Photo: AP
Equifax, la principale agence d’évaluation du crédit qui collecté des données financières sur des centaines de millions d’Américains, avant de perdre les données sur les 143 millions de ces personnes pour les pirates, a enfin expliqué ce qui n’allait pas.
Vous êtes donc ne va pas aimer ça.
Dans un post sur un site web conçu pour diffuser des informations sur la façon dont la société gère le hack, Equifax a dit qu’il avait suivi en bas de la vulnérabilité:
Equifax a été intensément l’examen de l’étendue de l’intrusion avec l’aide de l’un des leaders indépendants de cybersécurité de l’entreprise afin de déterminer quelles sont les informations a été consulté et qui a été touchée. Nous savons que les criminels ont exploité un site web AMÉRICAIN la vulnérabilité de l’application. La vulnérabilité a été Apache Struts CVE-2017-5638. Nous continuons à travailler avec l’application de la loi dans le cadre de notre enquête criminelle, et ont partagé des indicateurs de compromission avec l’application de la loi.
Comme Ars Technica a noté, Apache Struts est un “cadre de développement Java pour exécuter leurs applications front-end et back-end serveurs Web, qui est extrêmement populaire auprès des institutions financières.
Le bug en question a été corrigé par un patch, le 6 Mars. Peu de temps après, les pirates ont commencé à l’exploiter en masse et ne pas se laisser aller.
Equifax prétend avoir appris de la violation en Mai.
C’est mois après la vulnérabilité a été connu et facilement résolu avec une mise à jour.
Ahem. Expliquez-moi pourquoi nous avons besoin de puissant, de ne pas rendre de comptes des institutions financières qui sont autorisés à stocker d’énormes quantités d’informations exploitables sur pratiquement tous les Américains, encore une fois?
[Ars Technica]