Equifax: Prüfseite nutzlos und anfällig für XSS

Publiziert am 12. September 2017 von Günter Born

Nach dem Hack der Wirtschaftsauskunftei Equifax weitet sich die Geschichte aus. Die von Equifax aufgesetzt Prüfseite, auf der US-Verbrauchen recherchieren können, ob sie betroffen sind, ist nicht nur nutzlos. Sie ist auch anfällig für Cross Site Scripting-Angriffe.

Anzeige

Letzte Woche berichtete ich im Beitrag GAU: US Wirtschaftsauskunftei Equifax gehackt, dass die Wirtschaftsauskunftei Equifax seit Monaten gehackt war, ohne dass dies auffiel. Private Daten von Millionen US-Bürgern sind in die Hände der Hacker abgeflossen. Im Beitrag Equifax-Hack nutzte Apache Struts-Lücke gehe ich auf die Vermutung ein, dass eine Sicherheitslücke in Apache Struts für den Hack ausgenutzt wurde.

Etwas Geschmäckle

Equifax hat einen Monat gebraucht, um die Öffentlichkeit nach dem Aufdecken des Hacks zu informieren. Tage nach Entdeckung des Hacks haben Führungskräfte zudem noch Aktien der Firma verkauft. Das klingt alles nicht sehr vertrauenserweckend. Laut diesem Reuters-Artikel beginnt nun eine Klagewelle gegen die Firma.

Prüfseite nutzlos

Wie dem auch immer sei, für die Betroffenen Verbraucher ist es eine Katastrophe. Equifax hat für Betroffene eine Webseite aufgesetzt, über die diese angeblich durch Angabe des Namens und der letzten Stellen der Sozialversicherungsnummer prüfen konnten, ob die eigenen Daten betroffen sind.

So wie ich die Geschichte verfolgt habe, ist diese Webseite aber von wenig Nutzen. Erst war die Seite wegen des zu erwartenden Ansturms über Tag nicht erreichbar. Dann habe ich Informationen gelesen, dass Leute die Sozialversicherungsnummer von Angehörigen, aber mit anderen Namen eingaben und dann eine Rückmeldung bekamen. Manchmal war die Rückmeldung 'betroffen' – wurde die Anfrage kurze Zeit später erneut versucht, kam 'nicht betroffen' zurück. Einfach eine Münze werfen, scheint die gleiche Aussage zu ergeben.

Seite per XSS angreifbar

ZDNet.com berichtet in diesem Artikel, dass die von Equifax aufgesetzt Prüfseite zudem mindestens eine XSS-Sicherheitslücke aufweist. Hacker könnten daher über eine geladene Webseite auf den Tab der Equifax-Prüfseite zugreifen und die dort eingegebenen Daten abzweigen. Klingt irgendwie so, als ob die IT dort hoffnungslos überfordert oder überlastet ist.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Equifax: Prüfseite nutzlos und anfällig für XSS

  1. der_Puritaner sagt:
    12. September 2017 um 18:25 Uhr

    Nach dem die IT Führungsriege und der Chef der Personal Abteilung noch ihre Aktienanteile schnell vor Bekanntgabe des Hacks Verscheuert haben, hätte ich wahrscheinlich auch keine große Lust mehr für so ein Unternehmen zu arbeiten.
    Kommt eigentlich die Frage auf, ist diese Firma noch liquide, gibts da überhaupt noch eine Vertrauensbasis?

    Als Versuch der Schadensminimierung bietet Equifax US-Verbrauchern ein Bündel an Dienstleistungen Sie können sich unentgeltlich bei "Trusted ID" anmelden und ein Jahr lang ihre Credit History bei Equifax und dessen Mitbewerbern Transunion und Experian überwachen lassen.

    Die Anmeldung zu Trusted ID verlangte allerdings das Abnicken von bestimmten Vertragsbedingungen indessen Kleingedruckten verzichteten die Teilnehmer darauf, Equifax vor Gericht zu bringen. War das Gratis-Angebot nur ein Trick, um möglichst viele Ansprüche auf Schadenersatz im Keim zu ersticken

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.