Non c’è pace mediatica per Equifax, una della rincipali agenzie di controllo dei crediti degli Stati Uniti e infelice protagonista di uno degli hackeraggi più colossali della storia, sia per quantità sia per “sostanza” dei dati esposti agli occhi esterni e che avrebbero dovuto invece rimanere riservati. Si era parlato inizialmente di 143 milioni di profili (in prevalenza, ma non solo, di cittadini statunitensi) a cui i malintenzionati avrebbero avuto accesso, potendo visionare informazioni anagrafiche, codici fiscali, recapiti e per una parte di essi anche numeri di carta di credito. La stima era poi stata elevata di alcuni milioni, per poi ricostruire la dinamica della violazione attribuendone la colpa a mancati aggiornamenti di un’applicazione di Web server, Apache Struts.
Ora la società ha diffuso i numeri precisi del fattaccio, mentre è circolata la presunta notizia per cui oltre diecimila aziende statunitensi e non userebbero ancora versioni vulnerabili di Apache Struts, esponendosi ad analoghi rischi. Andiamo per ordine.
La buona notizia, nel mare delle cattive, è che non sia stata ulteriormente elevata la stima finale di 146,5 milioni di persone interessate dal potenziale spionaggio di dati. Le indagini condotte da Mandiant per conto di Equifax hanno confermato il numero complessivo, dettagliando al suo interno circa 145,5 milioni di numeri di previdenza sociale esposti al data breach, 99 milioni di indirizzi, 209mila informazioni sulla data di scadenza di carte di pagamento (l’expiry date, uno dei parametri richiesti per fare acquisti online, per esempio), 38mila patenti di cittadini nordamericani e 3.200 passaporti. Tutte le persone potenzialmente coinvolte sono già state avvisate a suo tempo tramite notifica. Ma in fondo, se anche non sono sorti nuovi allarmi, sembra difficile poter parlare di buone notizie per Equifax e per i suoi utenti..
E cattiva è anche la notiza riportata da Zdnet dopo aver messo gli occhi su un’analisi di una società che si occupa di automazione open-source, Sonatype. A detta di quest’ultima, versioni non aggiornata e non sicure di Apache Struts sarebbero usate ancora da almeno 10.800 aziende, prevalentemente situate in Nordamerica. Tra costoro, quel che è più grave, anche oltre metà della imprese dell’indice Fortune Global 100. Sonatype non ha fatto nomi, ma ha specificato che nell’insieme delle diecimila una su quatto opera nell’ambito dei servizi finanziari o delle assicurazioni, avendo quindi a che fare con dati personali sensibili e di grande interesse per eventuali hacker.