Equifax a été averti de la vulnérabilité mais n'a pas réussi à le corriger

Equifax Pirater mandiant
2017-10-03 07:33.
Capture d'écran: YouTube / Equifax

L'ancien PDG d'Equifax, Richard Smith, qui a «pris sa retraite» après qu'une violation massive de données dans son entreprise a entraîné le vol d'informations personnelles pour plus de 143 millions de personnes, doit témoigner devant un sous-comité du Congrès sur la protection des consommateurs demain. On s'attendra à ce que Smith explique exactement comment Equifax a gâché sa réponse au piratage, et son témoignage préparé jette un éclairage sur exactement ce qui n'a pas fonctionné.

La faille chez Equifax a été attribuée à une vulnérabilité dans Apache Struts qui a été découverte plus tôt cette année. Le 8 mars, le ministère de la Sécurité intérieure a averti que la vulnérabilité Struts pourrait donner aux attaquants distants la possibilité de prendre le contrôle total d'un système affecté et a exhorté les entreprises à corriger leurs systèmes. Equifax avait une procédure en place pour pousser les correctifs, mais cette procédure a échoué, a déclaré Smith.

L'équipe de sécurité d'Equifax devait corriger la vulnérabilité dans les 48 heures, a expliqué Smith, mais n'a pas découvert qu'elle utilisait une version vulnérable de Struts. Le 15 mars, l'équipe de sécurité a exécuté une autre analyse qui aurait dû détecter la version vulnérable de Struts, mais n'a pas réussi à le faire.

«Les efforts d'Equifax entrepris en mars 2017 n'ont identifié aucune version d'Apache Struts soumise à cette vulnérabilité, et la vulnérabilité est restée dans une application Web Equifax beaucoup plus longtemps qu'elle n'aurait dû», a expliqué Smith.

Des pirates informatiques ont apparemment découvert que la vulnérabilité était toujours présente en mai sur le site Web de règlement des différends de consommation d'Equifax, qui est utilisé par des personnes qui contestent des marques sur leur crédit. La société pense que les attaquants ont accédé pour la première fois aux informations sensibles le 13 mai. L'équipe de sécurité d'Equifax n'a rien remarqué de suspect jusqu'au 29 juillet, déclenchant une enquête attendue depuis longtemps.

Smith assume la responsabilité du désordre. «En tant que PDG, j'étais responsable de ce qui s'est passé sous ma montre», écrit-il. «L'entreprise n'a pas réussi à empêcher que des informations sensibles ne tombent entre les mains de malfaiteurs.»

Smith dit qu'il a été informé pour la première fois du piratage le 31 juillet lors d'une conversation avec le responsable de l'information d'Equifax. Lorsque les dirigeants ont appris que la violation fait également l' objet d'une enquête , étant donné que plusieurs d'entre eux ont jeté près d'un million en stock quelques jours plus tard les 1er et 2 août (le 2 août est également le jour où Equifax a embauché la société de criminalistique en cybersécurité Mandiant a contacté le Federal Bureau of Investigation pour signaler le piratage.)

L'enquête de Mandiant a révélé qu'une quantité importante d'informations personnelles avait été consultée, et les résultats de son enquête ont été partagés en interne le 17 août. Equifax ne comprenait toujours pas l'ampleur de la violation, a déclaré Smith. «Une complication substantielle était que les informations volées à Equifax avaient été stockées dans diverses tables de données, de sorte que retracer les enregistrements aux consommateurs individuels, étant donné le volume des enregistrements impliqués, était extrêmement long et difficile», écrit-il.

Equifax a finalement annoncé le piratage au public le 7 septembre - et son annonce a été aussi vivement critiquée que son échec à corriger la vulnérabilité Struts. Un site Equifax conçu pour aider les consommateurs à s'inscrire à la surveillance du crédit n'a pas fonctionné pendant des jours après l'annonce du piratage et comprenait une clause d'arbitrage obligatoire qui a ensuite été supprimée. Les centres d'appels mis en place pour aider les consommateurs ont subi des temps d'attente interminables. À un moment donné, l'équipe des médias sociaux d'Equifax a dirigé les consommateurs concernés vers un site conçu pour usurper Equifax en soulignant à quel point il serait facile de mettre en place un site de phishing ciblant les clients d'Equifax.

Smith a défendu les efforts d'assainissement d'Equifax. «La tâche était énorme - Equifax se préparait à expliquer et à offrir des services à chaque consommateur américain», écrit-il. Il a déclaré que plusieurs centres d'appels de Floride avaient été fermés par l'ouragan Irma, jetant une clé inattendue dans l'effort de réponse.

En fin de compte, Smith a déclaré que seulement 7,5 millions d'e-mails d'activation pour la surveillance du crédit avaient été envoyés à la fin du mois de septembre, ce qui ne représente qu'environ 5% des consommateurs concernés.

