安全路透社
当前位置:安全路透社 > 网络转载 > 正文

美国征信巨头Equifax大规模数据泄露的惨痛教训:不及时修复漏洞,就是给自己埋不定时炸弹

美国征信巨头 Equifax 日前确认,黑客利用其系统中未修复的 Apache Struts 漏洞( CVE-2017-5638,3 月 6 日曝光)发起攻击,导致了最近影响恶劣的大规模数据泄漏事件。Equifax 是美国三大老牌征信机构之一,拥有大量美国公民敏感数据,收益一直在 10 亿级别。其原本提供免费信用监控和身份窃取保护服务,还声称可以安全地冻结对敏感信息的访问。此次大规模数据泄露对其而言无疑是一场灾难。

Equifax 数据泄露.jpg

上周我们报道过,黑客在 5 月中旬至 7 月下旬一直秘密入侵 Equifax 系统,获取 1.43 亿用户信用记录,包括名称、社会保障号、出生日期、地址,以及一些驾驶执照号码等。此外,美国约 209,000 名消费者的信用卡详情和涉及 18.2 万人的争议文件也可能遭到泄露。Equifax 在英国(约 4400 万)和加拿大的一些顾客也受到影响,加拿大 Equifax 顾客已经启动了集体诉讼。

Equifax 最初发布声明表示,网络犯罪分子利用某个“U.S. website application”中的漏洞获取文件。后来经调查,该应用程序就是大家耳熟能详的 Apache Struts。Equifax 在周三公布的网络安全事件更新公告中确认,3 月份披露和修复的 CVE-2017-5638 是就是此次数据泄露事件中攻击者所利用的漏洞。当时这个漏洞的评分为最高分 10 分,Apache 随后发布 Struts 2.3.32 和 2.5.10.1 版本,进行修复。但 Equifax 在漏洞出现的两个月内都没有修复,导致 5 月份黑客利用这个漏洞进行攻击,泄露其敏感数据。

事件发生后,好事者还列举了 Equifax 系统中的一系列漏洞,包括一年以前向公司报告的未修补的跨站脚本(XSS)漏洞。此外,Equifax 还有很多基础保护措施都不到位。安全博客 Brian Krebs 周二报道:Equifax 某阿根廷员工门户也泄露了 14,000 条记录,包括员工凭证和消费者投诉。纽约已经对 Equifax 违规行为进行正式调查,伊利诺斯州等近 40 个州也都加入了调查阵营。

被黑过程

泄露数据.png

上图是从 Equifax 服务器中获得的内容。有黑客发布了一些窃取的数据,表明了入侵的途径、手段等。据研究人员分析,Equifax 所谓的“管理面板”都没有采取任何安保措施。来自 Brian Krebs 的博文显示,其中一个管理面板使用的用户名和密码都是“admin”。作为一个如此重要的征信机构,居然使用这么简单的用户名和密码。估计研究人员和用户知道之后心里都在呵呵吧。

泄露数据2.png

Equifax 泄露的消费者数据数量惊人。 一个市值几十亿美元的代理机构处理敏感信息时居然使用有漏洞的系统,这的确令人发指。与此事有关的黑客发表了如下声明:

如果公布这些信息,能让这些公司承认自己很垃圾(而不是只会甩锅给 Apache),那么我一定会公布。

事实上,除了 Apache 的漏洞,黑客还使用了一些其他手段绕过WAF。 最难的是找到服务器本身并加以利用。某位研究员曾尝试深入调查,结果发现有些管理面板居然位于 Shodan 搜索引擎上。相关黑客透露的消息称,没有一个面板是相同的;且数据泄露曝光后,Equifax 已经关闭了一些面板,其中一个面板是因为 Brian Krebs 的博文而关闭的。

泄露数据 3.png

此外,黑客还打算开一个暗网服务器,择日发布或售卖窃取到的数据,看来是在模仿其他诈骗比特币的黑客团伙。他们简要介绍了自己跟踪虚假黑客的方式。 该服务器(或者说是需要利用 Tor 浏览器访问的洋葱网络)目前位于 equihxbdrnnnncncn.vn 上。 当问及窃取数据和开设暗网市场是否都是为了赚赎金时,这些黑客则表示:

