De Equifax-ramp: wat ging er mis en waarom het ons nog steeds raakt

De Equifax-ramp: Wat er misging en waarom het nu nog telt

De Equifax-hack uit 2017 was een schok. Iedereen dacht: dit is de wake-upcall. Maar het officiële rapport een jaar later onthulde nog ergere fouten. Ik leg het uit, want de lessen gelden nog steeds. Of je nu een groot bedrijf leidt of je eigen data beschermt.

Hoe erg was de schade?

147 miljoen mensen getroffen. Hun sofinummers, geboortedata, adressen en bankinfo weg. Bijna de helft van de VS. En het gekke? Geen slimme spionage-aanval. Gewoon domme blunders van Equifax zelf. Stap voor stap.

Een keten van domme fouten

Ze wisten van het gat (maar lapten het niet)

Op 10 maart 2017 spotten hackers een lek in Apache Struts, een populaire framework. Dat lek was pas twee dagen bekend. Twee dagen!

Equifax waarschuwde intern via een memo. Klinkt goed? Nee. De lijst was verouderd. De juiste techneuten kregen niks. Alsof je belt over brand, maar naar verkeerde nummers.

Hun scan-tools? Die vonden niks. Slecht ingesteld of verouderd. Voor een kredietbureau met al die gevoelige data? Onbegrijpelijk.

Twee maanden vrij spel

Hackers wachtten even. Eind mei sloegen ze toe. Eerst drie databases bij het geschillenportaal. Daarna huppelden ze door het hele netwerk.

Waarom? Geen netwerkscheiding. Alles lag open. Stel je een flat zonder sloten voor: één deur open, en alles is van jou.

Wachtwoorden in leesbare vorm

Binnen vonden ze wachtwoorden in plain text. Gewoon te lezen. Geen versleuteling. Niks.

Daarmee openden ze meer deuren. In 76 dagen haalden ze data uit 3 naar 51 databases. Duizenden queries, stil en slim. Door slordige wachtwoordbeheer.

Detectiesysteem? Wat detectiesysteem?

Hun Intrusion Detection System (IDS) had dit moeten vangen. Verdachte serveractiviteit, data-kopieerwerk – alarmbellen.

Maar nee. De digitale certificaat was verlopen. Het ding sliep al maanden. Hackers feestten door, terwijl bewaking uit stond.

Eindelijk vernieuwden ze het. Eén dag later: ping! Ontdekt. Stel je voor als het op tijd was gebeurd.

Zo kwamen ze erachter

Geen slimme jacht. Gewoon: certificaat gefixt, IDS aan, alarm. Op 2 augustus belden ze de FBI. 76 dagen te laat.

Gelukkig: logs intact. Forensisch team zag alles. Zonder logs? Misschien nooit de volle omvang bekend.

Wat Equifax belooft (en waarom twijfel)

Ze zweren beterschap:

• Constante netwerkscans
• Betere endpoint-bescherming
• Strengere patch-routines met checks
• Netwerkscheiding
• Beperkte servertoegang
• Training voor bazen en raad van bestuur

Basisdingen die er al hadden moeten staan. Net als een slot installeren ná de inbraak. Maar nu met miljoenen levens op het spel.

De kern: het had niet gehoeven

Dit was pure slaperigheid. Elke stap te fixen:

• Lap op tijd (niet maanden later)
• Scheid je netwerk
• Versleutel wachtwoorden
• Houd tools up-to-date
• Zorg dat waarschuwingen aankomen

Geen raketwetenschap. Gewoon security-abc'tje.

Wat jij doet

Beheert data of netwerk? 1. Patch nu – Critical lek? Vandaag fixen. 2. Scheid alles – Breuk isoleren. 3. Geen plain text-wachtwoorden – Versleutel of sla niet op. 4. Onderhoud tools – Certificaten, keys: automatiseren. 5. Escalateer omhoog – Directie moet snappen. 6. Plan B klaar – Incidentprocedure testbaar.

Gewone sterveling? Check krediet, vries het af, trap niet in phishing. Scammers melken dit nog jaren.

Kernboodschap

Equifax faalde door basis-fouten. Een reminder: geen supergenieën nodig voor chaos. Gewoon luiheid.

Een kredietgigant die dit flikt? Iedereen moet wakker zijn. Doe de basis goed, en je bent safe.

---

Tags: ['data breach', 'cybersecurity', 'equifax', 'network security', 'data protection', 'password security', 'incident response', 'compliance']