Geekly articles weekly

Equifax: um ano após o maior vazamento de dados

Olá Habr! Todos nos lembramos do vazamento de dados pessoais dos bancos de dados Equifax (145,5 milhões de clientes). Um ano depois, em agosto de 2018, o GAO (The Government Accountability Office, abreviado GAO) é o órgão de auditoria, avaliação e investigação-analítica do Congresso dos EUA) emitiu o relatório “Ações tomadas por Equifax e agências federais em resposta a a violação de 2017 ", você pode ler aqui . Farei apenas trechos que me pareceram interessantes e, espero, sejam interessantes para os leitores.

Equifax - uma agência de crédito. É uma das três maiores agências de crédito nos Estados Unidos, juntamente com a Experian e a TransUnion (coletivamente, elas são chamadas de "Três Grandes"). O departamento possui uma base de mais de 280,2 milhões de históricos de crédito de pessoas físicas e 749 mil históricos de crédito de pessoas jurídicas.



Linha do tempo


Toda a informação como um todo era conhecida há um ano, mas ainda quero passar pelos principais estágios do ataque novamente. Aqui, quero prestar atenção ao manuseio do incidente de segurança da informação.

Em 10 de março de 2017, os invasores examinaram os serviços acessíveis na Internet em busca de vulnerabilidades específicas, relatadas pelo US-CERT dois dias antes. Vulnerabilidade no Apache Struts Web Framework (CVE-2017-5638, https://investor.equifax.com/news-and-events/news/2017/09-15-2017-224018832 ). A vulnerabilidade foi encontrada no portal, que permite aos cidadãos fazer upload de documentos desafiando a precisão / exatidão dos relatórios de crédito da Equifax. Usando software especializado, os invasores conseguiram explorar a vulnerabilidade e obter acesso não autorizado ao portal. Os dados não foram roubados naquele momento.

Em 13 de maio de 2017, o roubo de dados começou. Depois que o portal foi comprometido, os atacantes enviaram solicitações para outros bancos de dados em busca de informações valiosas. Então, eles encontraram um repositório com dados pessoais, além de logons e senhas não criptografados, que davam acesso a outros bancos de dados. No total, cerca de 9.000 solicitações foram enviadas por usuários mal-intencionados, algumas das respostas a essas solicitações foram com dados pessoais. Os invasores usavam canais de comunicação criptografados existentes para mascarar solicitações e comandos. O uso dos canais de comunicação criptografados existentes permitiu que os invasores se perdessem em um fluxo de rede normal e passassem despercebidos. Após extrair com sucesso as informações dos bancos de dados Equifax, elas foram transmitidas em pequenas porções para o exterior, não se destacando no tráfego criptografado geral. O ataque durou 76 dias até ser descoberto.

Em 29 de julho de 2017, especialistas em segurança da informação, realizando uma verificação de rotina do estado da infraestrutura de TI, descobriram uma invasão no portal. A penetração foi detectada quando o tráfego criptografado começou a ser inspecionado. Foram descobertos comandos que não faziam parte da operação padrão do sistema. Até essa data, o tráfego criptografado não era inspecionado pelos sistemas de detecção de intrusões porque o certificado expirou e um novo não foi instalado. Além disso, o certificado expirou 10 meses atrás, verifica-se que o tráfego criptografado não foi inspecionado por 10 meses. Tendo detectado a penetração, os especialistas bloquearam os endereços IP dos quais os pedidos foram enviados.

Em 30 de julho de 2017, o departamento de segurança da informação descobriu atividades suspeitas adicionais. Foi decidido bloquear o acesso da Internet ao portal.
Em 31 de julho de 2017, a CISO informou o CEO do incidente.

2 de agosto - 2 de outubro de 2017 A Equifax lançou uma investigação, tentando determinar quantos dados foram roubados e quantas pessoas esse vazamento afetará. Estudamos os logs de sistemas que não foram danificados ou excluídos por invasores. Segundo os registros, os especialistas tentaram reproduzir a sequência de ações dos atacantes para determinar quais dados foram comprometidos. Em 2 de agosto, a empresa notificou o FBI do vazamento.

Fatores que afetam o sucesso do ataque


Abaixo estão esses fatores do relatório:

  • Identificação A vulnerabilidade do Apache Struts não foi identificada. O US-CERT enviou uma notificação sobre uma nova vulnerabilidade no Apache Struts, que foi redirecionada aos administradores do sistema. A lista de discussão estava desatualizada e os envolvidos na atualização / correção não receberam esta carta. A Equifax também afirma ter verificado os recursos uma semana depois de tomar conhecimento da vulnerabilidade, e o scanner não encontrou essa vulnerabilidade no portal.
  • Detecção O certificado expirado permitiu que os atacantes passassem despercebidos. O Equifax possui um sistema de detecção de intrusões, mas o certificado expirado não permitiu a inspeção do tráfego criptografado.
  • Segmentação Os bancos de dados não foram isolados \ segmentados um do outro, os atacantes conseguiram acessar bancos de dados não relacionados ao portal (ponto de penetração).
  • Governança de dados O gerenciamento de dados implica restringir o acesso a informações protegidas, incluindo contas (logins \ senhas).

    Também foi observado que há uma falta de mecanismos para definir limites na frequência de consultas ao banco de dados. Isso permitiu que os invasores concluíssem cerca de 9000 solicitações, muito mais do que o necessário para a operação normal.

Ação tomada


Infelizmente, nada foi realmente revelado, as seguintes medidas foram observadas:

  • um novo processo é aplicado para identificar e aplicar patches / atualizações para software, bem como para controlar a instalação desses patches;
  • uma nova política de proteção de dados e aplicativos é aplicada;
  • novas ferramentas são usadas para monitorar constantemente o tráfego da rede;
  • Regras adicionais para restringir o acesso entre servidores internos, bem como entre servidores externos e servidores internos, foram adicionadas;
  • é usada uma ferramenta de proteção adicional para dispositivos finais que detecta violações de configuração, avalia potenciais indicadores de comprometimento (IoC) e notifica automaticamente os administradores de sistema sobre vulnerabilidades detectadas.

Ações tomadas pelos principais clientes do governo da Equifax


Os principais clientes governamentais da Equifax:

  • Receita Federal dos EUA (IRS);
  • Administração de Segurança Social dos EUA - Social Security Administration (SSA);
  • O Serviço Postal dos Estados Unidos (USPS) é o Serviço Postal dos Estados Unidos.

Medidas tomadas pelos principais clientes governamentais da Equifax:

  • Os clientes afetados por esse vazamento são identificados e notificados.
  • foram realizadas avaliações independentes das medidas de proteção Equifax (para a conformidade mais provável com este documento do NIST https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf );
  • acordos revisados ​​com a Equifax em relação à notificação em caso de vazamentos;
  • foram feitas alterações nos procedimentos de identificação de cidadãos;
  • cancelou contratos de curto prazo com a Equifax em relação a novos serviços.

Implicações e despesas da agência


Abaixo estão os resultados encontrados:

  • O CIO e a CSO dispararam com a bela frase americana " link efetivo imediato".
  • Demitiu o CEO, que está nesta posição desde 2005.
  • A Equifax gastou cerca de 243 milhões de dólares no momento em questões legais, novos serviços de monitoramento de segurança que são oferecidos gratuitamente aos clientes e oito estados impuseram requisitos adicionais ao departamento de links .

Source: https://habr.com/ru/post/pt428009/

More articles:


All Articles