Equifax-katasztrófa: mi sült el balul, és miért fáj még mindig?

Az Equifax-katasztrófa: Mi sült el rosszul, és miért fontos még ma is

2017-ben az Equifax-botrány hatalmas hullámot vert. Egy év múlva a kormányzati vizsgálat még durvább részleteket hozott. Ez a sztori ma is tanulságos. Akár nagyvállalati főnök vagy, akár csak a saját adataidat véded, érdemes átgondolni.

Mekkora volt a baj?

147 millió ember adatai szivárogtak ki: társadalombiztosítási számok, születési dátumok, címek, pénzügyi infók. Ez az USA népességének fele. Rémálom. De ami igazán kiakasztotta a szakembereket: nem valami zseniális kibertámadás volt. Egyszerű, elkerülhető hibák sorozata.

A bukás láncreakciója: Elkerülhető baklövések

Tudtak a hibáról, de nem foltozták

2017. március 10-én támadók szkennereztek, és megtalálták az Apache Struts keretrendszer sérülékenységét. Ez a hiba két nappal korábban vált nyilvánossá. Equifax biztonsági csapata emlékeztetőt küldött a sysadminoknak. Csakhogy a lista elavult volt – a kulcsemberek nem kapták meg. Mint ha tűzriadót küldenél ki, de rossz címekre.

Ráadásul a saját szkennereik sem jelzték. Rosszul voltak beállítva vagy karbantartva. Egy hitelközvetítő cégtől ez felháborító.

Két hónap lustálkodás

A támadók észlelték a rést március 10-én, de csak két hónap múlva kezdtek kitermelni. Először három adatbázisba törtek be a vitarendszerben. Onnan ugráltak tovább a hálózaton. Miért? Nincs hálózati szegmensálás. Ha valami beesik, mindent elér. Mint egy nyílt irodaház.

Jelszavak simán olvashatók

Bentről már pofonegyszerű volt: titkosítatlan jelszavak mindenhol. Nem hashelt, nem védett. Ezekkel nyíltak ki további adatbázisok. 76 nap alatt 9000 lekérdezést indítottak, kis adagokban, hogy ne tűnjön fel. Háromból 51 adatbázisig jutottak. Minden a rossz jelszókezelés miatt.

A biztonsági rendszer, ami nem működött

Intrúzió-észlelő rendszerük (IDS) ilyesmire való lett volna: gyanús lekérdezések, adatmozgás. De csendben maradt, mert lejárt a digitális tanúsítványa. Hónapokig halt állapotban. Frissítés után egy nap alatt kiszúrta a támadást. Képzeld el, ha időben megújították volna.

Hogyan buktak le?

Nem okos monitorozás árulta el őket. Csak a tanúsítvány-frissítés után indult be az IDS. Augusztus 2-án hívták az FBI-t – 76 nappal a kezdet után.

Szerencse: a támadók nem törölték a naplókat. Így lépésről lépésre rekonstruálták.

Mit ígértek javítani (és miért kételkedjünk)

Equifax átalakítást hirdetett:

• Folyamatos hálózati monitorozás
• Jobb végpontvédelem, hibadetektálás
• Ellenőrzött foltozás
• Hálózati szegmensálás
• Szerverkorlátozás
• Vezetői biztonsági tréning

Ezek alapvető dolgok. Mint betörés után zárat szereltetni – de ezrek pénzét őrzik.

A lényeg: Megelőzhető lett volna

Ez a támadás teljesen kivédhető volt:

• Folytani pár nap alatt
• Szegmensált hálózat korlátoz
• Titkosított jelszavak blokkol
• Friss tanúsítvány korai riasztás
• Jó kommunikáció a foltozásról

Nem kellett high-tech. Csak az alapok.

Mit tegyél te?

Hálózatot kezelsz? 1. Foltozz azonnal – Kritikus hiba? Ne várd a heti rutint.

2. Szegmensáld a hálózatot – Tégy fel, hogy bejutnak. Ne engedd ugrálni.

3. Sose tárold sima jelszavakat – Titkosítsd, vagy ne tárold. Használj menedzsert.

4. Karbantartsd az eszközöket – Tanúsítványok, kulcsok, monitorok. Automatizáld.

5. Jelents feljebb – A vezetők is értsék a kockázatot.

6. Legyen választerv – Gyakorold előre.

Magánemberként: ingyenes hitelmegfigyelés, hitelfagyasztás, gyanakodj a hívásokra. Scammerek még ma is használják.

Összefoglalva

Az Equifax-ügy a lustaság és alapok kihagyásának tökéletes vihara. Nem kell hacker-zseni a katasztrófához. Elég a alapok figyelmen kívül hagyása.

Egy adatvédelmi óriástól ez különösen kínos. Ha ők elbuktak, ki nem? Aki komolyan veszi az alapokat.

---

Címkék: ['data breach', 'cybersecurity', 'equifax', 'network security', 'data protection', 'password security', 'incident response', 'compliance']