image

Equifax reageert op kritiek op informatievoorziening datalek

zaterdag 9 september 2017, 07:48 door Redactie, 16 reacties

Kredietbeoordelaar Equifax heeft gereageerd op de kritiek op de informatievoorziening over het datalek waarbij de gegevens van 143 miljoen Amerikanen zijn gestolen. Aanvallers wisten in mei via een kwetsbaarheid in een webapplicatie toegang tot bestanden met vertrouwelijke informatie te krijgen.

Het duurde ruim twee maanden voordat Equifax de hack ontdekte. Vanwege de datadiefstal werd er een aparte website gelanceerd waar mensen konden kijken of hun gegevens gestolen waren en zich aanmelden voor kredietmonitoring en identiteitsdiefstalbescherming. De website maakte aan sommige mensen niet duidelijk of ze getroffen waren, wat voor felle kritiek zorgde. Ook waren er problemen om Equifax telefonisch te bereiken. Daarnaast was er kritiek op de voorwaarden om van de identiteitsdiefstalbescherming gebruik te maken. Daarin stelde Equifax dat door het gebruik van deze dienst particulieren geen recht meer hadden om het bedrijf aan te klagen.

De kredietbeoordelaar laat in een update weten dat de problemen met de website zijn verholpen, zodat mensen nu wel uitsluitsel krijgen of ze slachtoffer zijn. De tekst van de voorwaarden is daarnaast aangepast, waardoor mensen van identiteitsdiefstalbescherming gebruik kunnen maken en het recht behouden om Equifax aan te klagen. Verder is het aantal mensen in het callcenter verdrievoudigd tot meer dan 2000 mensen. Inmiddels zijn verschillende Amerikaanse staten een onderzoek naar de datadiefstal gestart en zijn er twee zogeheten class-action rechtszaken ingediend. Volgens de klagers was Equifax nalatig in het beschermen van klantgegevens, zo meldt Reuters.

Reacties (16)
09-09-2017, 08:50 door Lex Borger
Hmmm. Twee maanden nodig voor detectie. En dan nog grofweg een maand voor notificatie als ik goed reken. Houd dit even tegen het licht met de AVG-eisen...
09-09-2017, 09:31 door Anoniem
Class-action rechtszaken zijn waarschijnlijk de meest effectieve manier om deze bedrijven met de neus op de feiten te drukken, namelijk dat het ontbreken van een goede beveiliging nu meer geld gaat kosten dan het correct implementeren daarvan.
Persoonlijk zou ik ook pleiten voor wettelijk vastgelegde hoofdelijke verantwoordelijkheid, zodat ook aan de bestuurlijke top, de bittere noodzaak van een goede beveiliging gaat inzien.
09-09-2017, 09:41 door Anoniem
De customer success story "Equifax and Fireeye for best security" is ook snel van de Fireeye website gehaald.
09-09-2017, 09:45 door karma4
Door Lex Borger: Hmmm. Twee maanden nodig voor detectie. En dan nog grofweg een maand voor notificatie als ik goed reken. Houd dit even tegen het licht met de AVG-eisen...
Je kunt die twee maanden ook uitleggen als het netjes beschikbaar hebben van alle logs zodat op het moment men vermoede dat er iets mis was twee maanden terug kon terwijl men een maand bezig was om te achterhalen wat er mis was.
Op die manier klinkt het ineens heel anders.

Het is de VS die hebben niets met AVG eisen. Alles wat regulerend en controlerend is is een belemmering van de vrije markt. De vrije markt met veel geld verdienen is de American Dream. Lukt het niet dan ligt dat aan jou zelf.
09-09-2017, 14:35 door Anoniem
Nou, mooie "update" hoor:

De eigenaar van www.equifaxsecurity2017.com heeft zijn of haar website niet juist geconfigureerd

Bij nader onderzoek blijkt dat de "certificaat chain" niet compleet is. Dat was eerder niet zo.

Daar ga je dan met je goeie gedrag.....
09-09-2017, 15:22 door karma4 - Bijgewerkt: 09-09-2017, 17:41
Door Anoniem: De customer success story "Equifax and Fireeye for best security" is ook snel van de Fireeye website gehaald.
Die wist ik niet. Interessante ontwikkeling. Met de hack bij Target waren ze ook betrokken. De CEO ging uiteindelijk de laan uit. In dat geval waren de alerts afgegaan en gemeld maar niemand reageerde er op totdat het te laat was.

