Η Παραβίαση Δεδομένων της Equifax: Τι Πραγματικά Συνέβη;

nickpsar
5 Min Read

Η παραβίαση δεδομένων της Equifax ήταν μία από τις μεγαλύτερες παραβιάσεις δεδομένων που επηρέασαν ποτέ Αμερικανούς πολίτες/πελάτες. Ως επαγγελματίες στον τομέα της κυβερνοασφάλειας, πρέπει να αναρωτηθούμε τι πήγε στραβά ώστε τα ονόματα, οι αριθμοί τηλεφώνου, οι διευθύνσεις κατοικίας, οι ημερομηνίες γέννησης, οι αριθμοί αδειών οδήγησης και οι αριθμοί κοινωνικής ασφάλισης 148 εκατομμυρίων Αμερικανών να εκτεθούν. Αυτό αντιπροσωπεύει σχεδόν τον μισό πληθυσμό της χώρας. Επιπλέον, περίπου 209.000 πελάτες είδαν τους αριθμούς των πιστωτικών τους καρτών να παραβιάζονται, γεγονός που τους έθεσε σε σημαντικό κίνδυνο απάτης με πιστωτικές κάρτες.

Η ευπάθεια (Vulnerability)

Όλα ξεκίνησαν από μία μικρή ευπάθεια με την ονομασία CVE-2017-5638 στο Apache Struts, ένα λογισμικό ανοιχτού κώδικα για την ανάπτυξη εφαρμογών ιστού σε Java. Αυτή δεν ήταν μια τυχαία ευπάθεια, αλλά μια που μπορούσε να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα (RCE). Λόγω λανθασμένου χειρισμού των κεφαλίδων Content-Type, Content-Disposition και Content-Length, επέτρεπε στους επιτιθέμενους να στείλουν προσαρμοσμένα αιτήματα για την αποστολή αρχείου σε ευάλωτους διακομιστές που χρησιμοποιούσαν τον Jakarta Multipart parser του Apache Struts. Με αυτή την ευπάθεια, οι επιτιθέμενοι μπορούσαν να εκτελέσουν εντολές στους ευάλωτους διακομιστές.

Η ενημέρωση κώδικα (Patch)

Το Ίδρυμα Λογισμικού Apache εξέδωσε μια ενημέρωση κώδικα για την ευπάθεια στις 7 Μαρτίου 2017. Μέσα σε δύο ημέρες, η ομάδα ασφαλείας της Equifax είχε λάβει ειδοποίηση από την US-CERT του Υπουργείου Εσωτερικής Ασφάλειας των ΗΠΑ σχετικά με την κρίσιμη ευπάθεια και την ενημέρωση κώδικα. Η ειδοποίηση διανεμήθηκε στην ομάδα ασφαλείας της Equifax με οδηγίες για την εφαρμογή της ενημέρωσης κώδικα στα ευάλωτα συστήματα εντός 48 ωρών. Στη συνέχεια, η Equifax εκτέλεσε μια σάρωση για να εντοπίσει τυχόν συστήματα που παρέμεναν χωρίς ενημέρωση στο δίκτυό της, αλλά δεν εντόπισε κανένα ευάλωτο σύστημα.

Το Πρόβλημα

Είναι φυσιολογικό να εντοπίζονται ευπάθειες στο λογισμικό. Ωστόσο, τα πράγματα πήγαν στραβά κατά τη διαδικασία εφαρμογής της ενημέρωσης κώδικα της Equifax. Σύμφωνα με αναφορά από το Γραφείο Λογοδοσίας της Κυβέρνησης των Ηνωμένων Πολιτειών, η Equifax χρησιμοποιούσε μια παρωχημένη λίστα παραληπτών όταν διένεμε την ειδοποίηση για την ενημέρωση κώδικα. Αυτό σήμαινε ότι τα υπεύθυνα άτομα δεν έλαβαν ποτέ την ειδοποίηση για την εγκατάσταση της ενημέρωσης κώδικα, οπότε δεν την εγκατέστησαν ποτέ. Επιπλέον, υπήρχαν προβλήματα με τη σάρωση, καθώς δεν κατάφερε να εντοπίσει τα μη ενημερωμένα συστήματα. Αυτό είχε ως αποτέλεσμα τα συστήματα της Equifax να παραμείνουν εξαιρετικά ευάλωτα.

