출처 : https://techcrunch.com/2018/12/10/equifax-breach-preventable-house-oversight-report/
하원 감시위원회 (Oversight Committee) 는 월요일 Equifax의 보안 관행 및 정책이 하위 수준이며 시스템이 오래되고 시대에 뒤떨어져 있으며 취약한 시스템에 패치를 적용하는 것과 같은 기본 보안 조치로 인해 번거롭지 만 대규모 데이터 지난해 위반.
그것은 온다 이퀴 팩스 년 후 조금 넘는 , 세계 최대의 신용 평가 기관 중 하나, 그 시스템이 해커에 떨어졌다 확인했다. 전 세계적으로 약 1 억 4,300 만 명의 소비자가 영향을 받았다. 그 중 대부분은 미국뿐 아니라 캐나다와 영국에도 있었으며 이후이 숫자는 1 억 4,800 만 명의 소비자에게 증가했다. 그러나 지금까지 회사 는 역사상 가장 큰 데이터 유출로 이어지는 일련의 기업 실패에도 불구하고 거의 영향을받지 않았습니다 .
하원 보고서는 Equifax의 해킹 처리를 비난하면서 수치 스러웠습니다. 리처드 스미스 (Richard Smith) 전 최고 경영자 (CEO) - 파산 이후 "은퇴"했다.
스미스 대변인은 신용 대출 기관이 매일 미 의회 도서관에서 보유한 데이터를 거의 1,200 배 이상 보유하고 있다고 자랑했으나,이 보고서는 Equifax가 "이 민감한 데이터를 보호하기위한 적절한 보안 프로그램을 구현하지 못했다"고 밝혔다.
"그러한 위반은 전적으로 예방 가능했다"고 보고서는 말했다.
이 보고서는 이미 알려진 사실 대부분을 확인했지만, 이전에보고되지 않은 새로운 색상과 통찰력을 추가했습니다. 크레디트 에이전시 는 국토 안보부가 몇 달 전부터 경고를 발표 한 일반적인 오픈 소스 웹 서버 인 아파치 스트럿츠 (Apache Struts ) 에서 공개 된 취약점 을 패치 하지 않았다.. 패치되지 않은 Apache Struts 서버는 소비자가 회사의 웹 사이트에서 자신의 신용 등급을 확인할 수있게 해주는 5 십년 (!)의 웹 기반 시스템을 강화하고있었습니다. 공격자는이 취약성을 이용하여 몇 주 후 서버에서 웹 셸을 열었으며 2 개월 이상 액세스를 유지했으며 하우스 패널은이 시스템의 다양한 시스템을 통해 암호화되지 않은 암호 파일을 획득하여 피벗 할 수있었습니다 해커가 암호화되지 않은 소비자 신용 데이터가 포함 된 48 개 이상의 데이터베이스에 액세스 할 수있게 해줍니다.
그 기간 동안 해커는 데이터베이스에 대해 9,000 개 이상의 쿼리를 전송하여 265 회의 데이터를 다운로드했습니다.
Equifax의 전직 상사 인 Smith 는 Struts 시스템에 패치를 적용하지 못해 단 하나의 IT 직원 에게 책임 을 전가했습니다 . 사실, 이는 데이터 보안에 대한 회사의 무모한 태도의 또 다른 예였습니다.
"Equifax는 만료 된 보안 인증서로 인해 [취약한 서버의] 네트워크 트래픽을 모니터링하는 데 사용 된 장치가 19 개월 동안 비활성 상태 였기 때문에 데이터 유출을 보지 못했습니다."라고 보고서는 말했습니다. Equifax가 만료 된 인증서를 업데이트하는 데 2 개월이 더 걸렸습니다.이 시점에서 직원들은 "의심스러운 웹 트래픽을 즉시 발견했습니다."Equifax의 전 최고 정보 책임자 인 David Webb도이 사건 이후 "은퇴"했음에도 하원 조사원에게 전체 패치 출시 후 2 일 이내에 취약한 Struts 시스템을 업데이트하여 사고를 예방할 수있었습니다.
"회사가이 사이버 공격 이전에 관찰 가능한 보안 문제를 해결하기 위해 조치를 취한 경우 데이터 유출이 방지 될 수있었습니다"라고 보고서는 말했습니다.
2 개월 후, Equifax는 공개되었습니다. 그것은 소풍도 아니었다.
Equifax의 "위험에 처해 있습니까?"웹 사이트가 충돌하지 않았을 때 잘못된 결과가 나오게되었습니다 . 그런 다음이 사이트는 빠르게 사칭 되었으며 Equifax의 소셜 미디어 직원이 부주의로 연결되었습니다. 걱정스러운 소비자들이 마침내이 사이트에 접속했을 때, 그들은 Equifax의 자체 신용 동결 서비스를 제공 받았는데, 이것은 약한 PIN 번호를 쫓아 냈습니다. 이것은 소비자의 이미 깨지기 쉬운 신용을 보호하는 유일하고 유일한 것입니다. 이 사이트는 나중에 다른 보안 연구원 이 신용 동결 사이트에 결함을 발견 하여 공격자가 민감한 소비자 데이터를 차단할 수있게 한 후 오프라인으로 추락했습니다 . 콜센터에 과부하가 걸리는 동안이 모든 것이었고 많은 사람들이 기본적인 질문에 답변하기 위해 애썼다.
집계 보고서는 신용 평가 기관의 부실한 보안 관행, 특히 관련 데이터를 감안할 때 소비자들이이 정보 수집 프로세스를 거부 할 능력이 없다고 지적한 비판을지지하지 않았다. "
하우스의보고에 대한이 팩스의 반응? 방어를 계속하십시오.
Equifax 대변인 인 Wyatt Jefferies는 "우리위원회가 매우 기술적이며 중요한 정보로 구성된 100 페이지 분량의 보고서를 검토하고 이에 대응할 적절한 시간을 제공하지 않기로 결정했다는 사실에 깊은 실망을 표합니다. "몇 시간 동안 우리는 사전 검토를 수행 할 권한이 주어졌다. 우리는 중요한 부정확성을 확인하고 많은 사실적 발견에 동의하지 않았다"고 성명서는 주장했다.
"이것은 불행한 일이며, 2017 년 사이버 보안 사건을 관리 한 경험을 통해 배우고 자하는 사람들을 위해 신뢰할 수 있고 철저한 공적 자원을 창출하는위원회를 돕기위한 우리의 희망을 훼손합니다.
TechCrunch가 "중요한 부정확성"을 요구했을 때, 대변인은 Equifax가 신용 모니터링을 2 년 동안 제공했음을 포함하여 보고서와의 상당한 불일치를 지적하기보다는 "사실적 실수"또는 "선택"의 글 머리 기호 목록을 반환했습니다 보고서에 언급 된 바와 같이, 보고서는 발생하지 않은 주 법무 장관과의 명백한 합의를 참조했다.