Debakl Equifaxu: Co se pokazilo a proč to bolí dodnes

Katastrofa Equifax: Co se pokazilo a proč to dodnes bolí

Porušení u Equifax v roce 2017 otřáslo světem. Vypadalo to jako jasné varování. Ale vládiní vyšetřování o rok později ukázalo ještě horší realitu. Pojďme si to rozložit. Je to lekce pro firmy i jednotlivce. Bezpečnost dat nás týká všechny.

Jak velké bylo poškození?

Útok postihl 147 milionů lidí. Ukradli čísla sociálního pojištění, data narození, adresy i finance. Půlka USA v jednom balíčku. Nešlo o geniální hackery z temných koutů světa. Byla to řada stupidních chyb. Jako domino, co padá v pomalém tempu.

Řetězec selhání, které se daly zabránit

Znali díru, ale neopravili ji

Hackeři 10. března 2017 objevili slabinu v Apache Struts. Framework, co se používá všude. Slabina byla veřejná jen dva dny. Bezpečnostní tým Equifax poslal varování adminům. Problém? Seznam příjemců byl starý. Správní lidé zprávu nedostali. Jako když voláš sousedům o požáru na neexistující číslo.

Jejich skenery na zranitelnosti? Taky selhaly. Špatně nastavené nebo zanedbané. Pro firmu s citlivými daty miliónů lidí? Neomluvitelné.

Dva měsíce volné jízdy

Útočníci čekali. Pak zaútočili. Vlámali se do tří databází u portálu pro stížnosti. Potom se proplétali sítí jako v otevřeném supermarketu. Proč? Síť nebyla rozdělená. Bez segmentace se útok šíří volně. Jako velký dům bez dveří mezi pokoji.

Hesla v čistém textu

Uvnitř našli zlato: hesla v otevřeném formátu. Žádné šifrování. Prostě čitelná. Tím se dostali dál. Během 76 dní spustili 9 000 dotazů. Vysávali data po malých porcích. Z 3 databází na 51. Vše kvůli ignorovaným pravidlům pro hesla.

Systém detekce, co spal

Intruzní detekce (IDS) měla útok odhalit. Neobvyklé aktivity na serverech, hromady dotazů, kopírování dat. Měla řvát.

Nerievala. Proč? Certifikát systému vypršel. Nástroj byl mimo provoz měsíce. Útočníci se vozili, detekce spala. Po obnovení certifikátu? Detekce bouchla za den. Co kdyby ho udržovali?

Jak je odhalili

Nešlo o chytrou detekci. Jen obnovení certifikátu. Pak zavolali FBI 2. srpna 2017. Po 76 dnech. Pozitivum: logy zůstaly. Vyšetřovatelé viděli každý krok. Bez nich bychom možná nevěděli pravdu.

Co slíbili opravit (a proč tomu nevěřit)

Equifax slíbila změny:

• Nepřetržité sledování sítě
• Lepší ochrana koncových zařízení
• Nový proces patchy s kontrolou
• Rozdělení sítě
• Omezený přístup mezi servery
• Školení šéfů

Tohle měli mít dávno. Jako instalace zámku po loupeži. A chrání data miliónů.

Hlavní lekce: Dalos se tomu zabránit

Nejvíc štve, že to nemuselo stát. Každý krok:

• Patch za dny, ne měsíce
• Segmentace by útok omezila
• Šifrovaná hesla by blokovala
• Platný certifikát by varoval
• Správné varování by fungovalo

Žádná sci-fi tech. Jen základní hygieny. Známé roky.

Co dělat vy

Pro manažery sítí a dat:

1. Patchujte hned – Kritická díra? Žádný čekání na úterý.

2. Rozdělte síť – Předpokládejte průnik. Ztěžte pohyb.

3. Žádná hesla v textu – Šifrujte. Nebo vůbec neukládejte. Používejte manažery.

4. Udržujte nástroje – Certifikáty, klíče, monitoring. Automatizujte.

5. Hláste nahoru – Šéfové musí chápat rizika. Bezpečnost je pro všechny.

6. Plán na krizi – Připravte se předem.

Pro obyčejné lidi: Po takovém breachi sledujte kredit zdarma. Zvažte zmrazení úvěru. Pozor na podvodníky, co se vydávají za banky. Equifax scammeři využívají dodnes.

Závěr

Equifax byl mix lenosti a ignorace základů. K katastrofě stačí blbec, ne génius. Stalo se to firmě, co data chrání za profesí. Varování pro svět. Základy dělají rozdíl. Každý je zvládne.

Štítky: ['data breach', 'cybersecurity', 'equifax', 'network security', 'data protection', 'password security', 'incident response', 'compliance']