Equifax – tragedia połowy Ameryki w trzech aktach

478

Akt 1: Wyciek

Equifax jest firmą dla firm. I to nie byle jakich. Najbardziej renomowane banki Stanów Zjednoczonych ściągają ku niemu w celu uzyskania informacji o swoich niedoszłych klientach. Czy Jan Kowalski jest tym, za kogo się podaje? Jaki jest jego Social Security Number (SSN, wykorzystywany w Ameryce podobnie do dowodu osobistego)? Czy mogę bezpiecznie wydać mu kredyt? Jaki procent mogę z niego wyciągnąć? Wszystkie te pytania kierowano do Equifaxu, a ten, po odebraniu odpowiednio wysokiej zapłaty, z chęcią odpowiadał.

Taki system przynosił korzyści wszystkim stronom. Banki mogły stwierdzić, czy petent nie próbuje się pod kogoś podszyć i jakiego kredytu można mu udzielić. Equifax mógł z czystym sercem zarabiać miliardy dolarów. Zwykli obywatele mogli trochę łatwiej uzyskać kredyty. Jeśli zaś okazałoby się, że dane osobiste tych milionów zwykłych obywateli były słabo zabezpieczone, hakerzy na pewno ucieszyliby się z istnienia tak wielkiej i dokładnej bazy imion, nazwisk, dat urodzenia, adresów, numerów kart kredytowych, SSNów oraz danych rejestracyjnych pojazdów.

Okazuje się, że słabe zabezpieczenia mogą być jednym z wymagań bycia dużą, nowoczesną firmą. Śladami takich gigantów jak Adobe, Sony czy Yahoo Equifax stwierdził, że 488 milionów czystego zysku jest ważniejsze niż ochrona klientów. Dzięki temu wykradzione zostały dane osobiste 143 milionów Amerykanów – około połowy mieszkańców kraju. Zakres informacji zawartych w wykradzionej bazie danych bez problemu starcza na podszycie się pod nieświadomego użytkownika, zawarcie na jego imię kilku umów kredytowych i jeszcze trochę.

Akt 2: Przekręt

Samo wykradzenie setek milionów wrażliwych rejestrów z serwerów firmy jest informatyczną tragedią. Następne działania Equifaxu zdołały zmienić ją w tragikomedię, która na pewno by mnie rozśmieszyła, gdyby nie jej skala. Postawiony przed kompromitującym faktem włamania zarząd firmy stwierdził, że najlepszym wyjściem jest ograniczenie strat. Nie strat użytkowników, ma się rozumieć. Ci przez ponad pięć tygodni nie byli obdarzeni chociażby informacją o przecieku. Priorytetem jest przecież dobro firmy, a nie etyka biznesowa.

Pięć tygodni ciszy radiowej było wykorzystane przez firmę w dwójnasób. Equifax desperacko próbował wymyślić, jak poradzić sobie z problemem. W międzyczasie zaś trzech wysoko postawionych pracowników firmy szybko sprzedało jej akcje warte łącznie 1.8 milionów dolarów. Obywatele i sądy zainteresowały się sprzedażą dokonaną tuż przed tym, jak Equifax spadł na giełdzie o całe 13%. „To tylko przypadek.” odpowiedzieli bogatsi o kilkaset tysięcy każdy pracownicy. „Nie wiedzieli wtedy o wycieku.” odpowiedziała firma o swoich szefach działów.

Na szczęście dla Equifaxu prawnicy firmy znaleźli na czas rozwiązanie na nieuchronne pozwy poszkodowanych. Poinformują opinię publiczną o ataku. Nie powiedzą jednak, czyje dokładnie dane wyciekły. Żeby się tego dowiedzieć, wpierw należy zarejestrować się na specjalnej stronie. Nikt na pewno nie zauważy, że w regulaminie strony jest zapis o zrzeczeniu się praw do pozwania firmy. Tak samo nikt nie zauważy, że login administratora jest dostępny dla każdego obeznanego w wordpressie. Każdy wygrywa – użytkownik dowiaduje się, czy powinien nas pozwać, ale by się tego dowiedzieć musi się najpierw tego prawa zrzec. Genialne!

Można się domyślać, że baza danych firmy Equifax miała zabezpieczenia na podobnym poziomie.

Wygląda na to, że administratorem jest „edelman”. Można się domyślać, że baza danych miała zabezpieczenia na podobnym poziomie. (arstechnica.com)

Akt 3: Okup

Istnieje jednak honor wśród złodziei. A raczej jego resztka. Osoby podające się za sprawców włamania założyły stronę ze swoim manifestem. Przedstawiają się jako „dwójka ludzi chcących rozwiązać problemy nasze i naszych rodzin”. Ich żądania to „jedynie” 600 Bitcoinów od Equifaxu. Jeśli firma wyśle pieniądze, hakerzy usuną wszystkie dane. Jeśli jednak firma nie zapłaci okupu do piętnastego września, opublikują je na tej samej stronie. Za wyjątkiem numerów kart kredytowych. Dla nich najpewniej mają lepsze zastosowanie.

Bitcoin jest kryptowalutą wartą ponad cztery tysiące dolarów za sztukę. Sprawcy uznają te 2.66 milionów dolarów okupu za sprawiedliwą sumę, biorąc pod uwagę wspomniane wcześniej 1.8 miliona zarobku dyrektorów firmy ze swoich akcji. „Nie planowaliśmy uzyskać tyle danych, ile uzyskaliśmy” – przyznają, pokazując, że prawdopodobnie są hakerskimi amatorami. Nie są jednak amatorami jeśli chodzi o niewykrywalność. Ponad miesiąc od włamania nikt nie ma o nich żadnych informacji. Strona założona jest na adresie Onion, najprawdopodobniej przy użyciu sieci TOR. Oba te fakty powodują, że raczej nie pomoże śledczym.

Powinniśmy jednak być sceptyczni. Nawet ja potrafiłbym sklecić stronę internetową w której podaję się za poszukiwanych hakerów, żądając pieniędzy. Może nawet bym trochę na tym zarobił. Twórcy strony zaś utrzymują, że są w stanie udowodnić kim są. Jeśli jakikolwiek mail związany z Equifaxem napisze do nich pytając o dany zapis w bazie, ci odpowiedzą, podając wszystkie potrzebne informacje.

Można tylko się cieszyć, że to nie nasze karty kredytowe są zagrożone. Może duże firmy w końcu uświadomią sobie, że pieniądze wydane na zabezpieczenia informatyczne nie są pieniędzmi straconymi. Może też zajmie im to kolejne kilkaset Bitcoinów.
O autorze /

Uczący się informatyk, od siedmiu boleści historyk. Okazjonalnie zdołam napisać coś trochę inteligentniejszego. Miłego czytania!

Korzystając ze strony wyrażasz zgodę na używanie cookie, zgodnie z aktualnymi ustawieniami przeglądarki. (Więcej informacji)

Pragniemy, żeby 4WebZones było maksymalnie przystosowane i przyjemne dla indywidualnych potrzeb użytkowników. Żeby było to możliwe nasza strona używa plików cookies, o których możesz dowiedzieć się więcej wchodząc w ten link. Korzystając z naszego serwisu wyrażasz zgodę na używanie plików cookies, dlatego prosimy o potwierdzenie w postaci kliknięcia przycisku "Akceptuj"
Pozdrawiamy, ekipa 4WebZones

Zamknij