14/09/2017 di Redazione

Un'applicazione Web fallata e la negligenza hanno punito Equifax

L'agenzia di di controllo dei crediti, protagonista del data breach che ha esposto i dati di 143 milioni di cittadini statunitensi, ha ammesso l'esistenza di una vulnerabilità in un'applicazione Web. Scoperta già a marzo e ancora esistente due mesi dopo,

immagine.jpg

La reputazione di Equifax, dopo l'attacco hacker che ha sottratto i dati personali e di carte di credito di 143 milioni di cittadini statunitensi, se possibile ha subito ulteriori mazzate: class action, sospetti di insider trading, tentativi di limitare i danni riusciti solo a metà e la scoperta di una vulnerabilità che – con un po' più di attenzione – avrebbe potuto essere risolta ben prima che i criminali si mettessero in azione. Ieri l'agenzia di di controllo dei crediti ha fatto sapere che l'attacco, proseguito per settimane a partire dal mese di maggio, ha sfruttato una vulnerabilità di un'applicazione Web, risiedente nel framework Apache Struts.

La scoperta è di questi giorni ed è opera della società di cybersicurezza ingaggiata da Equifax per investigare. L'esistenza di tale vulnerabilità, però, era nota già dallo scorso marzo e avrebbe potuto essere risolta con un semplice aggiornamento software. Ecco dunque una prima aggravante per un data breach che definire clamoroso è poco, considerando che agenzie come Equifax maneggiano informazioni delicatissime (anagrafiche, dati di documenti e carte di credito) e che l'attacco ha riguardato circa il 40% della popolazione residente negli Stati Uniti, qualificandosi come l'episodio più esteso del 2017 per numero di “vittime”.

La negligenza è sufficiente per giustificare la class action avviata oltreoceano, con la richiesta di un risarcimento da 70 miliardi di dollari. Nell'esposto si sottolinea che Equifax “avrebbe dovuto sapere che la mancata manutenzione di adeguate garanzie tecnologiche avrebbe potuto condurre a una grave violazione dei dati”, e si accusa la società di aver speso troppo poco in cybersicurezza. Ma le magagne non terminano qui. Come segnalato da Bloomberg, nei giorni successivi alla scoperta dell'attacco ma prima dell'annuncio di giovedì scorso tre senior executive dell'agenzia si sono affrettati a vendere il corrispettivo di circa 1,8 milioni di dollari delle proprie azioni. Consapevoli, probabilmente, che la notizia del data breach avrebbe provocato un crollo del titolo, come poi è stato (di oltre il 20%). Come può non essere insider trading?”, ha detto in conferenza stampa la senatrice Heidi Heitkamp, membro della commissione Banking, Housing, and Urban Affairs, sostenendo anche che “se questo è accaduto, qualcuno dovrà andare in prigione.

 

 

 

Meno grave ma comunque fonte di imbarazzo, è un inciampo tecnico, per così dire, in cui è incappata di Equifax. Oltre ad aver messo a disposizione strumenti di verifica per i suoi utenti, l'agenzia ha attivato un servizio online per consentire a chiunque lo desideri di “congerlare” il proprio conto e proteggerlo così da tentativi di furto (per esempio, da richieste di finanziamento fatte non dal proprietario del conto). Per procedere con il blocco l'utente riceve un codice: peccato che, come evidenziato da alcuni clienti su Twitter, tale codice sia generato in modo sequenziale in base alla data e all'orario in cui viene eseguita l'operazione. Un metodo certo non particolarmente sicuro o a prova di hacker.

Tra le preoccupazioni che in questi giorni gravano sui dirigenti di Equifax c'è poi anche la richiesta di “riscatto” lanciata presumibilmente dagli autori dell'attacco: 600 bitcoin, l'equivalente di 2,7 milioni di dollari, da versare entro domani, pena la pubblicazione online di parte delle informazioni del data breach.

 

ARTICOLI CORRELATI