Untersuchungsbericht zum Equifax-Hack

Es ist jetzt ein Jahr her, seit der Equifax-Hack öffentlich wurde. Bei diesem Hack wurden über Monate private Daten von Millionen US-Bürgern abgerufen. Jetzt liegt ein Bericht der US-Untersuchungsbehörden vor, der Licht ins Dunkel brachte, warum der Hack möglich war und Monate nicht auffiel.


Anzeige

Hintergrund zum Equifax-Hack

Equifax ist die größte Wirtschaftsauskunftei in den USA. Privatpersonen können zudem ihre Kreditkartenbewegungen auf ungewöhnliche Aktivitäten überwachen lassen, wie man hier nachlesen kann. Auch im Bereich Identitätsdiebstahl will diese Firma punkten.

Am 29. Juli 2017 entdeckte die amerikanische Wirtschaftsauskunftei Equifax, dass Angreifer unautorisierten Zugriff auf private Daten von geschätzten 143 Millionen Amerikanern hatten. Später wurde bekannt, dass Equifax seit Monaten gehackt war, ohne dass man es bemerkte. Laut Equifax waren die Cyber-Kriminellen von Mitte Mai bis Ende Juli 2017 am Werk und hatten Zugriff auf:

  • Namen
  • Sozialversicherungsnummern
  • Geburtsdaten
  • Adressen
  • Führerscheinnummern (in einigen Fällen)
  • Kreditkartennummern (von ca. 209.000 US-Konsumenten)

Außerdem wurden auch persönliche Daten von einigen Bewohnern aus der UK und Kanada entwendet. Pikant: Das Equifax-Management wohl Stunden vor Bekanntgabe der Nachricht Aktien verkauft.

Untersuchungsbericht legt Details offen

Man könnte sich über den Hack und den Umstand, dass dieser über Monate unbemerkt blieb, echauffieren. Aber der Fall zeigt erneut, dass eine Verkettung unglücklicher Zustände zu so einem Fall führen können. Blogger Catalin Cimpanu hat bei ZDNet.com diesen Artikel mit den Ergebnissen des Untersuchungsberichts veröffentlicht. Da es für Administratoren in Unternehmen von Interesse sein dürfte, warum der Hack möglich war, habe ich die Kernpunkte herausgezogen:

  • Am 8. März 2018 wurde von der Apache Foundation ein Update zum Schließen der Sicherheitslücke CVE-2017-5638 im Apache Struts JAVA Framework freigegeben.
  • Da diese Lücke ausgenutzt wurde, gab es in den USA Warnungen an Firmenkunden mit Hinweis auf die Schwachstelle und das Update.
  • Den Equifax-Administratoren war klar, dass man selbst betroffen war, da Struts eingesetzt wurde. Es sollte also gepatcht werden, um die Schwachstelle zu schließen.
  • Die Information über die Sicherheitslücke wurde per Mailing-Liste an die Administratoren verteilt.
  • Die Mailingliste war veraltet und umfasste nicht alle Systemadministratoren, was unbekannt war und indirekt zu einem unvollständigen Patch der Equifax-Server führte.

Equifax teilte der untersuchenden US-Behörde (GAO) mit, dass es am 10. März, zwei Tage nach dem US-CERT-Warnung, Angreifer entdeckt hatte, die ihre Server nach dieser besonderen Schwachstelle durchsuchen.

Das Unheil nimmt seinen Lauf

Equifax-Offizielle gaben an, dass als Ergebnis dieser Überprüfung die nicht identifizierten Personen einen Server entdeckt haben, auf dem sich das Online-Disputportal von Equifax befindet. Und dieser Server verwendete eine verwundbare Struts-Version. Angreifer erhielten Zugang zu diesem System, testeten die Zugriffsrechte, die sie hatten, stahlen aber nichts.

Eine Woche nach der US-CERT-Warnung scannen die Equifax-Mitarbeiter ihre eigenen Systeme auf das Vorhandensein der Struts-Schwachstelle, aber das Disput-Portal zeigt sich nicht als verwundbar an.


Werbung

Equifax-Hack
(Equifax-Hack, Quelle: GOA-Bericht/ZDNet.com)

Die Hacker kehren am 13. Mai zurück, und richteten Anfragen von den Online-Klärungsportalsystemen an andere Datenbanken, um nach persönlichen Daten zu suchen. “Diese Suche führte zu einem Datenspeicher mit PII (Personally identifiable information) sowie unverschlüsselten Benutzernamen und Passwörtern, die den Angreifern Zugriff auf mehrere andere Equifax-Datenbanken geben könnten”, heißt es im Bericht.

Diese Daten halfen Angreifern, ihren ursprünglichen Zugriff von drei Datenbanken auf 48 zu erweitern. Protokolle zeigten, dass Angreifer dann etwa 9.000 Abfragen durchführten, um Equifax-Kundeninformationen zu sammeln. Laut GAO Untersuchungsbericht war dies möglich, weil Equifax seine Datenbanken nicht in kleinere Netze segmentieren konnte. Dies wiederum ermöglichte dem Angreifer einen direkten und einfachen Zugriff auf alle Daten der Equifax-Kunden.

“Nach der erfolgreichen Extraktion von PII aus Equifax-Datenbanken haben die Angreifer die Daten in kleinen Schritten abgezogen, wobei sie standardmäßig verschlüsselte Webprotokolle verwendeten, um die Exchange als normalen Netzwerkverkehr zu tarnen”, so der GOA-Bericht.

Hacker exfiltrierten 76 Tage lang Daten bis zum 29. Juli 2017, als die Equifax-Mitarbeiter bei routinemäßigen Überprüfungen des Betriebsstatus und der Konfiguration von IT-Systemen das Eindringen entdeckten. Der Grund, warum der Angriff nicht bemerkt wurde, war erneut einem Zufall zu verdanken.

Der Grund dafür, dass Hacker 76 Tage lang nicht erkannt wurden, darin lag, dass ein Gerät, das dazu gedacht war, den Netzwerkverkehr zu überprüfen, falsch konfiguriert war und den verschlüsselten Verkehr nicht auf Anzeichen bösartiger Aktivitäten überprüfte.

Der Grund, warum das Gerät nicht funktionierte, sagte Equifax, war, dass ein digitales Zertifikat etwa zehn Monate vor der Verletzung abgelaufen war und das Gerät daran hinderte, seine Arbeit zu verrichten. Sobald die Equifax-Mitarbeiter das Zertifikat erneuert hatten, sahen sie sofort Anzeichen von verdächtigen Aktivitäten.

Nach der Untersuchung der Geschehnisse und der Aufdeckung des Eindringens nahm die Equifax-IT am 30. Juli 2017 das Disput-Portal offline und meldete den Vorfall am nächsten Tag dem CEO. Zu diesem Zeitpunkt leitete das Unternehmen seine interne Untersuchung ein, die mit einer öffentlichen Bekanntgabe des Hacks am 8. September 2017 endete.

Ähnliche Artikel:
GAU: US Wirtschaftsauskunftei Equifax gehackt
Equifax bereits im März 2017 gehackt
Equifax-Hack nutzte Apache Struts-Lücke
Equifax-Hack Schlampereien: Apatche Struts ungepatcht
Equifax: Prüfseite nutzlos und anfällig für XSS
Equifax schickte Kunden auf Phishing-Site


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.