Витік даних в Equifax: катастрофа, якої можна було уникнути

У вересні 2017 року американське бюро кредитної історії Equifax повідомило про те, що хакери отримали доступ до даних компанії. Ця новина миттєво облетіла ЗМІ й стала сенсацією, тому що мова йшла про 143 млн американських споживачів. 

Зловмисники викрали дуже чутливу інформацію: імена, дати народження, фізичні адреси, номери соцстрахування та кредитних карток. Але найдивніше було те, що цьому масштабному інциденту можна було легко запобігти. 

Річ у тому, що першою вразливістю, якою скористалися зловмисники, була CVE-2017-5638. Для неї на той момент вже існував патч, але служба кібербезпеки Equifax не встановила його вчасно – і хакери це помітили.

Пізніше зловмисники скористалися ще однією вадою – відсутністю сегментації мережі. Вони швидко потрапили на інші сервери й отримали доступи до значної кількості комп’ютерів. Там облікові дані зберігалися у відкритому тексті, що також є великою помилкою у кібербезпеці.

У звіті Рахункової палати США зазначається, що компанія Equifax мала необхідні інструменти, щоб розшифровувати, аналізувати та повторно шифрувати дані. Втім, вони не використовувались, оскільки сертифікат TLS був прострочений, а зашифрований трафік не перевірявся.

Витік виявлено лише 29 липня 2017 року, а хакери почали діяти 10 березня. Тобто у зловмисників було 4,5 місяці на здійснення задумів. Лише поновивши термін дії сертифіката TLS, адміністратори компанії виявили порушення безпеки. 

Хто саме атакував Equifax, не відомо досі. До даркнету викрадені дані так і не потрапили, тобто хакери не скористалися можливістю швидко отримати гроші. Крім того, маючи прямий доступ до даних, зловмисники чекали два місяці, перш ніж почати масово їх завантажувати.

Орієнтуючись на ці ознаки, держоргани США вважають, що на різних етапах злому діяли різні хакери: спочатку це були початкові брокери доступу, які згодом продали свій доступ досвідченішим зловмисникам. Після завершення розслідування США звинуватили у цій атаці Китай, а компанія Equifax в результаті інциденту втратила 1,38 мільярда доларів.

Основні помилки Equifax і уроки, які варто вивчити кіберфахівцям:

1. Ігнорування оновлень безпеки призводить до критичних вразливостей.
2. Відсутність контролю над ІТ-активами не дозволяє вчасно виявляти загрози.
3. Повільне реагування на інциденти дозволяє зловмисникам довго залишатися непоміченими.
4. Зберігання даних без шифрування робить їх легкою здобиччю.
5. Слабка кіберкультура в компанії створює умови для повторення інцидентів.
6. Відсутність своєчасних пентестів та перевірок безпеки позбавляє можливості виявити й усунути критичні вразливості.

Інцидент з Equifax демонструє, що навіть великі компанії можуть зазнати катастрофічних втрат, якщо нехтують базовими принципами кібергігієни, а неуважність до деталей у безпеці може мати національні та навіть глобальні наслідки.