Het Amerikaanse kredietbureau Equifax zou maanden voordat het bedrijf gehackt werd gewaarschuwd zijn over de kwetsbaarheid die misbruikt werd bij de aanval.
De beveiligingsonderzoeker ontdekte aan het einde van 2016 dat er een website van het kredietbureau was waarmee hij toegang kon krijgen tot de persoonlijke data van iedere Amerikaan. Het leek er op dat de pagina ontwikkeld was voor werknemers van Equifax, maar iedereen zou er bij kunnen komen.
Op de website stonden zoekvelden, waarmee gezocht kon worden naar persoonlijke informatie over alle Amerikanen. De onderzoeker downloadde gegevens van in totaal honderdduizenden Amerikanen om de kwetsbaarheden in het systeem aan Equifax te tonen.
Ook was het mogelijk om de controle over vijf verschillende servers van het kredietbureau over te nemen, stelt de onderzoeker. Diverse servers draaiden bovendien op verouderde software.
Waarschuwing
De kwetsbaarheden werden in december 2016 ontdekt. De beveiligingsonderzoeker zegt ze vervolgens direct bij Equifax gemeld te hebben. De website zou echter pas in juni offline zijn gehaald.
Equifax zei eerder dat de aanval heeft kunnen plaatsvinden door een lek in opensource-serversoftware. Het gaat om Apache Struts. De hackers zijn op 13 mei voor het eerst de systemen van het kredietbedrijf binnengedrongen, en als laatste op 30 juli. Op 29 juli werd de hack door Equifax ontdekt.
Equifax heeft geweigerd om te reageren op het verhaal van de onderzoeker.
Bron: ‘Equifax half jaar voor hack gewaarschuwd over lek dat bij aanval gebruikt werd’