Abo
  • Services:

Apache Struts: Monate alte Sicherheitslücke führte zu Equifax-Hack

Die Kundendaten von Equifax haben durch eine mehrere Monate ungepatchte Sicherheitslücke gehackt werden können. Auch sonst macht das Unternehmen beim Thema Sicherheit wenig richtig - wie die Zugangskombination "admin/admin" auf einer Mitarbeiterseite zeigt.

Artikel veröffentlicht am ,
Richard F. Smith, Chairman und CEO von Equifax
Richard F. Smith, Chairman und CEO von Equifax (Bild: Equifax)

Eine zum Zeitpunkt des Equifax-Hacks seit mehreren Monaten gepatchte Sicherheitslücke hat nach Angaben des Scoring-Dienstes den Hack von bis zu 140 Millionen Kundendaten ermöglicht. Außerdem wurden Sicherheitslücken auf weiteren Equifax-Seiten entdeckt.

Stellenmarkt
  1. MüKo Maschinenbau GmbH, Weinstadt bei Stuttgart / Buford (USA)
  2. ASK Chemicals GmbH, Hilden

Die Sicherheitslücke in Apache Struts trägt die Bezeichnung CVE-2017-5638 und wurde im März dieses Jahres gepatcht. Der Hack von Equifax Webanwendung begann im Mai, also rund zwei Monate nachdem der Patch verfügbar war. Mit Apache Struts können Java-Anwendungen für Front- und Backend entwickelt werden.

Anwendungen müssen neu gebaut werden

Das Update einzuspielen, ist mit einigen Schwierigkeiten verbunden. Denn nach dem eigentlichen Update für Struts müssen alle Anwendungen auf dem jeweiligen Server erneut gebaut werden. Trotz des Aufwandes hätte der Bug umgehend gepatcht werden müssen: Sicherheitsforscher warnten bereits im März, dass Kriminelle bei Ausnutzung der Schwachstelle beliebigen Code ausführen könnten. Zudem gab es bereits im März einen Exploit, der auch über Metasploit genutzt werden kann.

Der Journalist Brian Krebs berichtete unterdessen, dass auch eine Seite der lateinamerikanischen Sparte von Equifax massive Sicherheitsprobleme aufweist. Das Mitabeiterportal wurde mit der nicht besonders kreativen Mischung von "admin/admin" als Benutzername und Passwort nicht abgesichert. In dem Portal konnten persönliche Daten der Mitabeiter ausgelesen werden. Dabei stellte sich heraus, dass alle Mitarbeiter von Equifax in Argentinien ein Passwort haben, das identisch mit ihrem Benutzernamen ist. Die Seite wurde mittlerweile vom Netz genommen.

Equifax verwaltet wie die Schufa oder Arvato Infoscore in Deutschland vertrauliche Kundendaten zur Kreditwürdigkeit. Für seine Reaktion auf den Hack war das Unternehmen von zahlreichen Experten kritisiert worden.



Anzeige
Blu-ray-Angebote
  1. 5€ inkl. FSK-18-Versand
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  3. 5€ inkl. FSK-18-Versand

My1 29. Sep 2017

okay, gut, aber das ändert nix an der fahrlässigkeit mit der hier an den tag gegangen...


Folgen Sie uns
       


Padrone-Maus-Ring angesehen (CES 2019)

Der Ring von Padrone soll die Maus überflüssig machen - wir haben ihn uns auf der CES 2019 angesehen.

Padrone-Maus-Ring angesehen (CES 2019) Video aufrufen
Raspberry Pi: Spieglein, Spieglein, werde smart!
Raspberry Pi
Spieglein, Spieglein, werde smart!

Ein Spiegel, ein ausrangierter Monitor und ein Raspberry Pi sind die grundlegenden Bauteile, mit denen man sich selbst einen Smart Mirror basteln kann. Je nach Interesse können dort dann das Wetter, Fahrpläne, Nachrichten oder auch stimmungsvolle Bilder angezeigt werden.
Eine Anleitung von Christopher Bichl

  1. IoT mit LoRa und Raspberry Pi Die DNA des Internet der Dinge
  2. Bewegungssensor auswerten Mit Wackeln programmieren lernen
  3. Raspberry Pi Cam Babycam mit wenig Aufwand selbst bauen

Mac Mini mit eGPU im Test: Externe Grafik macht den Mini zum Pro
Mac Mini mit eGPU im Test
Externe Grafik macht den Mini zum Pro

Der Mac Mini mit Hexacore-CPU eignet sich zwar gut für Xcode. Wer eine GPU-Beschleunigung braucht, muss aber zum iMac (Pro) greifen - oder eine externe Grafikkarte anschließen. Per eGPU ausgerüstet wird der Mac Mini viel schneller und auch preislich kann sich das lohnen.
Ein Test von Marc Sauter

  1. Apple Mac Mini (Late 2018) im Test Tolles teures Teil - aber für wen?
  2. Apple Mac Mini wird grau und schnell
  3. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

Android-Smartphone: 10 Jahre in die Vergangenheit in 5 Tagen
Android-Smartphone
10 Jahre in die Vergangenheit in 5 Tagen

Android ist erst zehn Jahre alt, doch die ersten Geräte damit sind schon Technikgeschichte. Wir haben uns mit einem Nexus One in die Zeit zurückversetzt, als Mobiltelefone noch Handys hießen und Nachrichten noch Bällchen zum Leuchten brachten.
Ein Erfahrungsbericht von Martin Wolf

  1. Android Q Google will den Zurück-Button abschaffen
  2. Sicherheitspatches Android lässt sich per PNG-Datei übernehmen
  3. Google Auf dem Weg zu reinen 64-Bit-Android-Apps

    •  /