Nach dem Hack der Wirtschaftsauskunftei Equifax weitet sich die Geschichte aus. Die von Equifax aufgesetzt Prüfseite, auf der US-Verbrauchen recherchieren können, ob sie betroffen sind, ist nicht nur nutzlos. Sie ist auch anfällig für Cross Site Scripting-Angriffe.
Anzeige
Letzte Woche berichtete ich im Beitrag GAU: US Wirtschaftsauskunftei Equifax gehackt, dass die Wirtschaftsauskunftei Equifax seit Monaten gehackt war, ohne dass dies auffiel. Private Daten von Millionen US-Bürgern sind in die Hände der Hacker abgeflossen. Im Beitrag Equifax-Hack nutzte Apache Struts-Lücke gehe ich auf die Vermutung ein, dass eine Sicherheitslücke in Apache Struts für den Hack ausgenutzt wurde.
Etwas Geschmäckle
Equifax hat einen Monat gebraucht, um die Öffentlichkeit nach dem Aufdecken des Hacks zu informieren. Tage nach Entdeckung des Hacks haben Führungskräfte zudem noch Aktien der Firma verkauft. Das klingt alles nicht sehr vertrauenserweckend. Laut diesem Reuters-Artikel beginnt nun eine Klagewelle gegen die Firma.
Prüfseite nutzlos
Wie dem auch immer sei, für die Betroffenen Verbraucher ist es eine Katastrophe. Equifax hat für Betroffene eine Webseite aufgesetzt, über die diese angeblich durch Angabe des Namens und der letzten Stellen der Sozialversicherungsnummer prüfen konnten, ob die eigenen Daten betroffen sind.
So wie ich die Geschichte verfolgt habe, ist diese Webseite aber von wenig Nutzen. Erst war die Seite wegen des zu erwartenden Ansturms über Tag nicht erreichbar. Dann habe ich Informationen gelesen, dass Leute die Sozialversicherungsnummer von Angehörigen, aber mit anderen Namen eingaben und dann eine Rückmeldung bekamen. Manchmal war die Rückmeldung 'betroffen' – wurde die Anfrage kurze Zeit später erneut versucht, kam 'nicht betroffen' zurück. Einfach eine Münze werfen, scheint die gleiche Aussage zu ergeben.
Anzeige
Seite per XSS angreifbar
ZDNet.com berichtet in diesem Artikel, dass die von Equifax aufgesetzt Prüfseite zudem mindestens eine XSS-Sicherheitslücke aufweist. Hacker könnten daher über eine geladene Webseite auf den Tab der Equifax-Prüfseite zugreifen und die dort eingegebenen Daten abzweigen. Klingt irgendwie so, als ob die IT dort hoffnungslos überfordert oder überlastet ist.
Anzeige
Nach dem die IT Führungsriege und der Chef der Personal Abteilung noch ihre Aktienanteile schnell vor Bekanntgabe des Hacks Verscheuert haben, hätte ich wahrscheinlich auch keine große Lust mehr für so ein Unternehmen zu arbeiten.
Kommt eigentlich die Frage auf, ist diese Firma noch liquide, gibts da überhaupt noch eine Vertrauensbasis?
Als Versuch der Schadensminimierung bietet Equifax US-Verbrauchern ein Bündel an Dienstleistungen Sie können sich unentgeltlich bei "Trusted ID" anmelden und ein Jahr lang ihre Credit History bei Equifax und dessen Mitbewerbern Transunion und Experian überwachen lassen.
Die Anmeldung zu Trusted ID verlangte allerdings das Abnicken von bestimmten Vertragsbedingungen indessen Kleingedruckten verzichteten die Teilnehmer darauf, Equifax vor Gericht zu bringen. War das Gratis-Angebot nur ein Trick, um möglichst viele Ansprüche auf Schadenersatz im Keim zu ersticken
Zum letzten Absatz: Das ist m.W. von Equifax inzwischen soweit korrigiert worden, dass es sich nicht auf Klagen gegen den Hack bezieht.