Alors, quelle est la prochaine étape? Smith, comme d'éminents experts en cybersécurité avant lui , dit qu'il est temps pour les Américains d'arrêter d'utiliser les numéros de sécurité sociale comme méthode d'authentification et d'identité, en particulier maintenant qu'Equifax a permis le vol de tant de numéros de sécurité sociale. «Nous devrions envisager la création d'un partenariat public-privé pour entamer un dialogue sur le remplacement du numéro de sécurité sociale comme pierre de touche pour la vérification d'identité dans ce pays. Il est temps d'avoir des procédures de vérification d'identité qui correspondent à l'ère technologique dans laquelle nous vivons », a déclaré Smith.

Suggested posts

Les propriétaires de Peloton Tread n'ont plus besoin d'un abonnement à « Just Run »

Les propriétaires de Peloton Tread n'ont plus besoin d'un abonnement à « Just Run »

En juin, Peloton a sorti sa fonction Tread Lock, qui fermait automatiquement les tapis roulants inactifs et nécessitait un code d'accès à 4 chiffres. La mise à jour faisait partie des mesures de sécurité promises par Peloton à la suite d'un rappel volontaire de ses tapis roulants (l'un en raison de rapports de blessures, l'autre en raison de problèmes d'affichage).

Fonctionnaire russe : des experts enquêteront sur les « conséquences » possibles du renversement de la station spatiale

Fonctionnaire russe : des experts enquêteront sur les « conséquences » possibles du renversement de la station spatiale

Le module Nauka à côté d'un vaisseau Soyouz. Les premiers rapports suggèrent que la Station spatiale internationale n'a subi aucun dommage à la suite d'un incident la semaine dernière impliquant le module Nauka nouvellement arrivé.

Related posts

Vous pouvez enfin acheter le lave-vaisselle de comptoir sans plomberie que nous attendions

Vous pouvez enfin acheter le lave-vaisselle de comptoir sans plomberie que nous attendions

Il n'y a pas beaucoup d'innovations dans les appareils de cuisine de nos jours (à moins que vous ne comptiez la connectivité wifi, l'intégration de l'assistant vocal ou l'ajout d'un écran inutile). C'est pourquoi le lave-vaisselle de comptoir Tetra de Heatworks qui ne nécessite aucun raccordement de plomberie était si excitant lorsqu'il a été annoncé pour la première fois.

Le Japon nomme et humilie les citoyens qui ne se conforment pas aux protocoles Covid-19

Le Japon nomme et humilie les citoyens qui ne se conforment pas aux protocoles Covid-19

Comme tout agent public vous le dira, il peut être difficile d'amener les citoyens à se conformer à certains mandats de santé publique, comme le port de masques, la distanciation sociale ou l'obtention d'un foutu vaccin. Ainsi, certaines autorités sanitaires ont commencé à adopter une tactique différente : nommer et humilier publiquement les personnes qui refusent de se conformer, dans l'espoir que la culpabilité les amènera à faire ce qu'il faut.

Pourrons-nous un jour modifier ou supprimer des souvenirs ?

Pourrons-nous un jour modifier ou supprimer des souvenirs ?

Impossible même d'aborder ce sujet sans faire référence à Eternal Sunshine of the Spotless Mind, dans lequel un Jim Carrey négligé fait appel à un cabinet médical légitime mais mal géré pour effacer la mémoire de son ex-petite amie. Si ce film avait un message, ce n'était certainement pas « effacer les souvenirs, c'est bien », mais ce n'est pas ce qui nous intéresse aujourd'hui ; ce qui nous intéresse aujourd'hui, c'est de savoir si l'effacement – ​​ou l'édition – des souvenirs est possible.

Pfizer augmente le prix du vaccin Covid-19 de 25 % en Europe : rapport

Pfizer augmente le prix du vaccin Covid-19 de 25 % en Europe : rapport

Le PDG de Pfizer, Albert Bourla, à Puurs, en Belgique, le 23 avril 2021. Pfizer augmente le prix de son vaccin contre le covid-19 en Europe de plus de 25 % dans le cadre d'un nouveau contrat négocié avec l'Union européenne, selon un rapport du Financial Times.

MORE COOL STUFF

La star de 'Jungle Cruise', Dwayne Johnson, détestait son nom de catch original, et ce n'est pas 'The Rock'

La star de 'Jungle Cruise', Dwayne Johnson, détestait son nom de catch original, et ce n'est pas 'The Rock'

Dwayne Johnson avait un nom de bague différent avant d'être connu sous le nom de "The Rock", mais il le détestait avec passion.

Quelle est la valeur nette d'Ant Anstead ?

Quelle est la valeur nette d'Ant Anstead ?

Anthony Anstead a toujours eu un amour profond pour les voitures. Qui est-il, comment gagne-t-il son argent et quelle est sa valeur nette en ce moment ?

"Sex and the City": un fan trouve la preuve que Stanford Blatch était avec Marcus Adant dans "Sex and the City: The Movie"

"Sex and the City": un fan trouve la preuve que Stanford Blatch était avec Marcus Adant dans "Sex and the City: The Movie"

Les fans de "Sex and the City" ne savent pas ce qui est arrivé à Marcus, le petit ami de Stanford Blatch. Une scène de 'Sex and the City : The Movie' pourrait l'expliquer.

La valeur nette de Dick Strawbridge: la star de "Escape to the Chateau" vaut plus que vous ne le pensez

La valeur nette de Dick Strawbridge: la star de "Escape to the Chateau" vaut plus que vous ne le pensez

Quelle est la valeur nette de Dick Strawbridge ? La star de "Escape to the Chateau" a amassé plus de richesse que de nombreux téléspectateurs pourraient le supposer.

Comment annuler Netflix

Comment annuler Netflix

Êtes-vous prêt à vous libérer de Netflix ? Nous vous dirons exactement comment.

Lamia : le démon féminin qui a dévoré les enfants dans la mythologie grecque

Lamia : le démon féminin qui a dévoré les enfants dans la mythologie grecque

Comment la déesse grecque Lamia, autrefois considérée comme une reine de Libye, est-elle devenue un monstre meurtrier d'enfants craint pour sa nature malveillante ?

Mon employeur peut-il m'obliger à me faire vacciner contre la COVID-19 ?

Mon employeur peut-il m'obliger à me faire vacciner contre la COVID-19 ?

La liste des employeurs américains exigeant des vaccins s'allonge de jour en jour. Est-il même légal pour votre lieu de travail de vous forcer à prendre un médicament pour venir travailler ? Et que se passe-t-il si vous ne vous conformez pas ?

Comment le COVID-19 « perce-t-il » chez les personnes vaccinées ?

Comment le COVID-19 « perce-t-il » chez les personnes vaccinées ?

Nous entendons de nombreux rapports selon lesquels des personnes vaccinées contre le COVID-19 contractent la maladie. Comment cela se passe-t-il – et pourquoi cela ne devrait-il pas nous empêcher de nous faire vacciner ?

Le batteur de la progéniture dit qu'il a été retiré du groupe après avoir refusé le vaccin contre le COVID-19

Le batteur de la progéniture dit qu'il a été retiré du groupe après avoir refusé le vaccin contre le COVID-19

Pete Parada, le batteur de The Offspring, dit qu'il a été retiré du groupe parce qu'il n'est pas vacciné

Madisson Hausburg de Siesta Key est enceinte et attend un bébé avec Ish Soto : "Nous sommes plus que excités"

Madisson Hausburg de Siesta Key est enceinte et attend un bébé avec Ish Soto : "Nous sommes plus que excités"

Madisson Hausburg et Ish Soto, un ancien producteur de Siesta Key, ont annoncé leurs fiançailles en août 2020

Joe Biden appelle Andrew Cuomo à démissionner à la suite d'un rapport sur le harcèlement sexuel : « Il devrait démissionner »

Joe Biden appelle Andrew Cuomo à démissionner à la suite d'un rapport sur le harcèlement sexuel : « Il devrait démissionner »

Le président rejoint une longue liste de démocrates et de républicains appelant le gouverneur de New York à démissionner

Alec Baldwin qualifie sa femme Hilaria Baldwin de "légende" alors qu'elle tire du lait maternel tout en grignotant

Alec Baldwin qualifie sa femme Hilaria Baldwin de "légende" alors qu'elle tire du lait maternel tout en grignotant

Alec Baldwin et sa femme Hilaria Baldwin partagent six jeunes enfants ensemble

Ce que j'aurais aimé savoir quand j'ai commencé à programmer… Blah Blah Blah

Ce que j'aurais aimé savoir quand j'ai commencé à programmer… Blah Blah Blah

Je déteste lire les mêmes histoires de sanglots. Soyez plutôt reconnaissant pour ce que vous savez maintenant.

Comment pratiquer la programmation orientée objet

Comment pratiquer la programmation orientée objet

Chaque fois que nous voulons apprendre quelque chose, nous devons le pratiquer. Par exemple, si nous apprenons les algorithmes de tri, nous allons résoudre quelques problèmes avec cet algorithme.

SDK Vuforia dans Unity 101

SDK Vuforia dans Unity 101

Si vous avez lu mon article précédent sur le projet AR Horse Anatomy (AR Project in Unity), vous savez que nous avons utilisé le SDK Vuforia dans Unity pour créer le projet. Sinon, dans cet article, nous verrons comment configurer Vuforia dans Unity et comment créer votre premier objet AR.

Une approche différente de l'apprentissage d'une langue étrangère

Comment j'ai appris le russe couramment en tant que locuteur natif anglais

Une approche différente de l'apprentissage d'une langue étrangère

Apprendre une nouvelle langue est toujours amusant - ou du moins cela commence ainsi. Vous commencez par apprendre des mots courants de base et passez à l'apprentissage de phrases courtes.

Language