FTC verhängt 508.130.081 Euro Bußgeld gegen Equifax Inc.
Vereinigte Staaten von Amerika: Equifax, die größte Wirtschaftsauskunftei der USA, wurde im September 2017 Opfer eines Hackerangriffs. Die Täter erbeuteten Kreditkarten-, Sozialversicherungs- und Ausweisnummern, Geburtsdaten, Adressen und teilweise Führerscheindaten von 147 Mio. US-Amerikanern, Kanadiern und Briten.
Bereits am 13. Mai 2017 sollen sich die Hacker Zugang zu den Systemen von Equifax verschafft haben. Aufgefallen ist der Einbruch aber erst am 29. Juli 2017.
Der Untersuchungsausschuss des US-Repräsentantenhauses kommt zu einem vernichtenden Ergebnis: Der Einbruch wäre “absolut vermeidbar” gewesen. Der knapp hundert Seiten umfassende Untersuchungsbericht beschreibt den rekonstruierten Tathergang und die gravierenden Mängel in der IT-Sicherheit. Offenbar mangelte es auch an grundlegenden Sicherheitsmaßnahmen wie die Trennung von Netzwerkbereichen und das unverschlüsselte Speichern von Passwörtern.
Die Täter drangen über eine SQL-Injection-Schwachstelle der Middleware Apache Struts eines “Automated Consumer Interview System (ACIS)” ein und installierten dreißig verschiedene Web-Shells als Sprungbrett in das Equifax-Netzwerk. Das in den 70er-Jahren entwickelte ACIS ermöglicht Kunden Fehler in den Equifax Datenbeständen zu melden. Obwohl ACIS nur Zugriff auf drei Datenbanken benötigte, war der Zugang auf andere Datenbanken nicht eingeschränkt. In Folge konnten die Täter auf 48 weitere Datenbanken zugreifen.
Noch am 8. März 2017 wurde Equifax vom US-CERT (Computer Emergency Response Team) offiziell über die Schwachstelle informiert. Intern wurde die Mitteilung mit der Anweisung zum Patchen binnen 48 Stunden an mehr als 430 Personen und diverse E-Mail-Verteiler weitergeleitet. Tatsächlich wurden verschiedene Instanzen von Struts mit dem Patch bedient, jedoch nicht flächendeckend. Auch ein durchgeführter Schwachstellen-Scan nach zeigte mangels Scan von Unterverzeichnissen verwundbare Struts-Instanz nicht an.
Die Exfiltration der erbeuteten Datensätze fiel trotz Intrusion Detection System (IDS) nicht auf. Die Täter nutzten hierfür eine SSL/TLS-verschlüsselte Verbindung. Der verschlüsselte Datenstrom hätte vom IDS eigentlich gelesen werden können, jedoch versäumte Equifax die Aktualisierung der bereits 2016 abgelaufenden SSL-Zertifikate zur Entschlüsselung der Datenpakete. Am 29. Juli 2017 wurden 67 der 300 abgelaufenen SSL-Zertifikate ausgetauscht. Darauhin schlug eines der Intrusion Detection Systeme an und meldete eine verdächtige Übertragung an eine IP-Adresse, die in China verortet wurde. Nach Sperrung der IP-Adresse folgte eine Untersuchung, bei der in ACIS eine SQL-Injection- und eine Insecure Direct Object Reference-Schwachstelle entdeckt wurden. Obwohl im April 2017 ein Penetrationstest durchgeführt wurde, sind die Schwachstellen dabei nicht aufgefallen.
Am 2. August 2017 informierte Equifax das FBI und beauftragte die IT-Sicherheitsfirma Mandiant mit einer Untersuchung, die bis zum 2. Oktober 2017 andauerte.
Die IT-Infrastruktur von Equifax wird als komplex beschrieben. Immer weniger Mitarbeiter kannten sich mit den alten Systemen aus. Auch eine ungwöhnliche und nicht förderliche Management-Struktur wird im Untersuchungsbericht beschrieben, die zu einem großen Delta zwischen internen IT-Richtlinien und der gelebten Wirklichkeit beigetragen hat. Unter anderem wurde in einem Audit bereits 2015 berichtet, dass es Probleme beim Aktualisieren von Apache Struts gäbe. Auch die abgelaufenden SSL-Zertifikate waren bekannt.
Der Finanzdienstleister MCSI hat die IT-Sicherheit von Equifax im August 2016 mit 0 von 10 möglichen Punkten bewertet.
Als Konsequenz musste der CEO sowie weitere Mitarbeiter der Führungsebene das Unternehmen verlassen. Der CIO, Jun Ying, wurde zu einer Haftstrafe von vier Monaten plus einem Jahr Bewährung verurteilt. Ihm wurde zur Last gelegt, dass er den Einbruch bereits erahnt und vor der öffentlichen Bekanntgabe Aktien von Equifax verkauft habe. Ein weiterer Mitarbeiter wurde wegen Insider-Handels zu 8 Monaten Hausarrest und 50.000 US-Dollar Geldstrafe verurteilt, weil er Put-Optionen vor Bekanntgabe des Einbruchs gekauft hatte, die er mit 76.000 US-Dollar Gewinn veräußern konnte.
Am 22. Juli 2019 einigte sich Equifax mit der Federal Trade Kommission (FTC) auf die Zahlung von mindestens 575 Mio. US-Dollar. Davon gehen 300 Mio. in einen Topf zur Finanzierung einer Kreditüberwachung von betroffenen Kunden. Sollte das Geld hierfür nicht ausreichen, muss Equifax weitere 125 Mio. bereitstellen. .
Veröffentlicht am: 02-01-2020
Quelle von dsgvo-portal.de
Globeria Mannschaft
Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.