Abo
  • Services:
Anzeige
Richard F. Smith, Chairman und CEO von Equifax
Richard F. Smith, Chairman und CEO von Equifax (Bild: Equifax)

Apache Struts: Monate alte Sicherheitslücke führte zu Equifax-Hack

Richard F. Smith, Chairman und CEO von Equifax
Richard F. Smith, Chairman und CEO von Equifax (Bild: Equifax)

Die Kundendaten von Equifax haben durch eine mehrere Monate ungepatchte Sicherheitslücke gehackt werden können. Auch sonst macht das Unternehmen beim Thema Sicherheit wenig richtig - wie die Zugangskombination "admin/admin" auf einer Mitarbeiterseite zeigt.

Eine zum Zeitpunkt des Equifax-Hacks seit mehreren Monaten gepatchte Sicherheitslücke hat nach Angaben des Scoring-Dienstes den Hack von bis zu 140 Millionen Kundendaten ermöglicht. Außerdem wurden Sicherheitslücken auf weiteren Equifax-Seiten entdeckt.

Anzeige

Die Sicherheitslücke in Apache Struts trägt die Bezeichnung CVE-2017-5638 und wurde im März dieses Jahres gepatcht. Der Hack von Equifax Webanwendung begann im Mai, also rund zwei Monate nachdem der Patch verfügbar war. Mit Apache Struts können Java-Anwendungen für Front- und Backend entwickelt werden.

Anwendungen müssen neu gebaut werden

Das Update einzuspielen, ist mit einigen Schwierigkeiten verbunden. Denn nach dem eigentlichen Update für Struts müssen alle Anwendungen auf dem jeweiligen Server erneut gebaut werden. Trotz des Aufwandes hätte der Bug umgehend gepatcht werden müssen: Sicherheitsforscher warnten bereits im März, dass Kriminelle bei Ausnutzung der Schwachstelle beliebigen Code ausführen könnten. Zudem gab es bereits im März einen Exploit, der auch über Metasploit genutzt werden kann.

Der Journalist Brian Krebs berichtete unterdessen, dass auch eine Seite der lateinamerikanischen Sparte von Equifax massive Sicherheitsprobleme aufweist. Das Mitabeiterportal wurde mit der nicht besonders kreativen Mischung von "admin/admin" als Benutzername und Passwort nicht abgesichert. In dem Portal konnten persönliche Daten der Mitabeiter ausgelesen werden. Dabei stellte sich heraus, dass alle Mitarbeiter von Equifax in Argentinien ein Passwort haben, das identisch mit ihrem Benutzernamen ist. Die Seite wurde mittlerweile vom Netz genommen.

Equifax verwaltet wie die Schufa oder Arvato Infoscore in Deutschland vertrauliche Kundendaten zur Kreditwürdigkeit. Für seine Reaktion auf den Hack war das Unternehmen von zahlreichen Experten kritisiert worden.


eye home zur Startseite
My1 29. Sep 2017

okay, gut, aber das ändert nix an der fahrlässigkeit mit der hier an den tag gegangen...



Anzeige

Stellenmarkt
  1. symmedia GmbH, Bielefeld
  2. Smartexposé GmbH, Berlin-Kreuzberg
  3. SOLUTIONS Gesellschaft für Organisationslösungen mbH, Region Stuttgart
  4. Automotive Safety Technologies GmbH, Ingolstadt


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. (u. a. Drive 7,79€, John Wick: Kapitel 2 9,99€ und Predator Collection 17,49€)
  3. 299,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. DFKI

    Forscher proben robotische Planetenerkundung auf der Erde

  2. Microsoft

    Netzteil des Surface Book 2 ist zu schwach

  3. Lösegeld

    Uber verheimlicht Hack von 60 Millionen Kundendaten

  4. Foxconn

    Auszubildende arbeiteten illegal am iPhone X

  5. Meg Whitman

    Chefin von Hewlett Packard Enterprise tritt ab

  6. Fitbit Ionic im Test

    Die (noch) nicht ganz so smarte Sportuhr

  7. Rigiet

    Smartphone-Gimbal soll Kameras für wenig Geld stabilisieren

  8. Tele Columbus

    1 GBit würden "gegenwärtig nur die Nerds buchen"

  9. Systemkamera

    Leica CL verbindet Retro-Design mit neuester Technik

  10. Android

    Google bekommt Standortdaten auch ohne GPS-Aktivierung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Fire TV (2017) im Test: Das Streaminggerät, das kaum einer braucht
Fire TV (2017) im Test
Das Streaminggerät, das kaum einer braucht
  1. Neuer Fire TV Amazons Streaming-Gerät bietet HDR für 80 Euro
  2. Streaming Update für Fire TV bringt Lupenfunktion
  3. Streaming Amazon will Fire TV und Echo Dot vereinen

Universal Paperclips: Mit ein paar Sexdezillionen Büroklammern die Welt erobern
Universal Paperclips
Mit ein paar Sexdezillionen Büroklammern die Welt erobern
  1. Disney Marvel Heroes wird geschlossen
  2. Starcraft 2 Blizzard lästert über Pay-to-Win in Star Wars Battlefront 2
  3. Free to Play World of Tanks bringt pro Nutzer und Monat 3,30 Dollar ein

Smartphoneversicherungen im Überblick: Teuer und meistens überflüssig
Smartphoneversicherungen im Überblick
Teuer und meistens überflüssig
  1. Winphone 5.0 Trekstor will es nochmal mit Windows 10 Mobile versuchen
  2. Librem 5 Das freie Linux-Smartphone ist finanziert
  3. Aquaris-V- und U2-Reihe BQ stellt neue Smartphones ab 180 Euro vor

  1. Re: Also ich, Entwickler, Nerd, 23, Single bin...

    SJ | 10:42

  2. Re: Tesla Model 3 ist 100x besser

    ArcherV | 10:40

  3. Re: Apple geht über Leichen

    ML82 | 10:40

  4. Einmal mit Profis... (kt)

    katze_sonne | 10:40

  5. Nerds von heute wollen gar kein GBit/s ..

    senf.dazu | 10:39


  1. 10:48

  2. 10:16

  3. 09:41

  4. 09:20

  5. 09:06

  6. 09:03

  7. 07:38

  8. 20:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel