Ile kosztuje informacja o Twoich zadłużeniach, planach finansowych? Jakieś 20 zł, a czasem jako bonus dorzucają wykradziony numer Twojej karty kredytowej (*)

Ten nieco prowokacyjny tytuł nawiązuje do kary nałożonej na amerykańską firmę Equifax (jedno kilku wielkich biur kredytowych w USA – w Polsce również istnieją tego typu instytucje; być może mieliście z nimi kontakt np. przy wniosku o udzielenie kredytu).

Co takiego się wydarzyło? W 2017 roku przestępcy dostali się na początek na jeden z ważniejszych serwerów amerykańskiej firmy i wykradli im tony ciekawych informacji (dane o około 150 milionach klientów, w tym około 200 000 numerów kart kredytowych).

Jak to wyglądało od strony technicznej?

1. Odpalenie takiego prostego exploitu: https://www.exploit-db.com/exploits/42627 
   Exploit wysyła XML-a do jednego z endpointów API. Co złego w tym XML-u? Automatyczna deserializacja prowadząca do wykonania kodu w OS. Realizuje go ten fragment (choć warto go oglądać w kontekście): <string>/bin/sh</string><string>-c</string><string>”’+ command +”'</string>
2. Buszowanie po sieci oraz grabież danych.

Dla trochę bardziej technicznych: podatność występowała w javowym frameworku Struts (dokładniej: Struts REST Plugin). Dziura występowała wtedy dla wszystkich wersji Struts od 2008 roku, więc pewnie jeszcze przyniesie obfite żniwo. Idąc głębiej, główny problem czaił się w bibliotece Xstream, której problemy z deserializacją niezaufanych danych są znane co najmniej od 2013 roku…

Z innej strony – podatności, podatnościami, ale może zawiodły procesy? Aplikacja była wdrożona, pewnie też przepentestowana ale nikt nie monitorował czy w użytych bibliotekach nie ma jakiejś nowej, poważnej podatności?

FTC wspomina również o innych, dość ciężkich grzechach Equifaksu:

1. Przyjęta procedura mówiła o załataniu systemów w 48 godzin od otrzymania stosownej informacji. Procedura dobra, ale nikt nie sprawdził czy była przestrzegana (podpowiadamy: nie)
2. Hasełka (w tym administracyjne) – przechowywane w plaintext :
   „A company investigation revealed that multiple hackers were able to exploit the ACIS vulnerability to gain entry to Equifax’s network, where they accessed an unsecured file that included administrative credentials stored in plain text. „
3. Możliwość wielomiesięcznego buszowania atakujących po sieci Equifax bez wykrycia przez firmę:
   „These credentials allowed the hackers to gain access to vast amounts of consumers’ personally identifiable information and to operate undetected on Equifax’s network for months.”
4. Brak separacji i filtrowania ruchu pomiędzy sieciami:
   „(…) failing to segment its database servers to block access to other parts of the network once one database was breached; and failing to install robust intrusion detection protections for its legacy databases.”

Wypisz, wymaluj przykłady z naszego posta o ciężkich grzechach bezpieczeństwa.

Dodatkowo FTC tak pisze w zaakceptowanej przez Equifax ugodzie:

Companies that profit from personal information have an extra responsibility to protect and secure that data (…)

Kara jest wieloetapowa (wpłynie ona zarówno do instytucji rządowych jak i poszkodowanych osób). Jej kwota to mniej więcej 575-700 milionów USD. (*) Jak łatwo policzyć to okolice $4 za jeden rekord wyciekłych danych – w zaokrągleniu 20 PLN. Dużo? Mało?

–Michał Sajdak