Início » Antivírus e Segurança » A Equifax expôs 143 milhões de pessoas porque não atualizou software

A Equifax expôs 143 milhões de pessoas porque não atualizou software

Felipe Ventura Por

A Equifax, um dos três maiores serviços de proteção ao crédito nos EUA, foi invadida por hackers em maio. Eles levaram dados de 143 milhões de pessoas, incluindo nome completo, endereço, data de nascimento e número de seguridade social; mais 209 mil números de cartões de crédito.

A empresa descobriu uma das brechas que permitiram a invasão: uma vulnerabilidade em seus servidores web... que havia sido corrigida em março.

Foto por Alexlion/Pixabay

"Sabemos que os criminosos exploraram uma vulnerabilidade em nosso site para os EUA... o Apache Struts CVE-2017-5638", diz a Equifax em comunicado. O Apache Struts é bastante usado por empresas de internet, bancos e agências governamentais; trata-se de um framework para aplicativos Java que rodam no front-end e back-end de servidores web.

Como explica o Ars Technica, a falha CVE-2017-5638 foi corrigida em 6 de março. Três dias depois, hackers já estavam usando a vulnerabilidade em massa, tentando instalar seus próprios aplicativos nos servidores afetados. Dois meses depois, a Equifax foi invadida.

Corrigir esse bug não é exatamente fácil. É preciso baixar uma versão atualizada do Struts, e usá-la para recompilar todos os aplicativos usando versões mais antigas. Alguns sites podem ter dezenas ou mesmo centenas desses aplicativos, e eles precisam ser amplamente testados antes de irem ao ar.

Existe uma alternativa mais simples, é claro: não atualizar o Struts, ser invadido, expor dados de 143 milhões de pessoas, e avisá-las disso quarenta dias depois — é o caminho que a Equifax aparentemente resolveu seguir.

Há também outros problemas de segurança na empresa. O portal para funcionários da Equifax na Argentina tinha acesso de administrador protegido pela combinação admin/admin, segundo o pesquisador de segurança Brian Krebs. Era possível ver dados dos empregados e também de algumas pessoas que passaram por análise de crédito. Após ser avisada, ela retirou o site do ar.

De acordo com a Reuters, quase 40 estados americanos se uniram para realizar um inquérito sobre a Equifax; e seu CEO terá que testemunhar no Congresso em 3 de outubro. Uma ação civil pública já foi aberta.

Com informações: Ars Technica, Engadget.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Molinex
Não só no brasil, mas algumas espalhadas pelo mundo também...
Paçaro
Concordo plenamente com você. O difícil é saber em quem dá pra confiar. Impressão que dá é que todas essas empresas aqui do Brasil são de fundo de quintal.
Molinex
Muita gente... Hoje até pra comprar pela internet, eu tenho certas restrições. Não porque não confio nas tecnologias envolvidas no processo, mas porque não confio nas empresas que usam dessas tecnologias para manter os seus negócios... O mundo evoluiu e hoje dá pra fazer quase tudo por intermedio da tecnologia, mas enquanto as empresas que vivem disso não começarem a levar esse processo com seriedade, não dá pra confiar... Essa equifax tratava com dados pessoais e delicados dos clientes, e não esta nem aí pra segurança. Imagina então um e-commerce de fundo de quintal da internet...
Wesley
Se lá nos EUA esse tipo de coisa acontece com frequência, imagina aqui no Brasil, principalmente nesses órgãos públicos que nos obrigam a fazer cadastros com todos nosso dados pessoais.
Paçaro
Sim, convivo com isso diariamente.
Molinex
Pior que muito patrão pensa assim mesmo...
Paçaro
Não, porque TI não merece investimento.
Molinex
Mas se tiver prejuízo imediato, vale investir em TI?
Molinex
Parece que ouve um Strups em uma falha do Struts...
Renan
Digamos que essa empresa TI mais que se foder
Paçaro
Se não trás lucro imediato não tem porque investir em TI.
Jonas S. Marques
Pior que eu não duvido que alguém tenha alertado algum diretor e ouvido a famosa frase "A gente muda quando der, isso vai dar muito trabalho".
Trovalds
Investir em TI pra que, mesmo?