Equifax: عام بعد أكبر تسرب للبيانات

مرحبا يا هبر! نتذكر جميعًا تسرب البيانات الشخصية من قواعد بيانات Equifax (145.5 مليون عميل). بعد ذلك بعام ، في أغسطس 2018 ، أصدر مكتب محاسبة الحكومة ، والمختصر غاو هو هيئة التدقيق والتقييم والتحليل والتحقيق التابعة للكونغرس الأمريكي) تقريرًا بعنوان "الإجراءات التي اتخذتها Equifax والوكالات الفيدرالية استجابةً لـ خرق 2017 "، يمكنك قراءته هنا . سأقدم فقط مقتطفات بدت مثيرة للاهتمام بالنسبة لي ، وآمل أن تكون ممتعة للقراء.

Equifax - مكتب ائتمان. وهي واحدة من أكبر ثلاث وكالات ائتمان في الولايات المتحدة إلى جانب Experian و TransUnion (يُطلق عليها إجمالاً "الثلاثة الكبار"). المكتب لديه قاعدة لأكثر من 280.2 مليون تاريخ ائتماني للأفراد و 749 ألف تاريخ ائتماني للكيانات القانونية.

الجدول الزمني

كانت جميع المعلومات ككل معروفة قبل عام ، ولكن ما زلت أريد السير مرة أخرى خلال المراحل الرئيسية للهجوم. هنا أريد أن أنتبه للتعامل مع حادث أمن المعلومات.

في 10 مارس 2017 ، قام المهاجمون بفحص الخدمات التي يمكن الوصول إليها من الإنترنت بحثًا عن نقاط ضعف معينة ، والتي أبلغ عنها US-CERT قبل يومين. الضعف في إطار ويب Apache Struts (CVE-2017-5638 ، https://investor.equifax.com/news-and-events/news/2017/09-15-2017-224018832 ). تم العثور على نقطة الضعف في البوابة ، والتي تسمح للمواطنين بتحميل الوثائق التي تتحدى دقة / صحة تقارير الائتمان Equifax. باستخدام البرامج المتخصصة ، تمكن المهاجمون من استغلال الضعف والوصول غير المصرح به إلى البوابة. لم تتم سرقة البيانات في ذلك الوقت.

في 13 مايو 2017 ، بدأت سرقة البيانات. بعد اختراق البوابة ، أرسل المهاجمون طلبات إلى قواعد بيانات أخرى بحثًا عن معلومات قيمة. لذلك وجدوا مستودعًا يحتوي على بيانات شخصية إلى جانب تسجيلات الدخول وكلمات المرور غير المشفرة ، والتي أعطت الوصول إلى قواعد بيانات أخرى. في المجموع ، تم إرسال حوالي 9000 طلب بواسطة مستخدمين ضارين ، وكانت بعض الردود على هذه الطلبات ببيانات شخصية. استخدم المهاجمون قنوات الاتصال المشفرة الموجودة لإخفاء الطلبات والأوامر. سمح استخدام قنوات الاتصال المشفرة الموجودة للمهاجمين بأن يضيعوا في تيار الشبكة العادي ولا يلاحظهم أحد. بعد استخراج المعلومات من قواعد بيانات Equifax بنجاح ، تم نقلها في أجزاء صغيرة إلى الخارج ، ولم تبرز من حركة المرور المشفرة العامة. استمر الهجوم 76 يومًا حتى تم اكتشافه.

في 29 يوليو 2017 ، اكتشف خبراء أمن المعلومات ، الذين يقومون بإجراء فحص روتيني لحالة البنية التحتية لتكنولوجيا المعلومات ، اقتحامًا للبوابة. تم اكتشاف الاختراق عندما بدأ فحص حركة المرور المشفرة. تم اكتشاف أوامر لم تكن جزءًا من العملية المعيارية للنظام. حتى ذلك التاريخ ، لم يتم فحص حركة المرور المشفرة بواسطة أنظمة كشف التسلل لأن الشهادة انتهت صلاحيتها ولم يتم تثبيت شهادة جديدة. علاوة على ذلك ، انتهت صلاحية الشهادة قبل 10 أشهر ، وتبين أن حركة المرور المشفرة لم يتم فحصها لمدة 10 أشهر. بعد اكتشاف الاختراق ، حظر الخبراء عناوين IP التي تم إرسال الطلبات منها.

في 30 يوليو 2017 ، اكتشفت إدارة أمن المعلومات نشاطًا مشبوهًا إضافيًا ، فقد تقرر منع الوصول إلى الإنترنت من البوابة.
في 31 يوليو 2017 ، أبلغت CISO الرئيس التنفيذي للحادث.

