Noticias

más recientes

La violación de Equifax era "completamente prevenible" si usara medidas de seguridad básicas, dice el informe de la Cámara de Representantes

13 de Diciembre de 2018 a las 02:57

Foto cortesía de Chip Somodevilla, Getty Images
 
Por Eduardo Harari
 
Toronto - Un informe del Comité de Supervisión de la Cámara de Representantes concluyó que las prácticas y políticas de seguridad de Equifax eran deficientes y que sus sistemas eran antiguos y estaban desactualizados, y preocuparse por las medidas de seguridad básicas, como parchear los sistemas vulnerables, podría haber evitado su masiva violación de datos el año pasado.
 
Se produce poco más de un año después de que Equifax, una de las agencias de calificación crediticia más grandes del mundo, confirmara que sus sistemas se habían reducido a los piratas informáticos. Alrededor de 143 millones de consumidores en todo el mundo se vieron afectados, la mayoría de los cuales se encontraban en los EE. UU.,Canadá y el Reino Unido., y esa cifra aumentó posteriormente a 148 millones de consumidores. Sin embargo, hasta la fecha, la compañía casi no ha tenido repercusiones, a pesar de una serie de fallas corporativas que llevaron a una de las violaciones de datos más grandes de la historia.
 
El informe de la Cámara de Representantes fue mordaz, criticando el manejo del hackeo por el ex presidente ejecutivo de Equifax, Richard Smith, quien se "retiró" después de la violación.
 
Smith se jactó de que el gigante crediticio tenía "casi 1,200 veces" los datos que se guardaban en la Biblioteca del Congreso todos los días, pero el informe de la Cámara de Representantes decía que Equifax "no había implementado un programa de seguridad adecuado para proteger estos datos confidenciales".
 
"Tal violación fue totalmente prevenible", dijo el informe.
 
El informe confirmó la mayor parte de lo que ya se sabía, pero agregó nuevos colores e ideas que no se informaron anteriormente. La agencia de crédito no pudo parchar una vulnerabilidad revelada en Apache Struts, un servidor web de código abierto común, que Homeland Security había emitido una advertencia unos meses antes. El servidor Apache Struts no parcheado estaba alimentando su sistema web de cinco décadas (!) Que permitía a los consumidores verificar su calificación crediticia desde el sitio web de la compañía. Los atacantes utilizaron la vulnerabilidad para abrir un shell web en el servidor semanas más tarde y lograron retener el acceso durante más de dos meses, encontró el panel de la Casa, y pudieron pivotar a través de los diversos sistemas de la compañía al obtener un archivo de contraseñas sin cifrar en un servidor, que permite a los piratas informáticos acceder a más de 48 bases de datos que contienen datos crediticios de consumidores no cifrados.
 
Durante ese tiempo, los hackers enviaron más de 9,000 consultas en las bases de datos, descargando datos en 265 ocasiones diferentes.
 
El ex jefe de Equifax, Smith, acuso a un solo empleado de IT por no haber parcheado el sistema Struts. De hecho, fue solo otro ejemplo de la actitud arrogante de la compañía hacia la seguridad de los datos, según el informe de la Cámara de Representantes.
 
"Equifax no vio la exfiltración de datos porque el dispositivo utilizado para monitorear el tráfico de red [del servidor vulnerable] había estado inactivo durante 19 meses debido a un certificado de seguridad caducado", señala el informe. Equifax tardó otros dos meses en actualizar el certificado caducado, momento en el que el personal "notó de inmediato el tráfico web sospechoso". Incluso el propio jefe de información de Equifax, David Webb, quien también se "retiró" después del incidente, dijo a los investigadores de la Cámara que todo el el incidente podría haberse evitado si la compañía hubiera actualizado el sistema de Struts vulnerable dentro de los dos días posteriores al lanzamiento del parche.
 
"Si la compañía hubiera tomado medidas para abordar sus problemas de seguridad observables antes de este ataque cibernético, la violación de datos podría haberse evitado", dijo el informe.
 
Dos meses más tarde, Equifax salió con la noticia publicamente. Eso tampoco fue un picnic.
 
Cuando el sitio web de Equifax "¿Está en riesgo?" No se bloqueaba, arrojaba resultados incorrectos. Luego, el sitio fue suplantado rápidamente, y fue inadvertidamente vinculado por el propio personal de medios sociales de Equifax. Cuando los consumidores preocupados finalmente accedieron al sitio, se les ofreció el propio servicio de congelación de crédito de Equifax, que estaba eliminando números de PIN débiles, lo único que protegía el crédito ya frágil de los consumidores. Más tarde, el sitio se desconectó después de que otro investigador de seguridad encontró una falla en el sitio de congelación de crédito que permitía a un atacante desviar datos confidenciales de los consumidores. Esto fue todo mientras sus centros de llamadas estaban sobrecargados, y muchos tuvieron dificultades para obtener respuestas a sus preguntas básicas.
 
En total, el informe de la Cámara de Representantes no detuvo su crítica, criticando las malas prácticas de seguridad de la agencia de calificación crediticia, especialmente teniendo en cuenta los datos en cuestión, en los que el informe señaló que los consumidores "no pueden optar por no participar en este proceso de recopilación de información. ”
 
¿La respuesta de Equifax al informe de la Cámara? Ir a la defensiva.
 
"Estamos profundamente decepcionados de que el Comité haya decidido no proporcionarnos el tiempo adecuado para revisar y responder a un informe de 100 páginas que consta de información altamente técnica e importante", dijo el vocero de Equifax, Wyatt Jefferies. "Durante las pocas horas que nos dieron para llevar a cabo una revisión preliminar, identificamos inexactitudes significativas y no estamos de acuerdo con muchos de los hallazgos fácticos", continúa la declaración.
 
"Esto es desafortunado y socava nuestra esperanza de ayudar al Comité a producir un recurso público creíble y completo para aquellos que desean aprender de nuestra experiencia en el manejo del incidente de ciberseguridad de 2017", continúa la declaración.
 
Cuando La Portada Canada solicitó esas "inexactitudes significativas", el vocero regresó con una lista con viñetas de "errores de hecho", o en lugar de señalar discrepancias sustanciales con el informe, incluido que Equifax ofreció dos años de monitoreo crediticio y no uno. año como se indicó en el informe, y que el informe hacía referencia a un acuerdo aparente con un fiscal general del estado que no se ha producido.

Comentarios

escribenos