Abo
  • Services:

Apache Struts: Monate alte Sicherheitslücke führte zu Equifax-Hack

Die Kundendaten von Equifax haben durch eine mehrere Monate ungepatchte Sicherheitslücke gehackt werden können. Auch sonst macht das Unternehmen beim Thema Sicherheit wenig richtig - wie die Zugangskombination "admin/admin" auf einer Mitarbeiterseite zeigt.

Artikel veröffentlicht am ,
Richard F. Smith, Chairman und CEO von Equifax
Richard F. Smith, Chairman und CEO von Equifax (Bild: Equifax)

Eine zum Zeitpunkt des Equifax-Hacks seit mehreren Monaten gepatchte Sicherheitslücke hat nach Angaben des Scoring-Dienstes den Hack von bis zu 140 Millionen Kundendaten ermöglicht. Außerdem wurden Sicherheitslücken auf weiteren Equifax-Seiten entdeckt.

Stellenmarkt
  1. BWI GmbH, Nürnberg, Bonn, München
  2. Bosch Gruppe, Stuttgart-Feuerbach

Die Sicherheitslücke in Apache Struts trägt die Bezeichnung CVE-2017-5638 und wurde im März dieses Jahres gepatcht. Der Hack von Equifax Webanwendung begann im Mai, also rund zwei Monate nachdem der Patch verfügbar war. Mit Apache Struts können Java-Anwendungen für Front- und Backend entwickelt werden.

Anwendungen müssen neu gebaut werden

Das Update einzuspielen, ist mit einigen Schwierigkeiten verbunden. Denn nach dem eigentlichen Update für Struts müssen alle Anwendungen auf dem jeweiligen Server erneut gebaut werden. Trotz des Aufwandes hätte der Bug umgehend gepatcht werden müssen: Sicherheitsforscher warnten bereits im März, dass Kriminelle bei Ausnutzung der Schwachstelle beliebigen Code ausführen könnten. Zudem gab es bereits im März einen Exploit, der auch über Metasploit genutzt werden kann.

Der Journalist Brian Krebs berichtete unterdessen, dass auch eine Seite der lateinamerikanischen Sparte von Equifax massive Sicherheitsprobleme aufweist. Das Mitabeiterportal wurde mit der nicht besonders kreativen Mischung von "admin/admin" als Benutzername und Passwort nicht abgesichert. In dem Portal konnten persönliche Daten der Mitabeiter ausgelesen werden. Dabei stellte sich heraus, dass alle Mitarbeiter von Equifax in Argentinien ein Passwort haben, das identisch mit ihrem Benutzernamen ist. Die Seite wurde mittlerweile vom Netz genommen.

Equifax verwaltet wie die Schufa oder Arvato Infoscore in Deutschland vertrauliche Kundendaten zur Kreditwürdigkeit. Für seine Reaktion auf den Hack war das Unternehmen von zahlreichen Experten kritisiert worden.



Anzeige
Top-Angebote
  1. 9,99€
  2. 35,99€
  3. 47,67€ (Bestpreis!)
  4. (-73%) 7,99€

My1 29. Sep 2017

okay, gut, aber das ändert nix an der fahrlässigkeit mit der hier an den tag gegangen...


Folgen Sie uns
       


Samsung Galaxy Note 9 - Hands On

Samsung hat das neue Galaxy Note 9 vorgestellt. Wir konnten uns das Smartphone vor der Vorstellung bereits anschauen.

Samsung Galaxy Note 9 - Hands On Video aufrufen
Elektromobilität: Regierung bremst bei Anspruch auf private Ladesäulen
Elektromobilität
Regierung bremst bei Anspruch auf private Ladesäulen

Die Anschaffung eines Elektroautos scheitert häufig an der fehlenden Lademöglichkeit am heimischen Parkplatz. Doch die Bundesregierung will vorerst keinen eigenen Gesetzesentwurf für einen Anspruch von Wohnungseigentümern und Mietern vorlegen.
Ein Bericht von Friedhelm Greis

  1. TU Graz Der Roboter als E-Tankwart
  2. WLTP VW kann Elektro- und Hybridautos 2018 nicht mehr verkaufen
  3. Elektroautos Daimler-Betriebsrat will Akkuzellen aus Europa

Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Spezial Unabhängige Riesen und Ritter für Nintendo Switch
  2. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  3. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht

Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Fancy Bear Microsoft verhindert neue Phishing-Angriffe auf US-Politiker
  2. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  3. US Space Force Planlos im Weltraum

    •  /