http://fortune.com/2017/07/31/researcher-fireeye-cybersecurity-hacked/
Interessant al die lins die naar boven komen.
https://krebsonsecurity.com/2017/09/equifax-breach-response-turns-dumpster-fire/
10-09-2017, 10:37 door Anoniem
Door karma4: Je kunt die twee maanden ook uitleggen als het netjes beschikbaar hebben van alle logs zodat op het moment men vermoede dat er iets mis was twee maanden terug kon terwijl men een maand bezig was om te achterhalen wat er mis was.
Op die manier klinkt het ineens heel anders.
Alleen als je niet verder kijkt dan de zinnen die je produceerde, niet als je een paar momenten nadenkt. Ze beheren een grote hoeveelheid aan zeer privacygevoelige data, namelijk precies wat een identiteitsdief nodig heeft om toe te kunnen slaan, en als je zo'n dataset beheert dan ben je er ook verantwoordelijk voor. Dat ze logbestanden hebben bewaard om te analyseren is geen bijzondere verdienste, het is een basisvoorwaarde om hun verantwoordelijkheid te kunnen nemen, en nog lang niet de enige. Een maand de tijd nemen om de inbraak wereldkundig te maken is onverantwoordelijk, ze hadden direct iedereen die er mogelijk door getroffen is de kans moeten geven om maatregelen te treffen, ook als ze nog geen overzicht hadden van de omvang van die groep. Dat ze in de eerste instantie ook nog het geven van informatie koppelden aan het opgeven van het recht om ze te vervolgen voor de schade geeft aan wat de mentaliteit is bij die tent.

En er is inmiddels meer ellende naar buiten aan het komen:
• De tool die nu online staat om te checken of je bent geraakt geeft willekeurige resultaten. Bij dezelfde query ben je de ene keer wel en de andere keer niet geraakt, ook als de ingevulde gegevens willekeurige onzin zijn.
• De pincode die mensen bij een "security freeze" krijgen blijkt al jaren niet meer dan een timestamp te zijn.

https://techcrunch.com/2017/09/08/psa-no-matter-what-you-write-equifax-may-tell-you-youve-been-impacted-by-the-hack/
https://mobile.twitter.com/webster/status/906638411930497029

Dat bedrijf schiet ernstig tekort in het beschermen van de gegevens die ze beheren.
10-09-2017, 12:34 door karma4
Door Anoniem: ... [Alleen als je niet verder kijkt dan de zinnen die je produceerde, niet als je een paar momenten nadenkt. Ze beheren een grote hoeveelheid aan zeer privacygevoelige data, namelijk precies wat een identiteitsdief nodig heeft om toe te kunnen slaan, en als je zo'n dataset beheert dan ben je er ook verantwoordelijk voor. Dat ze logbestanden hebben bewaard om te analyseren is geen bijzondere verdienste, het is een basisvoorwaarde om hun verantwoordelijkheid te kunnen nemen, en nog lang niet de enige.
...
Ik bekijk het graag van meerdere kanten, als je de normale goede gang van zaken onderuit haalt met argumenten, prima.
Dan komen we tot een meer overwogen inzicht.
Mijn eerste reactie was overigens kritisch, dat het niet goed zit. Dat er onaangekondigd/ niet gepland aandelen verkocht zijn. https://www.security.nl/posting/530310/Priv%C3%A9data+143+miljoen+Amerikanen+gestolen+bij+kredietbeoordelaar

Of het meteen wereldkundig gemaakt kon worden is mij niet helder. Als je niet echt weet wat er aan de hand is kun je van alles gaan zeggen wat dan later ver bezijden de waarheid is. Daar hebben we genoeg gevallen van.

Dat met die zee rare website en alles er omheen kon je ook krebs lezen. Of er nog iets speelt met mandiant (fireeye) en edelman PR zijn andere wonderlijke zaken waar hopelijk betere duidelijkheid geboden gaat worden. Ik zie het struts lek nu als hoofdverdachte in het nieuws. Gezien het genoemde wijd verspreide gebruik is dat een schok voor verplichte updates.
10-09-2017, 13:42 door Anoniem
Door karma4: Of het meteen wereldkundig gemaakt kon worden is mij niet helder. Als je niet echt weet wat er aan de hand is kun je van alles gaan zeggen wat dan later ver bezijden de waarheid is. Daar hebben we genoeg gevallen van.
Op 29 juli, zeggen ze zelf, hebben ze de ongeautoriseerde toegang geconstateerd. Op dat moment wisten ze dus al iets heel belangrijks. Als men kan constateren dat toegang ongeautoriseerd is dan weet men vermoedelijk ook al iets over welke gegevens of welk soort gegevens benaderd kunnen zijn, de autorisatie gaat namelijk over waar iemand al dan niet bij kan en daar wisten ze op 29 juli iets concreets over.

Ik kan me goed voorstellen dat het onderzoek vergt om de volle omvang van het probleem te achterhalen, en ook dat er wellicht een hoop te onderzoeken valt over hoe de toegang precies is verkregen, maar het is niet zo dat ze niets wisten. Tel bij die kennis op dat ze daar gegevens vastleggen waarmee in de VS uit naam van een ander leningen mee afgesloten kunnen worden. De conclusie is dat er een concreet en urgent probleem bestaat dat mensen buiten hun schuld financieel in de shit belanden door dat lek. Edifax kon het niet maken om dat voor zich te houden, zoiets moet je wereldkundig maken, ook als je nog niet kan aangeven wiens gegevens er wel en niet zijn gelekt.

