Der Datenverlust beim größten Credit-Scoring-Unternehmen der USA Equifax führt zu weiteren personellen Konsequenzen. Nach der Entlassung des Chief Information Officer sowie des Chief Security Officer trifft es mit Richard Smith nun den Chef des Unternehmens.
Zu seinem Rücktritt bemerkte er: „Der Vorfall mit der Cybersicherheit hat Millionen von Verbrauchern getroffen […] An diesem kritischen Augenblick glaube ich, dass es im besten Interesse des Unternehmens ist, eine neue Führung zu haben, um das Unternehmen voranzubringen“.
Laut Pressemeldung führt als Interims-CEO Paulino do Redo Barros, der Präsident für Asien Pazifik, das Unternehmen, bis ein endgültiger CEO-Kandidat gefunden worden sei. Bei der Suche will das Unternehmen Kandidaten innerhalb und außerhalb des Unternehmens berücksichtigen. Als Vorsitzender des Aufsichtsrats wurde Mark Feidler bestellt, der Equifax bereits seit 2007 als unabhängiger Direktor dient.
Equifax verliert Personendaten von 143 Millionen US-Bürgern
Equifax geriet Anfang September in die Schlagzeilen, als das Unternehmen einen Hackerangriff öffentlich machte. Erbeutet wurden demnach die Personendaten von 143 Millionen US-Bürgern, also fast der Hälfte der US-Bevölkerung. Die Datensätze bestehen aus Name, Geburtsdatum, Anschrift, Sozialversicherungsnummer und teilweise Daten des Führerscheins. Dieser ist für viele Amerikaner das einzige amtliche Ausweisdokument. Die betroffenen Bürger können sich nun also auf einen vollständigen Identitätsdiebstahl einstellen. Später wurde bekannt, dass auch bis zu 400.000 britische Bürger von dem Hack betroffen sind.
Entwendet wurden die Daten über eine per Web zugängliche interne Anwendung von Equifax. Dem Unternehmen zufolge waren sie dort von Mitte Mai bis Juli 2017. Am 29. Juli bemerkte Equifax das und begann dagegen vorzugehen.
Sicherheitslücke in Struts: Patch nicht installiert
Möglich wurde der Hack beim größten Credit-Scoring-Unternehmen der USA wegen einer Sicherheitslücke in der quelloffenen Apache-Suite für Webdienste, genauer, dem Modul Struts. Allerdings hätte der Angriff verhindert werden können, da für die entsprechende Schwachstelle bereits zwei Monate vor dem Hackerangriff ein Patch veröffentlicht wurde. „Die Ursache für den Datenverlust von Equifax liegt darin, dass Sicherheitsupdates nicht rechtzeitig installiert wurden“, teilte die Apache Foundation in einer Stellungnahme mit.
Demnach wurde die Sicherheitslücke am 7. März gepatcht, am selben Tag, an dem sie bekannt gegeben wurde. Wenige Tage später wurde sie in der CVE-Datenbank als behoben gekennzeichnet. Der Angriff auf Equifax erfolgt dem Unternehmen zufolge von Mitte Mai bis Juli 2017.
Dass Equifax in Sachen IT-Sicherheitsrichtlinien nicht die hellsten Köpfe beschäftigt, lässt sich auch daran ablesen, dass es bei einer anderen öffentlichen Datenbank die Standardanmeldedaten admin/admin nicht geändert hat. Auch eine Webseite, die Kunden dabei helfen sollte, zu überprüfen, ob sie von dem Datenmissbrauch betroffen sind, entspricht nicht allgemeinen IT-Sicherheitsstandards.
HPE Server der Generation 10 - Die sichersten Industrie-Standard-Server der Welt
Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.