Abo
  • Services:
Anzeige
Richard F. Smith, Chairman und CEO von Equifax
Richard F. Smith, Chairman und CEO von Equifax (Bild: Equifax)

Apache Struts: Monate alte Sicherheitslücke führte zu Equifax-Hack

Richard F. Smith, Chairman und CEO von Equifax
Richard F. Smith, Chairman und CEO von Equifax (Bild: Equifax)

Die Kundendaten von Equifax haben durch eine mehrere Monate ungepatchte Sicherheitslücke gehackt werden können. Auch sonst macht das Unternehmen beim Thema Sicherheit wenig richtig - wie die Zugangskombination "admin/admin" auf einer Mitarbeiterseite zeigt.

Eine zum Zeitpunkt des Equifax-Hacks seit mehreren Monaten gepatchte Sicherheitslücke hat nach Angaben des Scoring-Dienstes den Hack von bis zu 140 Millionen Kundendaten ermöglicht. Außerdem wurden Sicherheitslücken auf weiteren Equifax-Seiten entdeckt.

Anzeige

Die Sicherheitslücke in Apache Struts trägt die Bezeichnung CVE-2017-5638 und wurde im März dieses Jahres gepatcht. Der Hack von Equifax Webanwendung begann im Mai, also rund zwei Monate nachdem der Patch verfügbar war. Mit Apache Struts können Java-Anwendungen für Front- und Backend entwickelt werden.

Anwendungen müssen neu gebaut werden

Das Update einzuspielen, ist mit einigen Schwierigkeiten verbunden. Denn nach dem eigentlichen Update für Struts müssen alle Anwendungen auf dem jeweiligen Server erneut gebaut werden. Trotz des Aufwandes hätte der Bug umgehend gepatcht werden müssen: Sicherheitsforscher warnten bereits im März, dass Kriminelle bei Ausnutzung der Schwachstelle beliebigen Code ausführen könnten. Zudem gab es bereits im März einen Exploit, der auch über Metasploit genutzt werden kann.

Der Journalist Brian Krebs berichtete unterdessen, dass auch eine Seite der lateinamerikanischen Sparte von Equifax massive Sicherheitsprobleme aufweist. Das Mitabeiterportal wurde mit der nicht besonders kreativen Mischung von "admin/admin" als Benutzername und Passwort nicht abgesichert. In dem Portal konnten persönliche Daten der Mitabeiter ausgelesen werden. Dabei stellte sich heraus, dass alle Mitarbeiter von Equifax in Argentinien ein Passwort haben, das identisch mit ihrem Benutzernamen ist. Die Seite wurde mittlerweile vom Netz genommen.

Equifax verwaltet wie die Schufa oder Arvato Infoscore in Deutschland vertrauliche Kundendaten zur Kreditwürdigkeit. Für seine Reaktion auf den Hack war das Unternehmen von zahlreichen Experten kritisiert worden.


eye home zur Startseite
My1 15. Sep 2017

wobei es auch abhängt davon, was man da wirklich gemacht hat, egal wo man gearbeitet hat.

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Bühler Motor GmbH, Nürnberg
  2. via Nash direct GmbH, Erlangen
  3. via Nash Direct GmbH, München
  4. TUI InfoTec GmbH, Hannover


Anzeige
Blu-ray-Angebote
  1. (u. a. Stephen Kings Es 8,97€, Serpico 8,97€, Annabelle 8,84€)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. 299,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Trekstor

    Kompakte Convertibles kosten ab 350 Euro

  2. Apple

    4K-Filme in iTunes laufen nur auf neuem Apple TV

  3. Bundesgerichtshof

    Keine Urheberrechtsverletzung bei Bildersuche

  4. FedEX

    TNT verliert durch NotPetya 300 Millionen US-Dollar

  5. Arbeit aufgenommen

    Deutsches Internet-Institut nach Weizenbaum benannt

  6. Archer CR700v

    Kabelrouter von TP-Link doch nicht komplett abgesagt

  7. QC35 II

    Bose bringt Kopfhörer mit eingebautem Google Assistant

  8. Nach "Judenhasser"-Eklat

    Facebook erlaubt wieder gezielte Werbung an Berufsgruppen

  9. Tuxedo

    Linux-Notebook läuft bis zu 20 Stunden

  10. Umfrage

    88 Prozent wollen bezahlbaren Breitbandanschluss



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kein App Store mehr: iOS-Nutzer sollten das neue iTunes nicht installieren
Kein App Store mehr
iOS-Nutzer sollten das neue iTunes nicht installieren
  1. Drei Netzanbieter warnt vor Upgrade auf iOS 11
  2. Betriebssystem Apple veröffentlicht Goldmaster für iOS, tvOS und WatchOS
  3. iPhone iOS 11 bekommt Schutz gegen unerwünschte Memory-Dumps

Inspiron 5675 im Test: Dells Ryzen-Gaming-PC reicht mindestens bis 2020
Inspiron 5675 im Test
Dells Ryzen-Gaming-PC reicht mindestens bis 2020
  1. Android 8.0 im Test Fertig oder nicht fertig, das ist hier die Frage
  2. Logitech Powerplay im Test Die niemals leere Funk-Maus
  3. Polar vs. Fitbit Duell der Schlafexperten

Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten
Energieversorgung
Windparks sind schlechter gesichert als E-Mail-Konten
  1. Messenger Wire-Server steht komplett unter Open-Source-Lizenz
  2. Apache Struts Monate alte Sicherheitslücke führte zu Equifax-Hack
  3. Kreditrating Equifax' Krisenreaktion ist ein Desaster

  1. Re: Ja? Wieso funktioniert dann mein Edge und die...

    elf | 17:51

  2. Re: MS-DOS 6.22

    Test_The_Rest | 17:50

  3. Re: History repeats itself

    George99 | 17:49

  4. Re: Was hat das mit "Die PARTEI" zui tun?

    deutscher_michel | 17:47

  5. Re: Backup - My Ass!!

    ArcherV | 17:45


  1. 17:49

  2. 17:39

  3. 17:16

  4. 17:11

  5. 16:49

  6. 16:17

  7. 16:01

  8. 15:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel