+43 699 / 18199463
office@itexperst.at
US Steuerbehörde kündigt Vertrag mit Equifax

US Steuerbehörde legt Equifax Vertrag nach Hackereinbruch doch auf Eis

Equifax, mit Sitz in Atlanta, Georgia, gehört zu den weltweit größten Finanzdienstleistungsunternehmen. Es sammelt Finanzdaten von Millionen von Verbrauchern auf die Unternehmen zurückgreifen können, um die Kreditwürdigkeit einzelner Verbraucher zu überprüfen.

Als im September der Fall ans Licht kam, das Equifax im ganz großen Stil gehackt wurde und das Unternehmen dies gegenüber der Öffentlichkeit verschwieg, war der Skandal groß. Die US-Steuerbehörde hielt danach aber weiter an der Zusammenarbeit mit Equifax fest, unterzeichnete sogar einen neuen Vertrag mit der Wirtschaftsauskunftei. Sie vertritt die Ansicht, dass es keine annähernd fähige Konkurrenz gibt für Equifax.

Der Gesetzgeber und der Senat hatten diese Vergabe dagegen schwer kritisiert. Bei dem mit 7,2 Mio. US-Dollar dotiert Vertrag ging es um die Überprüfung von Steuerzahler-Identitäten, die ein neues Steuerkonto erstellen. Nun wurde dieser Vertrag erst einmal auf Eis gelegt und für diese Verbraucher ist das ein ziemlich unangenehmer Umstand. Sie können damit bis auf Weiteres keine neue Konten einrichten. Das dazu nötige Programm „Secure Access“ kann nicht genutzt werden.

Hintergrund des Ganzen ist, dass im Oktober bekannt wurde, dass eine Website von Equifax mit Malware infiltriert wurde. Die betreffende Equifax Webseite forderte Seitenbesucher auf, Spyware Code von Drittanbietern herunterzuladen. Diese war als ein Update für die Adobe Flash Player-Software getarnt.

Der Sicherheitsexperte und Blogger Randy Abrams berichtete als einer der Ersten darüber. Sein Browser wurde mit einer Nachricht angehalten, die ihn aufgeforderte, den Adobe Flash Player herunterzuladen.

Als ich versuchte, meine Kreditauskunft auf der Equifax-Website zu finden, klickte ich auf einen Equifax-Link und wurde auf eine bösartige URL umgeleitet deren Domainadresse hxxp//: centerbluray.info lautete,

schrieb er.

Laut Abrams leitet die Equifax-Seite, Browser auf mindestens vier Domains um, bevor der Flash-Download schließlich gestartet wird.

„Die URL führte zu einen der weit verbreiteten gefälschten Flash Player-Update-Fenster.“

Abrams geht davon aus, dass die Angreifer die Downloads immer nur einmal und auch nur an eine bestimmte Menge von Besuchern loslassen. Heruntergeladen wurde eine Datei mit der Bezeichnung MediaDownloaderIron.exe. Sie wurde nur von Panda, Symantec und Webroot als Adware erkannt. Eine separate durchgeführte Malware-Analyse von Payload Security zeigte, dass ihr Code stark verschleiert wurde, um sich vor Reverse Engineering zu schützen.

Dan Goodin von Ars Technica berichtete, dass das gefälschte Flash Player Installationsprogramm von nur drei Antivirenprogrammen als „Adware.Eorezo“ identifiziert wurde. Das Programm zeigt Werbung in Internet Explorer an und installiert unerwünschte Browsersymbolleisten und andere Programme installieren.

Aufgrund Goodins Veröffentlichung deaktivierten die Verantwortlichen bei Equifax dann die fragliche Seite. Gleichzeitig kündigte Equifax Untersuchungen an. Wenig später gab das Unternehmen bekannt, das Problem sei erkannt und stamme vom Code eines nicht näher benannten Drittanbieters. Equifax greift auf diesen Anbieter zurück, um Websitedaten zu sammeln, hieß es. Das Unternehmen entfernte daraufhin diesen Anbieter. Es beeilte sich auch mit einer öffentlichen Erklärung, die so lautete:

„Trotz früherer Medienberichte kann Equifax bestätigen, dass ihre Systeme nicht kompromittiert wurden und dass das gemeldete Problem nicht unser Online-Streitschlichtungsportal betraf.“

Ob das die vielen Millionen amerikanischen Steuerzahler beruhigen kann, ist allerdings fraglich.

KrebsOnSecurity veröffentlichte nämlich ihre Erkenntnisse und warnte: Die Equifax Einkommens- und Steuerverwaltungs-Webseite ist sehr leicht zugänglich. Dazu seien lediglich die Sozialversicherungsnummer und das Geburtsdatum nötig. Genau diese Daten sind in dem großen Datenvorfall, der im September bekannt wurde, gestohlen worden. Vielleicht bekam Equifax daraufhin kalte Füße. Sie deaktivierte diese Webseite jedenfalls kurz darauf.

Es kann festgehalten werden, dass Unbefugte sich wieder an der Equifax Webseite zu schaffen machen konnten. Und wieder haben es die Verantwortlich im Unternehmen weder bemerkt noch geeignete Sicherungsmaßnahmen im Einsatz gehabt. Und allein das ist das Erschreckende.

Siehe auch: Equifax – Hacking leicht gemacht auf das Kreditbüro

Artikel von politico.com, 12.10.2017: IRS temporarily suspends contract with Equifax
Artikel von thehill.com, 12.10.2017: IRS suspends Equifax contract: report
Artikel von krebsonsecurity.com, 12.10.2017: Equifax Credit Assistance Site Served Spyware
Artikel von arstechnica.com, 12.10.2017: Equifax website borked again, this time to redirect to fake Flash update

Urheberrecht Beitragsbild: shutterstock.com

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen