Equifaxin romahdus: Mitä meni pieleen ja miksi se pelottaa yhä

Equifaxin romahdus: Mitä meni pieleen ja miksi se pelottaa yhä

Equifaxin tietomurto paljasti yli 147 miljoonan ihmisen henkilötiedot. Mutta todellinen juttu ei ole pelkkä hakkeroinnissa – kyse on ennaltaehkäistävissä olleiden kömmähdysten ketjusta, joka järkytti koko tietoturva-alaa. Tässä mitä oikeasti tapahtui, miksi asiantuntijat ovat yhä raivoissaan ja miten voit ottaa opiksesi heidän virheistään.

Equifaxin romahdus: Mitä meni pieleen ja miksi se opettaa edelleen

Vuonna 2017 Equifaxin tietomurto räjäytti potin. Se oli karu muistutus tietoturvasta. Hallituksen raportti vuodelta 2018 paljasti vielä pahemman totuuden. Käyn läpi tämän tarinan, koska se koskettaa meitä kaikkia – olitpa firman pomo tai tavallinen netinkäyttäjä.

Kuinka massiivinen murto oli?

147 miljoonaa ihmistä menetti tietonsa: henkilötunnukset, syntymäajat, osoitteet ja taloustiedot. Se on puolet Yhdysvaltain väestöstä. Pelottavinta oli, ettei tämä ollut mikään nerokas valtion hakkerointi. Equifax mokasi kerta toisensa jälkeen. Kuten dominoja, jotka kaatuivat hitaasti.

Virheiden ketju: Kaikki olisi voitu estää

Haavoittuvuus tiedossa – mutta korjaamatta

  1. maaliskuuta 2017 hyökkääjät skannasivat Apache Struts -kehyksen reiän. Se oli julkaistu vasta kaksi päivää aiemmin.

Equifaxin turvaosasto lähetti muistion ylläpitäjille. Ongelma? Lista oli vanhentunut. Kukaan ei saanut viestiä. Kuten kaasuvuodon varoitus, joka menee vääriin numeroihin.

Automaattiset skanneritkaan eivät huomanneet mitään. Ne olivat pielessä tai vanhentuneita. Luottotietoyhtiöltä tämä oli anteeksiantamatonta.

Kaksi kuukautta odottelua

Hyökkääjät varmistivat reiän maaliskuussa. Sitten odottivat. Heinäkuussa ne iskivät kolmeen tietokantaan riidoissa käytetyssä järjestelmässä. Sieltä ne levisivät vapaasti.

Syy? Verkko oli avoin. Ei segmentointeja. Hyökkääjä pääsi hyppimään järjestelmästä toiseen kuin lukitsemattomaan taloon.

Salasanat selvällä tekstillä

Sisällä hyökkääjät löysivät avainsanat suoraan luettavina. Ei salattu. Ei hashausta. Helppoja.

Niillä ne avasivat muita tietokantoja. 76 päivässä ne kyseli tietoja 9000 kertaa, pienissä erissä. Tietokantoja oli lopulta 51. Perussäännöt unohdettu.

Turvajärjestelmä, joka ei toiminut

Tunkeutumisen havaitsemisjärjestelmä (IDS) olisi pitänyt huutaa hälytystä: outoja liikkeitä, massakyselyitä, tietojen kopiointia.

Ei huutanut, koska varmenteen voimassaolo oli umpeutunut. Järjestelmä oli poissa pelistä kuukausia. Hyökkääjät liikkui vapaasti.

Varmenteen uusiminen vei päivän – ja IDS havaitsi muron heti. Ajattele, jos se olisi tehty ajoissa.

Näin ne jäivät kiinni

Murto paljastui vasta varmenteen uusimisen jälkeen. FBI:lle soitettiin 2. elokuuta – 76 päivää aloituksesta.

Onneksi lokit jäivät ehjiksi. Tutkijat näkivät kaiken tarkasti. Ilman niitä vahingot olisivat jääneet mysteeriksi.

Equifaxin lupaukset – syytä epäillä

Yhtiö lupasi korjauksia:

  • Jatkuva liikenteen valvonta
  • Parempi päätepisteiden suoja ja virheiden bongaus
  • Uusi päivitysprosessi testeineen
  • Verkon jakaminen
  • Rajoitettu liikkuminen palvelimien välillä
  • Johtoryhmän turvakoulutus

Kaikki peruskauraa. Kuten lukon asentaminen vasta varkauden jälkeen – kun talo täynnä arkaluontoista dataa.

Todellinen opetus: Estettävissä oli

Equifaxin murto ei ollut väistämätön:

  • Reikä olisi paikattu nopeasti
  • Segmentointi olisi rajoittanut leviämisen
  • Salatut salasanat olisivat estäneet etenemisen
  • Voimassa oleva varmenne olisi paljastanut aikaisin
  • Parempi viestintä olisi toimittanut korjauskehotteen perille

Ei tarvittu ihmevehkeitä. Vain perusjuttuja, joita on tiedetty vuosia.

Mitä sinä teet asialle?

Jos hoidat verkkoja tai dataa:

1. Paikaa heti – Kriittinen reikä? Toimi vaikka keskellä yötä.

2. Jaa verkko – Oleta tunkeutuja. Hidasta sen liikkumista.

3. Älä säilytä salasanoja selvällä – Salaa tai vältä säilytystä. Käytä manageria tai palvelua.

4. Pidä työkalut kunnossa – Varmennet, avaimet, softat. Automatisoi.

5. Nosta hälytykset johtoon – C-tasolle riskit selväksi. Turva on kaikkien homma.

6. Laadi reaktiosuunnitelma – Harjoittele etukäteen.

Yksityishenkilönä: ota ilmainen luottovalvonta, harkitse luottolukkoa. Varovasti huijaajien kanssa – Equifaxia käytetään yhä.

Yhteenveto

Equifaxin fiasko oli laiskuuden, huonosti suunnittelun ja perusvirheiden summa. Ei tarvita neroja tuhoon – riittää, kun skipataan perusteet.

Maailman suurimpiin kuuluvan luottotietoyhtiön moka on herätys. Jos he epäonnistuivat, kuka onnistuu?

Vastaus: Ne, jotka ottavat perusasiat tosissaan.

Tagit: ['data breach', 'cybersecurity', 'equifax', 'network security', 'data protection', 'password security', 'incident response', 'compliance']