Η Επίθεση

Μόλις κυκλοφόρησε η ενημέρωση κώδικα, οι επιτιθέμενοι ενημερώθηκαν για τη σοβαρή ευπάθεια. Άρχισαν να σαρώνουν το διαδίκτυο αναζητώντας μη ενημερωμένα συστήματα που θα μπορούσαν εύκολα να εκμεταλλευτούν. Μέχρι τις 10 Μαρτίου, είχαν ανακαλύψει ότι ένας διακομιστής που φιλοξενούσε την πύλη επίλυσης διαφορών της Equifax εξακολουθούσε να εκτελεί το παρωχημένο λογισμικό. Στη συνέχεια, εκμεταλλεύτηκαν την ευπάθεια του Apache Struts. Αυτό τους έδωσε πρόσβαση στην πύλη επίλυσης διαφορών, μέσω της οποίας μπορούσαν να εκτελούν εντολές. Παρόλο που είχαν πρόσβαση, δεν απέσπασαν δεδομένα σε αυτό το στάδιο.

Στις 13 Μαΐου, οι επιτιθέμενοι απέκτησαν μυστικά πρόσβαση ξανά στην πύλη. Χρησιμοποίησαν υπάρχοντα κρυπτογραφημένα κανάλια για να στέλνουν αιτήματα και εντολές σε άλλα συστήματα που ήταν συνδεδεμένα με την πύλη επίλυσης διαφορών. Τα κρυπτογραφημένα κανάλια τους επέτρεψαν να ανακτήσουν ευαίσθητα δεδομένα πελατών χωρίς να ενεργοποιήσουν τα εργαλεία ανίχνευσης της Equifax ή να εγείρουν υποψίες.

Κατά τη διάρκεια της αναζήτησης στα συστήματα της Equifax, οι επιτιθέμενοι βρήκαν μη κρυπτογραφημένα ονόματα χρήστη και κωδικούς πρόσβασης, τα οποία εκμεταλλεύτηκαν για να αποκτήσουν πρόσβαση σε επιπλέον βάσεις δεδομένων. Οι επιτιθέμενοι επεκτάθηκαν από τις αρχικές τρεις βάσεις δεδομένων που ήταν συνδεδεμένες με την πύλη επίλυσης διαφορών και κατέληξαν με πρόσβαση σε επιπλέον 48 βάσεις δεδομένων.

Οι επιτιθέμενοι εξήγαγαν τα προσωπικά δεδομένα από αυτές τις βάσεις δεδομένων και στη συνέχεια τα εξήγαγαν αργά και σε μικρές ποσότητες, καλύπτοντας την εξαγωγή ως κανονική κίνηση δεδομένων. Συνολικά, οι επιτιθέμενοι παρέμειναν στο δίκτυο για 76 ημέρες πριν τελικά ανακαλυφθούν. Αυτή η προσέγγιση τους απέφερε τεράστιο όγκο προσωπικών δεδομένων σχεδόν 150 εκατομμυρίων Αμερικανών.

Αυτά για αυτή την εβδομάδα. Την επόμενη εβδομάδα, θα εξετάσουμε τα βασικά συμπεράσματα και τα διδάγματα που μπορούμε να αντλήσουμε από την παραβίαση της Equifax. Μείνετε συντονισμένοι!

Follow:
Γεια σας! Είμαι ειδικός στις τηλεπικοινωνίες και την κυβερνοασφάλεια, με πάθος για την επίλυση σύνθετων "γρίφων" στον ψηφιακό κόσμο. Δραστηριοποιούμαι εκεί που συναντιούνται η καινοτομία, η ασφάλεια και η στρατηγική. Αλλά υπάρχει και κάτι παραπάνω από firewalls και κλειδιά κρυπτογράφησης! Όταν δεν προστατεύω δίκτυα, πετάω στους ουρανούς ως πιστοποιημένος επαγγελματίας χειριστής drone (A1/A3, A2). Οι περιπέτειές μου με ταξιδεύουν σε όλη την Ευρώπη, όπου συνδυάζω τη δουλειά μου με το πάθος μου για τα ταξίδια, αναζητώντας πάντα έμπνευση σε νέους τόπους και πολιτισμούς. Τα τελευταία πέντε χρόνια εξερευνώ επίσης τον συναρπαστικό και απρόβλεπτο κόσμο των κρυπτονομισμάτων ως επενδυτής. Ήταν ένα συναρπαστικό ταξίδι που με δίδαξε πολλά για τον κίνδυνο, τις ευκαιρίες και την διαρκώς εξελισσόμενη ψηφιακή οικονομία. Είτε πρόκειται για τα σύννεφα (εικονικά και κυριολεκτικά!) είτε για την περιήγηση στα τοπία του blockchain, με οδηγεί η περιέργεια και η ασταμάτητη αναζήτηση γνώσης. Ευχαριστώ που σταματήσατε εδώ—μη διστάσετε να επικοινωνήσετε και να συμμετάσχετε σε αυτό το ταξίδι!
Leave a Comment