I september 2017 råkade kreditupplysningsföretaget Equifax ut för ett gigantiskt dataintrång där hackare lyckades stjäla användardata, såsom kreditkortsnummer, tillhörande 148 miljoner kunder. Närapå halva USA:s befolkning.

USAs motsvarighet till Riksrevisionen, The US House Committee on Oversight and Government Reform, kom nyligen ut med sin haveriutredning om intrånget. Det berättar TechTarget.

Revisionskommiténs rapport visar detaljerade uppgifter om hur läckan gick till, men menar också att den helt hade kunnat undvikas om Equifax hade ”implementerat adekvata säkerhetsrutiner för att skydda känsliga data”.

Rapporten pekar på två stora svagheter. För det första saknades tydliga linjer för ansvar och bemyndigande inom Equifax it-ledarskap, vilket resulterade i att arbetet med säkerhetspolicy hamnade mellan stolarna.

Detta ledde i sin tur till att andra viktiga initiativ inom it-säkerheten inte implementerades tillräckligt genomgripande och snabbt. Som exempel noterar rapporten att över 300 säkerhetscertifikat tilläts löpa ut, varav 79 gällde kontroll av affärskritiska domäner.

Den andra svagheten gällde ”Equifax aggressiva tillväxt och datainsamling som tillsammans resulterade i en komplex it-miljö. Equifax körde ett antal av sina mest kritiska applikationer på skräddarsydda äldre system. Både komplexiteten och åldern på Equifax it-system medförde stora utmaningar för it-säkerheten”.

Incidentrapporten visar också en detaljerad tidslinje som början med avslöjandet av sårbarheter i Apache Struts som användes i attacken den 7 mars 2017. Equifax fick rapporter om sårbarheten dagen efter, och gick internt ut med att patcha sina system ytterligare en dag senare. Företaget gjorde en genomsökning den 15 mars för att se om det fanns ytterligare sårbara system, men kunde inte hitta några. Förövarna hade dock redan tagit sig in den 10 mars, alltså bara tre dagar efter att sårbarheten officiellt upptäckts.

Den avgörande svagheten i Equifax system låg i det system företaget kallar Automated Consumer Interview System (ACIS), ett skräddarsytt kundtjänstsystem utvecklat på 1970-talet. Detta körde en version av Apache Struts som hade kvar sårbarheten, och Equifax hade inte patchat detta system som därmed låg öppet för attacken.

De utgångna certifikaten gjorde inte saken bättre. Rapporten noterar att Equifax kunde inte se hur deras data läckte eftersom den enhet som skulle övervaka ACIS-systemet hade ett utgånget certifikat. Först den 29 juli 2017 uppdaterades certifikatet, och då kunde Equifax tekniker genast se misstänkta mönster med trafik till en ip-adress i Kina.

Incidenten anses nu vara bland de mest kostsamma i historien, kanske det mest kostsamma. Vissa beräkningar pekar på att den kan komma att kosta Equifax fem miljarder dollar.

Läs också:
Dataintrånget mot Equifax kan ha blivit det dyraste i företagshistorien
Slarv med it-säkerheten kan kosta skjortan – här är åtta avskräckande böteslappar