‘Equifax-hack was volledig te voorkomen met basis beveiligingsmaatregelen’

De hack bij Equifax in 2017 was volgens een rapport van het Amerikaanse House Oversight Committee volledig te voorkomen. Dat meldt TechCrunch. Het bedrijf had ondermaatse beveiligingspraktijken en -beleid, aldus het rapport. Ook waren systemen verouderd.

In september vorig jaar meldde Equifax, dat zich onder meer bezighoudt met de kredietwaardigheid van consumenten, dat het het slachtoffer was geworden van hackers. De gegevens van ongeveer 148 miljoen consumenten wereldwijd werden gestolen.

Het nieuwe rapport uit onder meer kritiek op de omgang met de hack door voormalig CEO Richard Smith, die na de hack “met pensioen ging”. Hij pochte dat het bedrijf “bijna 1.200 keer meer” data in handen had dan er in de Library of Congress staat. Het rapport stelt echter dat Equifax niet genoeg had gedaan om “een adequaat beveiligingsprogramma te implementeren om deze gevoelige data te beschermen”. De hack zou zelfs volledig te voorkomen zijn geweest.

Beveiligingsproblemen

Zo patchte het bedrijf geen kwetsbaarheid in Apache Struts nadat Homeland Security hier een aantal maanden eerder een waarschuwing over gaf. De Apache Struts-server draaide een vijftig jaar oud web-facing systeem waarmee consumenten hun kredietscores konden bekijken via de website.

De aanvallers gebruikten de kwetsbaarheid om een web shell op de server te plaatsten en wisten twee maanden lang toegang te behouden. Vervolgens konden ze door de diverse systemen van het bedrijf kammen door een niet-versleuteld bestand met wachtwoorden op een server te bemachtigen. De hackers kregen daarmee toegang tot ruim 48 databases met kredietdata van consumenten die niet versleuteld was.

Het stelen van de data werd verder niet opgemerkt, omdat het apparaat dat het netwerkverkeer van de server moest monitoren al 19 maanden niet actief was wegens een verlopen beveiligingscertificaat. Het duurde nog twee maanden voor het certificaat hernieuwd werd, waarna werknemers direct verdacht verkeer opmerkten.

Reactie Equifax

“We zijn diep teleurgesteld dat het committee besloten heeft om ons niet genoeg tijd te geven om het rapport van honderd pagina’s met erg technische en belangrijke informatie te bekijken en er op te reageren”, aldus woordvoerder Wyatt Jefferies van Equifax. “Tijdens de paar uur die we kregen om een eerste blik te werpen, hebben we significante onjuistheden ontdekt en we zijn het niet eens met veel van de bevindingen.”