setembro 19, 2017

[Segurança] O vazamento de dados da Equifax

Tomou conta da mídia a notícia recente de que a empresa americana Equifax sofreu um roubo massivo de dados, que incluiu informações pessoais de aproximadamente 143 milhões de clientes americanos - ou seja, quase metade (44%) da população dos EUA.

Um dos motivos para o grande destaque na mídia para este caso é que a Equifax é uma das principais empresas que trabalham com informações de proteção ao crédito nos EUA, e assim tem acesso a informações financeiras e privadas das pessoas. Ela é o equivalente a SERASA/Experian no Brasil. E, nos EUA, estas informações de crédito são muito utilizadas pelas instituições financeiras para abertura de conta, fornecimento de cartão de crédito, avaliação de empréstimo e financiamento, etc.

Ou seja, a Equifax é uma empresa aonde garantir a privacidade dos dados e proteger as informações de crédito faz parte do seu "core business".

O nível de preocupação e paranóia com esse vazamento é tão grande que já surgiu uma charge associando o logo da Equifax ao da Evil Corp, da série Mr. Robot.


Segundo a Equifax, a invasão aconteceu em um site com uma aplicação web vulnerável, entre meados de maio e julho deste ano, e foi descoberta no dia 29 de julho. Os ciber criminosos acessaram informações pessoais de seus clientes, incluindo nome, número de seguridade social (o equivalente ao nosso CPF), data de nascimento, endereço e número da carteira de motorista. Além disso, foram acessados números de cartões de crédito de cerca de 209 mil clientes e dados pessoais de 182 mil clientes americanos envolvidos em negociação de dívida e discussão sobre crédito.

Para auxiliar e orientar os consumidores americanos, a empresa criou um hotsite sobre o vazamento de dados:https://www.equifaxsecurity2017.com

Veja alguns fatos interessantes sobre o caso:
  • As ações da empresa despencaram mais de 13% com a notícia do vazamento de dados e continuam caindo;
  • Um dia antes do anúncio do vazamento de dados, 3 diretores da empresa venderam ações, algo que não foi bem visto no mercado;
  • Loucos para achar um motivo para tretar, a imprensa já divulgou que o VP responsável por segurança e compliance, John J. Kelley III, recebeu 2,8 milhões de dólares no ano passado, entre salário e bonificações;
  • Críticas também tem sido feitas porque a Chief Security Officer (CSO) da Equifax, Susan Mauldin, tem formação universitária e pós graduação em música pela Universidade da Georgia;
  • Fazendo um paralelo com a recente onda de furacões que está atingindo os EUA, a Forbes cunhou uma nova buzzword para descrever o ataque na Equifax: "Category 5 Cybersecurity Crisis" (uma "crise de segurança categoria 5");
  • Aparentemente, os ciber criminosos que roubaram os dados da Equifax exigiram um resgate de 600 Bitcoins para apagar os dados e não divulgá-los;
  • Menos de uma semana depois do anúncio do vazamento de dados, já começou a onda de processos contra a Equifax. Dos 30 processos já abertos até 12/09, um deles exigia reparações no valor de US$ 70 bilhões;
  • A Equifax informou que a invasão aconteceu porque eles não corrigiram a vulberabilidade no Struts do Apache (CVE-2017-5638);
  • A Mandiant foi contratada em 2 de Agosto para investigar o incidente, poucos dias depois da Equifax identificar tráfego suspeito na rede e encontrar o servidor vulnerável;
  • A Equifax anunciou a aposentadoria do CIO and CSO da empresa;
  • Um portal da Equifax na Argentina, utilizada por seus funcionários, estava exposto na Internet permitindo acesso por uma conta admin com senha admin;
  • O banco Summit Credit Union, de Wisconsin, abriu uma ação judicial em 11 de setembro contra a Equifax, acusando a empresa de práticas comerciais negligentes;
  • O ex-CEO da Equifax, Richard Smith, disse em depoimento por escrito ao Congresso americano, que o vazamento de dados foi consequência de "Erro humano e falhas tecnológicas". Segundo ele, em 8 de Março a emrpesa recebeu a notificação do CERT-US sobre a vulnerabilidade do Struts do Apache. No dia seguinte a área de segurança repassou este e-mail para a área responsável pela atualização de software, que teria 48 horas para fazer a atualização necessária. Os scans de vulnerabilidade realizados posteriormente não identificaram que o Struts estava desatualizado e vulnerável;
  • No início de outubro a empresa informou que um grupo adicional de 2,5 milhões de clientes também foi afetado palo vazamento de dados, totalizando 145,5 milhões de vítimas;
  • O vazamento de dados também afetou 15,2 milhões clientes britânicos;
  • Total: foram roubados os dados de 145,5 milhões de clientes dos EUA;
  • No início de Março de 2018 a Equifax comunicou que foram identificados que mais 2,4 milhões de consumidores americanos também tiveram seus dados roubados. Assim, o número total e atualizado de clientes afetados chega a 147,9 milhões.
Inicialmente não estava claro se os invasores somente acessaram os dados dos clientes da Equifax ou se eles roubaram (extraíram) esses dados. Em Fevereiro de 2018, os investigadores forenses que trabalharam no caso deixaram claro que os atacantes acessaram e exfiltraram os dados.

Para saber mais:
Nota: Última atualização em 14/10 19/02/2018 03/07/18.

Um comentário:

Anônimo disse...

outro link que comprova a formação de Susan Mauldin : https://70news.wordpress.com/2017/09/15/equifax-put-a-music-major-susan-mauldin-as-chief-information-security-officer/

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.