Equifax gebruikte 'admin' als wachtwoord voor kredietportaal
De Amerikaanse kredietbeoordelaar Equifax waar in 2017 de gegevens van meer dan 147 miljoen Amerikanen werden gestolen had het eigen portaal voor het beheren van kredietgeschillen met de gebruikersnaam en wachtwoord "admin" beveiligd, zo blijkt uit een gerechtsdocument (pdf).
Tevens werd er geen tweefactorauthenticatie toegepast om toegang tot het portaal te krijgen. Deze zomer besloot Equifax het datalek voor een bedrag van 575 miljoen dollar met de Amerikaanse toezichthouder FTC te schikken, hoewel er felle kritiek op de uitwerking is. De aanvallers die bij Equifax wisten in te breken maakten gebruik van een kwetsbaarheid in Apache Struts waarvoor de kredietbeoordelaar de patch niet had geïnstalleerd.
Eerder werd al bekend dat het bedrijf op allerlei vlakken fouten had gemaakt. Zo was een certificaat voor het inspecteren van versleuteld verkeer al tien maanden verlopen en maakte het bedrijf gebruik van een verouderde mailinglist waardoor niet alle beheerders over de Struts-update werden geïnformeerd.
Uit het gerechtsdocument zijn nu meer details boven water gekomen. Zo werden de gegevens van honderden miljoenen Amerikanen niet versleuteld opgeslagen en verstuurd. Wanneer Equifax wel data versleutelde stonden de sleutels om de encryptie te ontsleutelen op dezelfde servers, wat het eenvoudig maakte om de data te ontsleutelen. Ook op dit vlak voldeed Equifax niet aan industriestandaarden, zo laat het gerechtsdocument weten.
Equifax stond verder zwakke wachtwoorden en beveiligingsvragen toe. Zo waren gegevens beschermd met viercijferige pincodes, afgeleid van iemands social security nummer of verjaardag. Tevens werden systemen en netwerken niet goed gemonitord en zou de kredietbeoordelaar een eerder uitgevoerde security-audit die allerlei problemen aan het licht bracht niet serieus hebben genomen.
Het document heeft betrekking op een zaak die door aandeelhouders is aangespannen. Het gaat om personen die voor de aankondiging van het datalek aandelen hadden gekocht. Zij stellen dat ze door misleidende verklaringen van Equifax schade hebben opgelopen. De kredietbeoordelaar had de rechter gevraagd om de zaak te verwerpen, maar die ging daar niet in mee.
En dit commercieele bedrijf zit dus op zeer gevoelige financieele gegevens van heel erg veel Amerikanen. Je kan ze zelfs niet eens vragen om jouw data toch vooral met rust te laten, dus keuze om niet met ze in zee te gaan heb je niet. Hum.
En dit commercieele bedrijf zit dus op zeer gevoelige financieele gegevens van heel erg veel Amerikanen. Je kan ze zelfs niet eens vragen om jouw data toch vooral met rust te laten, dus keuze om niet met ze in zee te gaan heb je niet. Hum.
Had dit bedrijf eigen ontwikkelaars in dienst? Dat lijkt me wel enigszins van belang, als dit door een ingehuurd bedrijf is gemaakt, zou ik de rest van hun klanten eens even nalopen. Dit zijn allemaal wel heel basic fouten.
Software wordt snel en zo goedkoop mogelijk binnen de projectdeadline neergezet.
Het is de standaard werkwijze, niets bijzonders,
https://www.hsgac.senate.gov/download/majority-and-minority-staff-report_-how-equifax-neglected-cybersecurity-and-suffered-a-devestating-data-breach
Dit artikel vat het samen:
https://www.itpro.co.uk/security/33242/the-equifax-effect-explaining-the-biggest-security-disaster-of-the-21st-century
Misschien is het verstandig om niet aan te nemen wat je vindt als je echt zoekt maar om echt even te zoeken.
In dit geval wordt er namelijk geen melding gemaakt van uitbesteding maar van eigen IT- en beveiligingsafdelingen van Equifax die voor geen meter functioneren, met management erboven dat voor geen meter functioneert, het ontbreekt aan beleid en aan grip op een veel te complexe organisatie.
in je eerste: "Equifax employs 10,400 employees worldwide.26 Equifax organizes, assimilates, and analyzes data on more than 820 million consumers and more than 81 million businesses, and its database includes employee data contributed from more than 7,100 employers.27 " (pag 15)
"While the security department is responsible for identifying and monitoring cyber vulnerabilities, the IT department, which has over 8,000 employees, is responsible for applying patches and typically did so during scheduled maintenance windows.2 (pag 36) AL je nu niets opvalt, dan snap ik het niet meer.
