暗網鏈接的終極啟示
2017 年 3 月,從 Equifax 獲取了無數個人的特別識別信息,Equifax 是評估美國幾乎每個人的貨幣實力的信用披露組織之一。
正如我們將看到的那樣,滲透帶來了各種尷尬和爭論:Equifax 因從粗心的安全立場到對中斷的錯誤反應而受到譴責,而高層領導人因此受到了玷污的指責。此外,誰是滲透的幕後黑手這個話題對全球政治舞台產生了真正的影響。
Equifax 中斷是如何發生的?
像飛機事故一樣,重大的信息安全災難通常是不同失望的結果。Equifax 滲透檢查具有各種安全條,允許攻擊者進入可能是安全的框架並洩露數 TB 的信息。
這一部分和隨後的對話大部分來自兩個檔案:一份來自美國總會計師辦公室的分項報告,以及來自彭博商業周刊的自上而下的審查,取決於審查中的消息來源。Equifax 信息中斷如何發生的高級圖像如下所示:
該組織最初是通過一個客戶抱怨的網絡入口被黑客入侵的,攻擊者利用了一個眾所周知的弱點,由於對 Equifax 內部循環的失望,該弱點應該已經修復,但沒有。
攻擊者可以選擇從 Web 網關轉移到不同的工作人員,因為這些框架沒有令人滿意地相互分割,並且他們可以選擇發現用戶名和密碼以明文形式存放,然後,在這一點使他們能夠接觸到更多的框架。
攻擊者將信息以混亂的結構拖出組織,在很長一段時間內未被發現,理由是 Equifax 嚴重忽視了恢復其內部安全設備之一的加密聲明。
Equifax 直到發現已經發生了一個多月後才提前休息。大約在這個時候,高層領導的股票交易帶來了內幕交易的指控。
要了解這種緊急情況的負擔是如何交叉的,我們應該調查情況是如何發生的。
Equifax 中斷發生在什麼時候?
緊急情況始於 2017 年 3 月。在那個月,Apache Struts 中發現了一個名為 CVE-2017-5638 的漏洞,這是一種開源改進結構,用於製作 Equifax 以及大量不同網站的 Java 應用程序,就業。如果攻擊者發送帶有惡意代碼的 HTTP 請求進入實質類型標頭,Struts 可能會被欺騙執行該代碼,並且可以想像,打開 Struts 正在運行的框架會導致額外的中斷。3 月 7 日,Apache 軟件基金會針對這些弱點進行了修復;3 月 9 日,建議 Equifax 經理將修復應用於任何受影響的框架,但是,應該這樣做的代表沒有這樣做。Equifax 的 IT 辦公室在 3 月 15 日進行了一系列掃描,以區分未打補丁的框架;
雖然目前尚不清楚為什麼固定週期現在分開,但正如彭博商業周刊所指出的那樣,當月 Equifax 發生的事情很重要: 騙子利用從其他地方獲取的社會安全號碼的事件的進展感到不安登錄到 Equifax 語言環境後,信用組織已聘請安全諮詢公司 Mandiant 來評估他們的框架。Mandiant 就不同的未打補丁和配置錯誤的框架向 Equifax 提出警告,這種關係在半個月內就陷入了敵意。
隨後檢查的犯罪現場調查發現,潛在的 Equifax 信息滲透日期是 2017 年 3 月 10 日:那是 Web 入口首次通過 Struts 漏洞滲透的時間點。儘管如此,侵略者似乎並沒有立即採取任何行動。直到 2017 年 5 月 13 日——Equifax 在 GAO 報告中提到的“離散事件”——攻擊者才開始從受感染的員工轉移到組織的不同部分,並果斷地洩露信息。(我們稍後會回到這個延遲,作為攻擊者是誰的話題。)
從 2017 年 5 月到 7 月,攻擊者可以選擇訪問包含無數個人數據的不同 Equifax 數據集;正如所注意到的,各種無助的信息管理演練使他們通過 Equifax 的框架大肆宣傳是可以想像的。無論如何,他們怎麼可能準備好秘密地消除所有這些信息?我們目前出現在另一個令人震驚的 Equifax 錯誤中。與其他網絡竊賊一樣,Equifax 的攻擊者會擾亂他們正在移動的信息,以使管理員更難發現。與其他巨大努力一樣,Equifax 擁有對內部組織流量進行解碼、調查並隨後重新編碼的設備,以明確追踪此類信息洩露事件。無論如何,要重新打亂該流量,這些工具需要公鑰背書,該背書是從外部購買的,並且應該每年重新建立。Equifax 早在 10 個月前就忽略了恢復他們的一項代言——這意味著混亂的流量沒有被審查。
終止的遺囑直到 2019 年 7 月 29 日才被發現並重新充電,因此,考慮到所有因素,Equifax 主席很快就開始看到所有最近混亂的可疑運動;這是 Equifax 最初考慮滲透的時候。
在 2017 年 9 月 8 日 Equifax 推動滲透之前,還需要進行整整一個月的內部檢查。許多 Equifax 高層領導者在 8 月初出售了組織股票,這讓人懷疑他們是否已經超越了隨之而來的不可避免的股票價值下跌當所有的數據都出來了。他們被清除了,但是,一名較低級別的高管被指控進行內幕交易。
哪些信息被洩露,有多少人受到影響?
