Hoe meer we te weten komen over de Equifax-hack, hoe erger het wordt.

Een paar weken geleden stonden we al uitgebreid stil bij de missers die kredietbeheerder Equifax beging met een hackincident waarbij de gegevens van honderden miljoenen Amerikanen, rijp voor allerlei identiteitsfraude, op straat kwamen te liggen. Dat was al naar genoeg, maar hoe meer informatie naar buiten komt, hoe groter de ergernis van beveiligers: hoe krijg je zoveel faalmomenten in vredesnaam op elkaar gestapeld?

Geen opt-out

We hadden het vorige maand over een paar schrijnende gevallen van identiteitsfraude, maar in die praktijkvoorbeelden gaat het om gerichte en kleinschalige acties. Maar nu is er een risico dat het op grote schaal gebeurt, omdat voor identiteitsfraude benodigde gegevens van vele tientallen miljoenen Amerikanen en Canadezen zijn bemachtig.

Wat het extra zuur maakt, is dat burgers volstrekt geen controle hebben over hun aanwezigheid in de databases van het bedrijf. Equifax registreert de kredietwaardigheid van burgers voor allerlei instanties en bedrijven, dus getroffen 'klanten' zijn mensen die zich hier vaak niet bewust van zijn. Bovendien is er geen sprake van een klantrelatie of directe toestemming.

Parlementair onderzoek

Equifax heeft inzicht in de kredietwaardigheid van burgers en heeft daarom gevoelige data als persoonsgegevens, schulden en zelfs hele bestedingspatronen. De Amerikaanse regering doet onderzoek naar de zaak en deze week volgen nog een aantal hoorzittingen voor een parlementaire commissie en hierdoor komen er meer details naar buiten. Bijvoorbeeld dat de hack een paar miljoen meer klanten trof dan gedacht (een detail dat we niet in deze lijst hebben meegenomen).

1. Gat maandenlang open

Apache waarschuwde in maart voor een kritiek gat (met de allerhoogste CVSS-score) dat in het wild werd misbruikt en bracht een noodpatch uit. Het gebeurt wel vaker dat patches een tijdje op de plank blijven liggen in een organisatie vanwege IT-beslommeringen, maar Equifax merkte simpelweg niet op dat er een probleem was, ondanks een intern onderzoek die maand.

Equifax voerde namelijk ook in maart een beveiligingsreview uit op de eigen systemen. Toen had de kwetsbaarheid al opgemerkt moeten worden door de IT-beveiligers, zo vertelde de voormalige CEO van het bedrijf deze week aan een parlementaire commissie die onderzoek doet naar de zaak. Tussen mei en juli hadden aanvallers toegang tot het netwerk via het gat in het webapplicatie-framework.

Ars Technica meldt dat het nog erger was: er was intern gewaarschuwd voor het gat, maar die waarschuwing werd in de wind geslagen. Een scan om te zien of applicaties kwetsbaar zijn werd uitgesteld en toen hij een week later wel werd uitgevoerd, werd niet opgemerkt dat een webapplicatie nog steeds kwetsbaar was.