2 أغسطس - 2 أكتوبر 2017 ، أطلقت Equifax تحقيقًا ، في محاولة لتحديد مقدار البيانات التي تمت سرقتها وعدد الأشخاص الذين سيؤثر عليهم هذا التسرب. درسنا سجلات الأنظمة التي لم تتضرر أو حذفها من قبل المتسللين. وفقًا للسجلات ، حاول الخبراء إعادة إنتاج تسلسل إجراءات المهاجمين لتحديد البيانات التي تم اختراقها. في 2 أغسطس ، أبلغت الشركة مكتب التحقيقات الفدرالي بالتسرب.

العوامل المؤثرة على نجاح الهجوم

فيما يلي هذه العوامل من التقرير:

• التعريف لم يتم تحديد ثغرة دعم Apache Struts. أرسل US-CERT إخطارًا حول ثغرة أمنية جديدة في Apache Struts ، وتمت إعادة توجيهه إلى مسؤولي النظام. كانت القائمة البريدية قديمة ، ولم يتلق المشاركون في التحديث / الترقيع هذه الرسالة. يدعي Equifax أيضًا أنه قام بفحص الموارد بعد أسبوع من إدراكه للثغرة الأمنية ، ولم يجد الماسح الضوئي هذه الثغرة على البوابة.
• كشف سمحت الشهادة منتهية الصلاحية للمهاجمين بالمرور دون أن يلاحظهم أحد. لدى Equifax نظام كشف التسلل ، لكن الشهادة منتهية الصلاحية لم تسمح بفحص حركة المرور المشفرة.
• تجزئة لم يتم عزل \ تقسيم قواعد البيانات عن بعضها البعض ، وتمكن المهاجمون من الوصول إلى قواعد البيانات غير المرتبطة بالبوابة (نقطة الاختراق).
• حوكمة البيانات تنطوي إدارة البيانات على تقييد الوصول إلى المعلومات المحمية ، بما في ذلك الحسابات (تسجيلات الدخول / كلمات المرور).
  
  ولوحظ بالإضافة إلى ذلك أن هناك نقصا في آليات وضع حدود لتكرار استعلامات قاعدة البيانات. سمح هذا للمهاجمين بإكمال حوالي 9000 طلب ، وهو أكثر بكثير مما هو مطلوب للتشغيل العادي.

الإجراءات المتخذة

لسوء الحظ ، لم يتم الكشف عن أي شيء حقًا ، لوحظت الإجراءات التالية:

• يتم تطبيق عملية جديدة لتحديد وتطبيق التصحيحات / التحديثات للبرامج ، وكذلك للتحكم في تثبيت هذه التصحيحات ؛
• تطبيق سياسة جديدة لحماية البيانات والتطبيقات ؛
• يتم استخدام أدوات جديدة لمراقبة حركة مرور الشبكة باستمرار ؛
• تمت إضافة قواعد إضافية لتقييد الوصول بين الخوادم الداخلية ، وكذلك بين الخوادم الخارجية والخوادم الداخلية ؛
• يتم استخدام أداة حماية إضافية للأجهزة الطرفية للكشف عن انتهاكات التكوين وتقييم مؤشرات الاختراق المحتملة (IoC) وإعلام مسؤولي النظام تلقائيًا بنقاط الضعف المكتشفة.

الإجراءات التي اتخذها عملاء حكومة Equifax الرئيسية

العملاء الحكوميون الرئيسيون لشركة Equifax:

• خدمة الإيرادات الداخلية الأمريكية (IRS) ؛
• إدارة الضمان الاجتماعي الأمريكية - إدارة الضمان الاجتماعي (SSA) ؛
• خدمة بريد الولايات المتحدة (USPS) هي خدمة بريد الولايات المتحدة.

التدابير التي اتخذها عملاء حكومة Equifax الرئيسية:

• يتم تحديد وإبلاغ العملاء المتأثرين بهذا التسرب.
• تم إجراء تقييمات مستقلة لتدابير حماية Equifax (من أجل الامتثال على الأرجح لوثيقة NIST هذه https://nvlpubs.nist.gov/nistpubs/ SpecialPublications/NIST.SP.800-53r4.pdf) ؛
• الاتفاقات المنقحة مع Equifax بشأن الإخطار في حالة التسرب ؛
• إجراء تغييرات على إجراءات تحديد المواطنين ؛
• إلغاء عقود قصيرة الأجل مع Equifax بشأن الخدمات الجديدة.

تداعيات ونفقات المكتب

فيما يلي النتائج التي تم العثور عليها:

• أطلق CIO و CSO مع العبارة الأمريكية الجميلة رابط "فعالة على الفور".
• فصل الرئيس التنفيذي ، الذي كان في هذا المنصب منذ عام 2005 رابط .
• أنفقت Equifax حوالي 243 مليون دولار في الوقت الحالي على القضايا القانونية ، وخدمات المراقبة الأمنية الجديدة التي يتم تقديمها للعملاء مجانًا ، ووضعت 8 ولايات متطلبات إضافية في مكتب الارتباط .