Equifax 資料外洩防禦對策:最新資料

CorporateData breachessecurity threats

2017-09-14 更新:

Sophos CISO Norm Laudermilch 已經整理出四個簡單步驟,確保您的家庭可以不受影響,並妥善保護身分和財務資料。

***

Equifax 已經低調地更新了它的常見問題集,澄清自己因為 Apache Struts 中的一個弱點遭受攻擊而被入侵:

我們知道,犯罪份子攻擊了一個美國網站的應用程式弱點。該弱點是 Apache Struts CVE-2017-5638.

我們在 3 月份首次被通報 CVE-2017-5638,一個 Apache Struts 架構中關鍵的 RCE (遠端程式碼執行) 漏洞。  該漏洞已被廣泛報導。Equifax 在 3 月份,也就是遭駭前兩個月就已經安裝了修補程式。

 

2017-09-12 更新:

ZDNet 的 Zack Whittaker 回報在 Equifax 的欺詐警示網站中存在著一個 XSS (跨站台指令碼) 弱點。

犯罪份子可以利用這個 XSS 弱點建立特製的連結,讓網站做出預期之外的行為,例如提供惡意軟體或竊取 cookies。

如果您只使用合法連結,就不會受到 XSS 弱點的傷害。不幸的是,在這些網站上存在的唯一合法連結就是以 .equifax.com 結尾的連結,因此只有笨蛋才會假定那些網站是安全的。

如果您想造訪欺詐警示網站,應該要直接在瀏覽器網址列中輸入  https://www.alerts.equifax.com

2017-09-11 更新:

Equifax 告訴「紐約時報」,它正在修正人們凍結信用檔案時所發出的有問題個人識別碼 (PIN)。我們已經用現有資訊更新了文章「可怕的 PIN 碼會讓凍結的信用檔案面臨風險」。

 

2017-09-10 更新:

自從星期五起,我們建議遭到 Equifax 資料外洩事件影響的人士凍結信用檔案 (請參見下文 “2017-09-08” 的更新)。信用所有人將無法存取被凍結的信用檔案,藉以避免身分竊盜者以您的名義使用信用額度。

但是,用於保護凍結信用檔案的 PIN 碼並不是隨機建立的;它是不難猜出的組合:它們只是您凍結的日期和時間。

這絕對是最糟的 PIN 碼產生方式,但是我們仍然認為您應該凍結信用檔案。這些文件仍然會受到一定程度的保護,但是您應該知道它們受到的保護還不夠好。

關於這個問題的更多資訊,請參見我們對為什麼 Equifax 可怕的 PIN 碼會讓凍結的信用檔案面臨風險的說明。

 

2017-09-09 更新:

Struts 造成的混淆

在一份 William Baird & Co 的報告中聲稱,犯罪份子是利用 Apache Struts 的漏洞入侵 Equifax。Apache Struts 是一個用於建立 Web 應用程序的軟體架構。該報告僅提到 Struts,沒有提供除以下聲明以外的詳細資訊:

根據我們的了解,Equifax 保留的資料主要是透過與消費者互動所產生的,但因 Apache Struts 漏洞而遭駭

該公司的分析師向「紐約郵報」重覆描述了這一點,但沒有提供進一步的詳細資訊。

我們今年回報了兩個非常嚴重的 Struts 弱點:2017 年 3 月的 CVE-2017-5638 和 9 月 4 日的CVE-2017-9805

如果,就像某些人猜想的,Equifax 在 5 月中旬就因 CVE-2017-9805 弱點攻擊而遭到入侵,那麼這個漏洞在被發現前就已經廣泛散播了四個月。這使其成為一個零時差弱點 – 一個 Equifax 連遭駭都不知道並且無法修補的漏洞。

Apache 軟體基金會 (Apache Software Foundation) 現在發佈了一個很長的聲明,指出這個不太可能 (但並非完全不可能) 的情況,並糾正了最新的 Struts 弱點報告中的一些不正確之處。它並沒有討論到 Equifax 是否因 Struts 弱點而遭駭的這個核心問題,這意味著迄今為止,Equifax 和 Apache 軟體基金會都不清楚 Struts 的漏洞在這資料外洩扮演著什麼角色。

ICO 試圖找出在英國的受害者

到目前為止,Equifax 提供的資訊和建議都是聚焦在美國的潛在受害者身上。英國和加拿大境內任何可能受到影響的人仍蒙在鼓裡。英國資訊專員辦公室 (ICO) 現在已經發佈對 Equifax 資料外洩事件的聲明,意味著他們也還無法了解完整情況,但仍試圖解釋這個局面。

