachzuvollziehen. Tausende von Abfragen mussten durchgeführt werden, um festzustellen, wie viele Kundeninformationen tatsächlich betroffen waren. Etwa einen Monat später war das Ausmaß dann klar.

Unterm Strich zeigt dieser Vorfall auf, wie wichtig selbst kleine Details bei der Systemverwaltung sind. IT-Abteilungen sollten sich nicht ausruhen und  zu jedem Zeitpunkt akribisch arbeiten.

Siehe auch:

• Equifax – Hacking leicht gemacht auf das Kreditbüro 
• US Steuerbehörde legt Equifax Vertrag nach Hackereinbruch doch auf Eis
• Equifax – Gefahr schon Monate zuvor bekannt gewesen

Artikel von gao.gov, August 2018: Actions Taken by Equifax and Federal Agencies in Response to the 2017 Breach
Artikel von theregister.co.uk, 17.09.2018: Equifax IT staff had to rerun hackers‘ database queries to work out what was nicked – audit

Urheberrecht Beitragsbild: shutterstock.com