Tecnoblog

A Equifax expôs 143 milhões de pessoas porque não atualizou software

A Equifax, um dos três maiores serviços de proteção ao crédito nos EUA, foi invadida por hackers em maio. Eles levaram dados de 143 milhões de pessoas, incluindo nome completo, endereço, data de nascimento e número de seguridade social; mais 209 mil números de cartões de crédito.

A empresa descobriu uma das brechas que permitiram a invasão: uma vulnerabilidade em seus servidores web… que havia sido corrigida em março.

“Sabemos que os criminosos exploraram uma vulnerabilidade em nosso site para os EUA… o Apache Struts CVE-2017-5638”, diz a Equifax em comunicado. O Apache Struts é bastante usado por empresas de internet, bancos e agências governamentais; trata-se de um framework para aplicativos Java que rodam no front-end e back-end de servidores web.

Como explica o Ars Technica, a falha CVE-2017-5638 foi corrigida em 6 de março. Três dias depois, hackers já estavam usando a vulnerabilidade em massa, tentando instalar seus próprios aplicativos nos servidores afetados. Dois meses depois, a Equifax foi invadida.

Corrigir esse bug não é exatamente fácil. É preciso baixar uma versão atualizada do Struts, e usá-la para recompilar todos os aplicativos usando versões mais antigas. Alguns sites podem ter dezenas ou mesmo centenas desses aplicativos, e eles precisam ser amplamente testados antes de irem ao ar.

Existe uma alternativa mais simples, é claro: não atualizar o Struts, ser invadido, expor dados de 143 milhões de pessoas, e avisá-las disso quarenta dias depois — é o caminho que a Equifax aparentemente resolveu seguir.

Há também outros problemas de segurança na empresa. O portal para funcionários da Equifax na Argentina tinha acesso de administrador protegido pela combinação admin/admin, segundo o pesquisador de segurança Brian Krebs. Era possível ver dados dos empregados e também de algumas pessoas que passaram por análise de crédito. Após ser avisada, ela retirou o site do ar.

De acordo com a Reuters, quase 40 estados americanos se uniram para realizar um inquérito sobre a Equifax; e seu CEO terá que testemunhar no Congresso em 3 de outubro. Uma ação civil pública já foi aberta.

Com informações: Ars Technica, Engadget.