En dat hoef je niet allemaal te bedenken op het moment dat het gebeurt. Een organisatie die zijn zaken goed op orde heeft heeft uitgebreid what-if-scenario's doorgewerkt en de draaiboeken voor dit soort calamiteiten klaarliggen.
10-09-2017, 15:36 door karma4
Door Anoniem: [Op 29 juli, zeggen ze zelf, hebben ze de ongeautoriseerde toegang geconstateerd. Op dat moment wisten ze dus al iets heel belangrijks. Als men kan constateren dat toegang ongeautoriseerd is dan weet men vermoedelijk ook al iets over welke gegevens of welk soort gegevens benaderd kunnen zijn, de autorisatie gaat namelijk over waar iemand al dan niet bij kan en daar wisten ze op 29 juli iets concreets over.
..
Tel bij die kennis op dat ze daar gegevens vastleggen waarmee in de VS uit naam van een ander leningen mee afgesloten kunnen worden.
..
En dat hoef je niet allemaal te bedenken op het moment dat het gebeurt. Een organisatie die zijn zaken goed op orde heeft heeft uitgebreid what-if-scenario's doorgewerkt en de draaiboeken voor dit soort calamiteiten klaarliggen.
Voor dat laatste zijn we het eens. Nu gaarne het onderzoek naar alle organisaties waar dit order is.
Ik heb het sterke vermoeden dat zoiets nog wel eens heel minimaal zou kunnen zijn. Iedereen zegt wel dat het zo hoort maar het kost geld en brengt niets op, waarom zou het dan gedaan worden.

Dat leningen afsluiten in naam van een ander zonder behoorlijke controle op de juiste persoon is al een gotspé waarop de kredietverleners aangesproken zouden moeten worden niet de derden als personen/slachtoffers. De machtsverhouding van rijke bedrijven met vertegenwoordiging in de regering tegenover gewone burgers is nogal in onbalans. Dit punt hoort elders.

Komen we terug op constateren van een hack zonder nog te weten wat de impact is.
https://www.theverge.com/2014/3/13/5503952/targets-security-system-reportedly-caught-massive-hack-but-was-ignored Als je niets met een alert doet of kan doen wegens het grote aantal alerts dan is er effectief niets.
Voor die overreactie "het hele netwerk is onbetrouwbaar", "alles moet plat gelegd worden" kun je de voorbeelden denk ik wel vinden. Heel handig als dan achteraf blijkt dat het een handjevol machines gaat zeer gericht op bepaalde personen (whale phising).
Als je weet de frontend ofwel de winkel lek is, zonder te weten wat nu het doel van de aanval is, ga je dan je bedrijf meteen plat leggen? In dit verhaal is het vreemd dat de informatie selectief aangeboden wordt op de zwarte markt aan Equifax zelf. (zie krebs). Als de opbrengsten om het vrij aan te bieden veel lucratiever zijn waarom dan dat niet.
10-09-2017, 21:22 door Anoniem
Door karma4: Voor dat laatste zijn we het eens. Nu gaarne het onderzoek naar alle organisaties waar dit order is.
Ik heb het sterke vermoeden dat zoiets nog wel eens heel minimaal zou kunnen zijn. Iedereen zegt wel dat het zo hoort maar het kost geld en brengt niets op, waarom zou het dan gedaan worden.
Dat is het punt niet. De verantwoordelijkheid om de data goed te beschermen ligt bij die organisatie. Ze kunnen dat te duur vinden, maar dat ontslaat ze niet van die verantwoordelijkheid. En Edifax is groot, zonder dat hun systemen daarmee veel complexer hoeven te worden dan die van kleinere concurrenten die dezelfde diensten bieden en dezelfde logica moeten implementeren. Die hebben een schaalvoordeel dat benut kan worden om het dan ook beter te doen dan de concurrent. Ze wekken niet de indruk dat gedaan te hebben.

Dat leningen afsluiten in naam van een ander zonder behoorlijke controle op de juiste persoon is al een gotspé waarop de kredietverleners aangesproken zouden moeten worden niet de derden als personen/slachtoffers.
Ja, maar ondertussen werkt het daar wel zoals het op dit moment werkt. Soms is een onwenselijke situatie een gegeven. En bedenk wel dat Edifax daaraan verdient door beschermingsconstructies aan te bieden aan particulieren als het mis is gegaan. Als ze eraan verdienen is het niet raar om van ze te vragen er rekening mee te houden.

