Duizenden bedrijven gebruiken nog de software die het Equifax-lek veroorzaakte

Vorig jaar september wisten hackers de gegevens van 143 miljoen Amerikanen buit te maken. Het gigantische datalek vond plaats bij de creditcardfirma Equifax, wat een goed moment had moeten zijn voor grote bedrijven om te kijken naar de manier waarop ze omgaan met klantgegevens. Dat blijkt niet helemaal zo gelopen te zijn.

De kwetsbaarheid waar de hackers misbruik van maakten, bevond zich in breed gebruikte open-source webserversoftware. Daar was al een patch voor uitgebracht, maar Equifax had hem nog niet uitgerold. Daardoor konden de gegevens van miljoenen Amerikanen gestolen worden, waarmee de deur openstond voor identiteitsfraude. Een jaar na de release van diverse patches, gebruiken sommige van de grootste bedrijven nog altijd de kwetsbare software.

Apache Struts-software

Duizenden bedrijven draaien een kwetsbare versie van de Apache Struts-software. Die wordt gebruikt door zo’n beetje de halve Fortune 100 om webdiensten in Java aan te kunnen bieden. Het wordt gebruikt om zowel de front- als back-end van toepassingen te laten draaien. Waaronder dus bijvoorbeeld de publiek toegankelijke site van Equifax.

Maar dat bedrijf is lang niet het enige dat laks blijkt te zijn met de software. ZDNet zag gegevens in, die laten zien dat ten minste 10.800 bedrijven nog kwetsbare versies van de Struts-software draaien. Dat blijkt uit gegevens van de open-source firma Sonatype. Dat bedrijf gaf geen namen vrij, maar stelt dat een kwart van de bedrijven in Noord-Amerika actief is. Zeven daarvan zijn techreuzen en vijftien bieden financiële diensten of verzekeringen.

Dat is een opvallende constatering; de software van Apache Struts is al zesmaal van een update voorzien sinds het Equifax-lek, maar lang niet alle bedrijven zijn in bezit van die nieuwe software. Het blijkt dat oudere versies zelfs nog duizenden keren geïnstalleerd zijn de afgelopen tijd.