CTC GTVM team zijn leuke andere zoekwoorden.
Terug naar de grote bekende namen. Ik had gezocht en nam aan dat iedereen dat wel zou kunnen. Als je weet wat je moet zoeken helpt dat. Zids de jaren 90 is geen enkele serieus nog bezig met alles in huis te houden. Aanbesteden uitbesteden, dan moet je daarna op zoek.
https://blogs.oracle.com/cx/customer-success-stories-2/page/9 "In the past, I wrote about Equifax's phenomenal success with Oracle CRM On Demand and Siebel CRM. Recently, I had the opportunity to learn more about their success by interviewing "de ERP tak.
https://www-03.ibm.com/press/us/en/pressrelease/27266.wss "BM and Equifax today announced they have signed a contract amendment for information technology (IT) services in the United States, Canada, Spain and the U.K. The agreement will enhance operational efficiency and strengthen the services relationship between Equifax and IBM which started in 1993. "de technologie datacenter
https://www.fico.com/en/newsroom/fico-lexisnexis-risk-solutions--equifax-joining-to-generate-trusted-alternative-data-scores-for-millions-more-americans-04-02-2015
"Based on extensive research, FICO’s data scientists found that alternative data such as property records, telecommunications and utility information can reliably be used to score 15 million consumers who do not have enough credit data to generate FICO scores. By using alternative data from LexisNexis and Equifax, FICO will give card issuers a FICO® Score that complies with relevant regulations that they can use to extend credit responsibly to millions of additional people."
Het is niets bijzonders elke grote organisatie werkt zo. ICT is een kostenpost dat het liefst zo goedkoop mogelijk bijvoorbeeld in India via een tussenpartij gedaan moet worden. En kijk: https://economictimes.indiatimes.com/tech/software/tcs-buys-out-grupo-tba-stake-in-brazil/articleshow/2076108.cms "The company operates delivery centers in Sao Paulo and Brasilia and provides services to over 30 clients including ABN Amro, Goodyear, Equifax and Brasil Telecom, among others."
even verder: https://www.bizjournals.com/atlanta/news/2016/09/08/equifax-opens-4-5-million-shared-services-center.html Een beeld dat ze wel eigen datacenters neerzetten maar het beheer daar niet echt invullen. Dat naast de vele externe uitbestedingen. Chaotisch ten top. Natuurlijk zal daar niet al te diep op ingegaan worden met andere belangen op de achtergornd. Het is en blijft een zeer grote speler.
Dat neemt niet weg dat ze zelf IT-organisaties hebben, zelf aan patch-management doen, zelf hun security-mensen hebben, en dat het daar een ernstige puinhoop blijkt te zijn. Dat gaat niet mis bij IBM, Oracle of FICO, dat doen ze zelf niet goed.
.
Ze kopen heel veel in en krijgen de instructies van de externe leveranciers. Als het verkooppraatje is dat de beheer bijzaak is en de externe leverancier het wel oplost .
Dan heb je wel degelijk dat bekende cultuurprobleem.
Er is met d es budgettering en planning alles al van tafel geveegd. Herken je het echt niet? Raar.
Die verhouding met 8000 ict ers en 3000 anderen is ook een vreemde. Het zit meer richting een ict dienstverlener. Normale bedrijven doen het met 1 op de 10 of minder. Zelfs met data gedreven organisaties kom je niet aan die verhouding. De analyse van gegevens is geen ict taak.
Kijk eens in de jaarverslagen en je ziet meerdere bedrijfs onderdelen. De cio bij het verhaal met datalek had geen ict affiniteit. Je komt vrij snel terug op de externe adviezen van de grote bekende firma's.
Je kunt het leuk vinden of niet, her is ik wat ik waarneem.
Zoveel mogelijk buiten de deur. Het data-lek kan zo een welkome aanleiding geweest zijn om dit door te zetten.
https://www.cybersecurity-insiders.com/after-2017-data-breach-equifax-aims-for-utmost-cloud-security-with-google-cloud-platform/
"Disclosing the same at the Gartner It Symposium Conference held this week, Daniel Dubowski said that Equifax will be using Google Cloud Platform (GCP) for its new data fabric for all its data storage and analytics needs.
Unlike the previous strategy where data was dispersed onto multiple storage blobs related to AWS, Microsoft and Google, Equifax will now shift from the broad spectrum of strategy to one that more focuses and multitude from a single vendor i.e. GCP where applications will be as close as possible to the data in addition to more controls.
…
Thus, with this adoption of a full cloud strategy, Equifax aims to be data center free within 24 months."
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
