Abo
  • IT-Karriere:

Apache Struts: Monate alte Sicherheitslücke führte zu Equifax-Hack

Die Kundendaten von Equifax haben durch eine mehrere Monate ungepatchte Sicherheitslücke gehackt werden können. Auch sonst macht das Unternehmen beim Thema Sicherheit wenig richtig - wie die Zugangskombination "admin/admin" auf einer Mitarbeiterseite zeigt.

Artikel veröffentlicht am ,
Richard F. Smith, Chairman und CEO von Equifax
Richard F. Smith, Chairman und CEO von Equifax (Bild: Equifax)

Eine zum Zeitpunkt des Equifax-Hacks seit mehreren Monaten gepatchte Sicherheitslücke hat nach Angaben des Scoring-Dienstes den Hack von bis zu 140 Millionen Kundendaten ermöglicht. Außerdem wurden Sicherheitslücken auf weiteren Equifax-Seiten entdeckt.

Stellenmarkt
  1. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Braunschweig
  2. BWI GmbH, Weiden in der Oberpfalz

Die Sicherheitslücke in Apache Struts trägt die Bezeichnung CVE-2017-5638 und wurde im März dieses Jahres gepatcht. Der Hack von Equifax Webanwendung begann im Mai, also rund zwei Monate nachdem der Patch verfügbar war. Mit Apache Struts können Java-Anwendungen für Front- und Backend entwickelt werden.

Anwendungen müssen neu gebaut werden

Das Update einzuspielen, ist mit einigen Schwierigkeiten verbunden. Denn nach dem eigentlichen Update für Struts müssen alle Anwendungen auf dem jeweiligen Server erneut gebaut werden. Trotz des Aufwandes hätte der Bug umgehend gepatcht werden müssen: Sicherheitsforscher warnten bereits im März, dass Kriminelle bei Ausnutzung der Schwachstelle beliebigen Code ausführen könnten. Zudem gab es bereits im März einen Exploit, der auch über Metasploit genutzt werden kann.

Der Journalist Brian Krebs berichtete unterdessen, dass auch eine Seite der lateinamerikanischen Sparte von Equifax massive Sicherheitsprobleme aufweist. Das Mitabeiterportal wurde mit der nicht besonders kreativen Mischung von "admin/admin" als Benutzername und Passwort nicht abgesichert. In dem Portal konnten persönliche Daten der Mitabeiter ausgelesen werden. Dabei stellte sich heraus, dass alle Mitarbeiter von Equifax in Argentinien ein Passwort haben, das identisch mit ihrem Benutzernamen ist. Die Seite wurde mittlerweile vom Netz genommen.

Equifax verwaltet wie die Schufa oder Arvato Infoscore in Deutschland vertrauliche Kundendaten zur Kreditwürdigkeit. Für seine Reaktion auf den Hack war das Unternehmen von zahlreichen Experten kritisiert worden.



Anzeige
Top-Angebote
  1. 799,90€
  2. (u. a. Guild Wars 2 - Path of Fire 15,99€, PUBG Survivor Pass 3 6,99€, Die Sims 4 10,99€)
  3. (aktuell u. a. NZXT H500 Overwatch Special Edition Gehhäuse 129,90€, NZXT RGB Kit 79,90€)
  4. (Monitore ab 147,99€ und Laptops ab 279,00€)

My1 29. Sep 2017

okay, gut, aber das ändert nix an der fahrlässigkeit mit der hier an den tag gegangen...


Folgen Sie uns
       


Sailfish OS auf dem Sony Xperia XA2 Plus ausprobiert

Sailfish OS gibt es als Sailfish X auch für einige Xperia-Smartphones von Sony. Wir haben uns die aktuelle Beta-Version auf dem Xperia XA2 Plus angeschaut.

Sailfish OS auf dem Sony Xperia XA2 Plus ausprobiert Video aufrufen
Technologie: Warum Roboter in Japan so beliebt sind
Technologie
Warum Roboter in Japan so beliebt sind

Japaner produzieren nicht nur mehr Roboter als jede andere Nation, sie gehen auch selbstverständlicher mit ihnen um. Das liegt an der besonderen Geschichte und Religion des Inselstaats - und an Astro Boy.
Von Miroslav Stimac

  1. Heimautomatisierung Wäschefaltroboter-Hersteller Seven Dreamers ist insolvent
  2. Kreativität Roboterdame Ai-Da soll zeichnen und malen
  3. Automatisierung Roboterhotel entlässt Roboter

Elektromobilität: Was hat ein Kanu mit Autos zu tun?
Elektromobilität
Was hat ein Kanu mit Autos zu tun?

Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
Ein Bericht von Dirk Kunde

  1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
  2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
  3. Ventomobil Mit dem Windrad auf Rekordjagd

Raspi-Tastatur und -Maus im Test: Die Basteltastatur für Bastelrechner
Raspi-Tastatur und -Maus im Test
Die Basteltastatur für Bastelrechner

Für die Raspberry-Pi-Platinen gibt es eine offizielle Tastatur und Maus, passenderweise in Weiß und Rot. Im Test macht die Tastatur einen anständigen Eindruck, die Maus hingegen hat uns eher kaltgelassen. Das Keyboard ist zudem ein guter Ausgangspunkt für Bastelprojekte.
Ein Test von Tobias Költzsch

  1. Bastelcomputer Offizielle Maus und Tastatur für den Raspberry Pi
  2. Kodi mit Raspberry Pi Pimp your Stereoanlage
  3. Betriebssystem Windows 10 on ARM kann auf Raspberry Pi 3 installiert werden

    •  /