完整聲明如下:

我們關注美國 Equifax 公司的重大資料外洩事件以及其對部分英國公民造成的潛在影響。我們已經與 Equifax 直接聯繫以釐清事實,包括英國有多少人受到影響,以及何種類型的個人資料可能受到損害。

我們將會要求 Equifax 盡快向受影響的英國客戶發出警告。

在跨國界的網路攻擊案件中,ICO 致力於代表英國公民與有關的海外當局合作。

 

2017-09-08 更新:

許多安全專家建議消費者先對他們的 Equifax 信用檔案進行安全凍結。Sophos 技術長 Joe Levy 同意這一點。事實上,他認為主管機關應該使這個過程更簡單:

在事件發生後,主管機關應該要制定且簡化凍結和解凍的程序。好比一個利用簡單易用的推送通知的多因素身分驗證應用程式呢?如果他們同意這一點,我就不會參加即將到來的集體訴訟。

一般而言,進行凍結會比信用監控公司在資料外洩後所做的因應措施更好。 KrebsOnSecurity 的 Brian Krebs 在過去曾經指出,信用監控服務幾乎無法阻擋盜賊偷竊您的身分。另一方面,安全凍結又阻止信用所有人查看您的檔案,因此 Kerbs 認為,「這給了身分竊賊一個造假信用額度的空間」。

這是一個預防勝於治癒的案例。Levy 這樣說:

信用監控對入侵偵測系統有用,但是進化版的入侵防禦系統提供了更多的實用價值。現在是主管機關用相同的方式改變作法的時候了。

想要凍結 Equifax 的人可以造訪這個網站

***

事件始末:

若想了解 Equifax 的資料外洩有多嚴重,請試想美國擁有約 3.24 億人口。信貸服務供應商表示,這件外洩事件可能影響高達 1.43 億美國人,亦即近一半的美國人口。

該公司在在一份發表的聲明中表示,網路犯罪份子「利用一個美國網站的應用程式弱點」竊取了某些檔案:

根據該公司調查,這些未經授權的存取發生在 2017 5月中旬到7月。該公司尚未發現 Equifax 核心消費者或商業信用報告資料庫出現未經授權活動的證據。

犯罪份子取得哪些客戶資料?Equifax 董事長兼執行長 Richard Smith 表示,被竊的資料包括姓名、社會安全號碼、出生日期、地址,以及駕駛執照號碼 (部分客戶)。此外,有大約 209,000 名美國消費者的信用卡號碼,以及涉及到 182,000 名美國消費者個人身分的文件被竊。

還有更多。Smith 表示:

在調查此一應用程式弱點,Equifax 還發現有未經授權存取英國和加拿大居民的部分個人資訊的情形。Equifax 將與英國和加拿大主管機關合作決定如何進行下一步。

 

更多問題

這個資料外洩事件還衍生出許多問題。據 Bloomberg 報導,三分之一的 Equifax 高階主管在公司發現資料外洩之後的幾天內 (但早於星期四事件披露之前) 出售價值接近 180 萬美元的股票。這一定會引起消費者的憤怒,他們想要知道答案。

Equifax 還必須說清楚「網站應用程式弱點」是什麼意思。駭客是否利用伺服器軟體中的零時差弱點或已知弱點,以及是否已經安裝修補程式?或者網站上的弱點只是簡單的 SQL 插入弱點,和  TalkTalk 被入侵的弱點類型相同。

也有一說遭竊的資料是以純文字形式儲存的,不過在撰寫本文時仍然無法確定。

 

防禦對策

在未來的幾天和幾週內,事件的來龍去脈會變得更加清晰。現在,客戶需要知道自己可以做什麼來保護自己。Naked Security 的 Paul Ducklin 和 Mark Stockley 在這場 Facebook 直播中提供了指導原則。您可以由此處觀看重播:

隨著更多的細節揭露,我們會持續更新這篇文章。

 

英文原文: https://nakedsecurity.sophos.com/2017/09/08/equifax-data-breach-what-you-need-to-know/

(本博文為翻譯本,內容以英文原文為準)

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

您的留言將使用 WordPress.com 帳號。 登出 / 變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 / 變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 / 變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 / 變更 )

連結到 %s