Als je weet de frontend ofwel de winkel lek is, zonder te weten wat nu het doel van de aanval is, ga je dan je bedrijf meteen plat leggen?
Hier is toch helemaal geen sprake van iets platleggen? Het lek is kennelijk snel genoeg na ontdekking gedicht. Wat men gedurende een maand heeft nagelaten is iedereen die potentieel benadeeld is ervan op de hoogte te stellen. Da's wat anders dan de zaak platleggen.
11-09-2017, 07:41 door Anoniem
Door Anoniem: Class-action rechtszaken zijn waarschijnlijk de meest effectieve manier om deze bedrijven met de neus op de feiten te drukken, namelijk dat het ontbreken van een goede beveiliging nu meer geld gaat kosten dan het correct implementeren daarvan.
Persoonlijk zou ik ook pleiten voor wettelijk vastgelegde hoofdelijke verantwoordelijkheid, zodat ook aan de bestuurlijke top, de bittere noodzaak van een goede beveiliging gaat inzien.

jammer dan dat het kalf alweer...
11-09-2017, 10:35 door [Account Verwijderd]
[Verwijderd]
11-09-2017, 19:03 door karma4
Door Anoniem: ......
Hier is toch helemaal geen sprake van iets platleggen? Het lek is kennelijk snel genoeg na ontdekking gedicht. Wat men gedurende een maand heeft nagelaten is iedereen die potentieel benadeeld is ervan op de hoogte te stellen. Da's wat anders dan de zaak platleggen.
Het is de standaard reactie van een soc. Zodra er iets ontdekt is komt de escalatie dat de systemen uit moeten.
Als het lek nog onbekend is bij de externe softwareleverancier dan moet je op die Patch gaan wachten.
Denk even aan dat laatste struts gebeuren en je ziet de spagaat
11-09-2017, 19:08 door karma4
Door Anoniem:
Dat is het punt niet. De verantwoordelijkheid om de data goed te beschermen ligt bij die organisatie. Ze kunnen dat te duur vinden, maar dat ontslaat ze niet van die verantwoordelijkheid. En Edifax is groot, zonder dat hun systemen daarmee veel complexer hoeven te worden dan die van kleinere concurrenten die dezelfde diensten bieden en dezelfde logica moeten implementeren. Die hebben een schaalvoordeel dat benut kan worden om het dan ook beter te doen dan de concurrent. Ze wekken niet de indruk dat gedaan te hebben.
Eens dat is het ideaal. Mijn ervaringen met grotere organisaties budget gebonden etc zijn niet overeenkomstig dat ideaal, integendeel.
12-09-2017, 07:47 door Anoniem
Door karma4: Het is de standaard reactie van een soc. Zodra er iets ontdekt is komt de escalatie dat de systemen uit moeten.
Alleen is er geen enkele indicatie dat dat hier de reactie was, zelf stellen ze:
Equifax discovered the unauthorized access on July 29 of this year and acted immediately to stop the intrusion.
Voor zover ik weet is Equifax niet een maand uit de lucht geweest, dus los van wat naar jouw inschatting de standaardreactie is denk ik niet dat die hier van toepassing is. Je opmerking die je maakte over "je bedrijf platleggen" lijkt mij in dit geval de plank misslaan.
Door karma4: Eens dat is het ideaal. Mijn ervaringen met grotere organisaties budget gebonden etc zijn niet overeenkomstig dat ideaal, integendeel.
Dat dat ideaal lang niet altijd wordt waargemaakt weet ik. Maar ik bedoel het niet als een vage droom van hoe de wereld zou moeten zijn maar als een norm die een samenleving kan stellen. Naarmate de berg data waarop een organisatie zit bij misbruik tot grotere schade kan leiden neemt de verantwoordelijkheid om die data goed te bewaken ook toe. En niet alleen de verantwoordelijkheid, ook de capaciteit. Dataverwerking is, mits goed opgezet, nou eenmaal heel wat beter schaalbaar dan bijvoorbeeld fysieke produktielijnen. Het lijkt erop dat Equifax ernstig nalatig is geweest in het nemen van die verantwoordelijkheid en het daartoe benutten van die capaciteit.

Dit treft iets van 57% van alle Amerikaanse volwassenen, het is echt enorm. Als dat bedrijf de moeite niet heeft genomen om rekening met al die mensen te houden door zich af te vragen wat er mis zou kunnen gaan, te beseffen hoe groot dat kon worden en passende maatregelen te nemen, dan zie ik geen enkele reden waarom de Amerikaanse bevolking of wie dan ook de moeite moet nemen om begrip te hebben voor de keuzes die dat bedrijf heeft gemaakt. Die hebben een enorme verantwoordelijk op zich genomen en zich er niet naar gedragen. Jouw "op die manier klinkt het ineens heel anders", waar deze discussie mee begon, vind ik om die reden misplaatst.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.