A Equifax, um dos três maiores serviços de proteção ao crédito nos EUA, foi invadida por hackers em maio. Eles levaram dados de 143 milhões de pessoas, incluindo nome completo, endereço, data de nascimento e número de seguridade social; mais 209 mil números de cartões de crédito.

A empresa descobriu uma das brechas que permitiram a invasão: uma vulnerabilidade em seus servidores web… que havia sido corrigida em março.

“Sabemos que os criminosos exploraram uma vulnerabilidade em nosso site para os EUA… o Apache Struts CVE-2017-5638”, diz a Equifax em comunicado. O Apache Struts é bastante usado por empresas de internet, bancos e agências governamentais; trata-se de um framework para aplicativos Java que rodam no front-end e back-end de servidores web.

Como explica o Ars Technica, a falha CVE-2017-5638 foi corrigida em 6 de março. Três dias depois, hackers já estavam usando a vulnerabilidade em massa, tentando instalar seus próprios aplicativos nos servidores afetados. Dois meses depois, a Equifax foi invadida.

Corrigir esse bug não é exatamente fácil. É preciso baixar uma versão atualizada do Struts, e usá-la para recompilar todos os aplicativos usando versões mais antigas. Alguns sites podem ter dezenas ou mesmo centenas desses aplicativos, e eles precisam ser amplamente testados antes de irem ao ar.

Existe uma alternativa mais simples, é claro: não atualizar o Struts, ser invadido, expor dados de 143 milhões de pessoas, e avisá-las disso quarenta dias depois — é o caminho que a Equifax aparentemente resolveu seguir.

Há também outros problemas de segurança na empresa. O portal para funcionários da Equifax na Argentina tinha acesso de administrador protegido pela combinação admin/admin, segundo o pesquisador de segurança Brian Krebs. Era possível ver dados dos empregados e também de algumas pessoas que passaram por análise de crédito. Após ser avisada, ela retirou o site do ar.

De acordo com a Reuters, quase 40 estados americanos se uniram para realizar um inquérito sobre a Equifax; e seu CEO terá que testemunhar no Congresso em 3 de outubro. Uma ação civil pública já foi aberta.

Com informações: Ars Technica, Engadget.

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Felipe Ventura

Felipe Ventura

Ex-editor

Felipe Ventura fez graduação em Economia pela FEA-USP, e trabalha com jornalismo desde 2009. No Tecnoblog, atuou entre 2017 e 2023 como editor de notícias, ajudando a cobrir os principais fatos de tecnologia. Sua paixão pela comunicação começou em um estágio na editora Axel Springer na Alemanha. Foi repórter e editor-assistente no Gizmodo Brasil.

Relacionados

26 bilhões de contas aparecem em maior vazamento da história
26 bilhões de contas aparecem em maior vazamento da história
O que fazer em caso de vazamento de dados pessoais?
O que fazer em caso de vazamento de dados pessoais?
O que é backdoor em computação?
O que é backdoor em computação?
46 mil chaves do Pix foram expostas por falha em instituição financeira
46 mil chaves do Pix foram expostas por falha em instituição financeira
O que é um exploit de software ou hardware?
O que é um exploit de software ou hardware?
PayPal sofre ataque hacker e quase 35 mil usuários são atingidos
PayPal sofre ataque hacker e quase 35 mil usuários são atingidos
O que é deepfake e por que você deveria se preocupar
O que é deepfake e por que você deveria se preocupar
O que é um ransomware?
O que é um ransomware?
Antivírus para iOS? Saiba como proteger seu iPhone
Antivírus para iOS? Saiba como proteger seu iPhone
Como tornar seu Chromebook ainda mais seguro
Como tornar seu Chromebook ainda mais seguro