不,我们只是觉得有必要增加比特币赎金数目,以吸引更多的媒体关注到 Equifax 被黑这件事。

黑客声明.png

如此说来,这些黑客并非只是为了赚钱,大约是为了出名或者搞事情吧。

被入侵的面板

在进一步调查中,研究人员发现,这个黑客团伙入侵了大量功能各不相同的 Equifax 管理面板。一些面板负责信用报告,一些则用作分析。更令人震惊的是,这些面板都指向 equifax.com 的子域名;大量 switchboard 以及叫做 “bumblebee” 的部件也都有共同点,这导致他们很容易受到相似的攻击。因此,只要有一个漏洞可以利用,就能轻易获取这些面板中的内容。以下是一些遭入侵的面板详情:

被入侵的面板.png

面板详情.png

面板详情 2.png

研究人员还获取到了更多黑客窃取的敏感信息,并使用 Equifax 的 TrustedID Premier 验证了这些信息,进一步确认了黑客的身份。

敏感信息 1.png敏感信息 2.png

上图有一张基本上就体现了 1.43 亿人的数据库详情。 证明这些数据的的确确掌握在黑客手中。这些数据可能导致不同层面的身份欺诈。一旦黑客将这些数据公布出去,就是一场大灾难。如今指责黑客似乎也无济于事,毕竟还是 Equifax 自己安保工作不到位才导致这次泄露。

数据泄露 3.png

小结

那么黑客到底是通过什么方式获取到数据库的密码的呢?这些控制面板的确安全性很差,但其他部分是否安全?事实上,这些控制面板中还储存了一些加密数据,但密钥却放在面板内部。一旦面板被入侵,加密数据也不再安全。截图表明,这些密钥以及所有 Equifax 子公司的信息都保存妥善,但最后他们还是都被黑了。

Equifax 注意到这个漏洞之后,马上就着手关闭一些服务器,其中有个主管理面板被漏掉了。后来,每个服务器都丢失了与主服务器的连接,主服务器也最终下线。 这引发了一些问题:为什么互联网上任何人都能访问这些服务器? 为什么 Equifax 使用默认密码却不进行修改? 信用机构内部的安全小组是怎样一群人,居然能允许使用默认密码的状况存在? 

还有一个新闻也值得注意,有报道说,Equifax员工在违规发生之前出售股票。这是否表明 Equifax 有内鬼?

数据泄露 4.png

上一次如此大规模的数据泄漏事件主角应该是雅虎。继 2013 年大规模数据泄露之后,雅虎在 2016 年又遭遇攻击,影响 10 亿用户账户。当时雅虎股价在事件爆出的第二天就下跌了 2.4%。而此次 Equifax 的股价也下跌了超过 30%,市值缩水约 53 亿。这让各大企业不得不警惕。

Apache Struts 不断爆出漏洞,黑客也一直想办法在利用这些漏洞。以 CVE-2017-5638为例,有黑客利用这个漏洞入侵 Struts 2 的服务器,在当地联网的计算机上安装 Cerber 勒索软件并谋利至少 10 万美元。

前几天还有消息称 Apache Struts2 中的四个新发现的安全漏洞(尤其是 CVE-2017-9805)可能影响思科的大部分产品 ,因此思科发起了对其产品的全面检查。其实,这种检查对于所有使用 Struts 框架的公司而言,都是很有必要的。再进一步说,使用合适的安全产品和安全策略,建立可靠的安全团队,是各大公司(尤其是涉及敏感数据的公司)

*参考来源:SecurityweekSPUZ,AngelaY 编译,转载请注明来自 FreeBuf.COM

未经允许不得转载:安全路透社 » 美国征信巨头Equifax大规模数据泄露的惨痛教训:不及时修复漏洞,就是给自己埋不定时炸弹

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册