Хакер #305. Многошаговые SQL-инъекции
В ночь с 7 на 8 сентября 2017 года стало известно о взломе компании Equifax и одной из самых масштабных утечек данных за последние годы. Так, представители североамериканского подразделения Equifax сообщили, что неизвестные злоумышленники завладели личной информацией 143 млн человек (всего в США проживает 324 млн человек), включая номера социального страхования и водительских удостоверений, полные имена, адреса и так далее. Кроме того, в 209 000 случаях в документах также фигурировала информация о банковских картах пострадавших. Судя по всему, отделения Equifax в других странах не пострадали, хотя сообщается, что утечка затронула неназванное количество жителей Канады и Великобритании.
В случившемся есть определенная ирония, так как специалистов Equifax регулярно нанимают для защиты пользовательских данных после утечек данных. «Вы почувствуете себя более защищенными с Equifax. Мы являемся ведущим поставщиком услуг в сфере защиты утечек данных и ежедневно обслуживаем более 500 организаций, столкнувшихся с утечками информации», — гласит сайт компании.
Официальные представители Equifax сообщили, что неизвестные проникли на серверы компании еще в мае 2017 года, но их присутствие оставалось незамеченным вплоть до конца июля 2017 года. Никаких подробностей об атаке не сообщается, известно лишь, что злоумышленники скомпрометировали некое веб-приложение на сайте. Почему представители Equifax молчали о случившемся более месяца, неизвестно.
Для пострадавших был запущен специальный сайт equifaxsecurity2017.com, где можно найти ответы на наиболее распространенные вопросы, а также подать заявление на использование бесплатного кредитного мониторинга и воспользоваться сервисами по защите от кражи личности. Также на сайте trustedidpremier.com/eligibility/ клиенты компании могут проверить, числятся ли их данные в списках пострадавших.
Журналисты Vice Motherboard уже раскритиковали компанию за создание путаницы из трех разных сайтов (еще есть официальный equifax.com). Более того, представители издания обнаружили, что защита от кражи личности TrustedID Premier работает весьма странно. В частности, как показывает скриншот ниже, система попросила некоторых сотрудников редакции вернуться для активации TrustedID Premier через неделю. Другим журналистам система сообщила, что их данные не пострадали, но после повторного запроса их тоже попросили вернуться позже.
«Это определенно очень печальное событие для нашей компании, которое уявзляет саму суть того, что мы делаем и кем являемся. Я приношу извинения нашим клиентам и бизнес-партнерам за те неудобства и беспокойство, которое причяет им данный инцидент», — говорит CEO Equifax Ричард Смит (Richard Smith) в своем видеообращении.
Компания Equifax основана в еще в 1899 году. На сегодняшний день бюро кредитных историй собирает и хранит информацию более чем 800 млн потребителей и более 88 млн компаний по всему миру.