Equifax 明確處理個人信息,因此被攻擊者洩露和活躍的數據非常內里外外,涵蓋了大量個人。它可能影響了 1.43 億人——超過美國居民人數的 40%——他們的姓名、地址、出生日期、社會安全號碼和駕駛執照號碼都被揭露了。記錄的一小部分——大約 200,000 的請求——還包括信用卡號碼;這次聚會很可能由直接向 Equifax 支付費用以要求查看自己的信用報告的個人組成。
最後一個因素是相當出乎意料的,因為個人對他們的 FICO 評估非常關注,因此向 Equifax 支付費用以查看它還獲取了最接近家庭的信息,這可能會引發敲詐勒索,從而損害他們的 FICO 評級。無論如何,當該國為欺詐和虛假陳述的湧入做好準備時,發生了一些聰明的事情,這種情況在這次滲透之後似乎是不可避免的:它永遠不會發生。更重要的是,這與侵略者的性格密切相關。
誰應對 Equifax 信息滲透負責?
當報導 Equifax 滲透事件時,信息安全專家開始關注暗網鏈接目的地,緊盯著可能與之相關的大量信息轉儲。他們停了下來,停了下來,然而,信息永遠不會出現。這導致了一個普遍公認的假設:Equifax 被中國政府支持的黑客入侵,他們的目的是偵察,而不是盜竊。
《彭博商業周刊》的調查遵循了這些思路,重點關注了一些額外的信息,而這些信息似乎從未洩露過。例如,回顧 3 月 10 日的潛在突破是在兩個多月的慣性之後,攻擊者開始突然轉移到 Equifax 組織內部的高度重視的焦點。特工們承認,主要攻擊是由通常沒有經驗的黑客完成的,他們使用了一個可立即訪問的黑客單元,該黑客單元已被更新以利用 Struts 的弱點,該漏洞當時已經存在幾天並且很容易被濫用。他們可能發現未打補丁的 Equifax 工作人員正在使用過濾工具,卻不明白他們所滲透的組織有多麼重要。最後,
此外,中國政府為何熱衷於 Equifax 的信息記錄?專家們將這次襲擊與另外兩個相對而言並沒有在暗網上帶來大量特殊信息的重大事件聯繫起來:2015 年美國人事管理辦公室的黑客攻擊,以及 2018 年萬豪喜達屋酒店品牌的黑客攻擊。所有這些都被認為對於在大量美國人身上製造巨大“信息湖”的活動至關重要,他們完全打算利用龐大的信息程序來了解美國政府當局和知識代理人。具體而言,美國當局或間諜陷入財務困境的證據可以幫助中國了解預期的回報或整頓努力的重點。
2020 年 2 月,美國司法部正式指控四名中國軍方人員襲擊。這是一個非常罕見的舉動——美國有時會記錄對不熟悉的知識官員的刑事指控,以避免對美國特工的反擊——這凸顯了美國政府是多麼真誠地接受了這次襲擊。
Equifax 是如何處理滲透的?
無論如何,當中斷被曝光時,Equifax 的快速反應並沒有贏得無數的認可。他們的困難之一是建立了一個不同的專用空間 equifaxsecurity2017.com,為那些可能受到影響的人提供數據和資產。這種抄送空間經常被網絡釣魚技巧利用,因此要求客戶信任這個空間是對信息安全策略的驚人失望。更令人遺憾的是,Equifax 官方在線媒體賬號在不同事件中錯誤地將個人引導至 securityequifax2017.com 一切平等;幸運的是,吞噬該 URL 的人很好地利用了它,協調了它訪問正確網頁的 200,000 (!) 位訪客。
與此同時,真實的 equifaxsecurity2017.com 滲透站點被各種目擊者判斷為不確定,並且最近可能告訴所有人,如果他們真的受到了破解的影響,他們可能會受到影響。該網站上的語言(後來被 Equifax 撤回)推斷,僅僅通過驗證您是否受到影響就意味著您放棄了起訴它的權利。此外,最終,萬一你受到影響,你被安排試用 Equifax ID 保證管理——免費,但你現在信任該組織多少?
信息滲透後,Equifax 遭遇了什麼?
最終,Equifax 中斷的影響是什麼?事實上,Equifax 的最高管理層的高層職位很快就發生了翻天覆地的變化。伊麗莎白沃倫和其他人支持的法案將強制對被黑客入侵的臨時細節辦公室處以罰款,但該法案在參議院沒有立足之地。
然而,這並不意味著 Equifax 的滲透沒有給組織帶來任何損失。滲透兩年後,該組織表示已經消耗了 14 億美元的清理成本,其中包括“改變我們的創新基礎和進一步開發應用程序、組織和信息安全的逐步費用”。2019 年 6 月,穆迪在有限程度上下調了該組織的貨幣評級,原因是未來幾年將不得不在信息安全上花費巨額資金。2019 年 7 月,該組織與 FTC 達成了創紀錄的和解協議,結束了一項持續的法律索賠,並將要求 Equifax 花費 13.8 億美元來確定購物者的索賠。
我是否真的受到了 Equifax 中斷的影響?
這是一個巨大的折磨,只是為了看看你是否是不幸的 40% 的美國人中的一員,他們的信息被黑客入侵了。在接下來的幾年裡,事情已經穩定下來,現在有另一個網站可以驗證你是否受到影響,還有一個在某種程度上令人困惑的名稱:資格.equifaxbreachsettlement.com/en/Eligibility。
Equifax 並沒有以任何方式促進該結算資格網站;在所有條件相同的情況下,它來自 FTC。
Equifax 結算如何運作?
Equifax 和解讓您有可能因遇到的困難而獲得支票,但也有一些機會。Equifax 向受信用觀察機構滲透影響的任何人支付報酬的還款命令;顯然,Equifax 需要您尋求他們自己的幫助,並且請記住,他們同樣會給您一張 125 美元的支票,以便您從其他地方購買這些服務,您需要證明您確實有替代品來獲得現金(但是您可以尋求免費幫助)。
如果您真的因數據欺詐而損失了現金或投資了關鍵的能源管理措施來管理後果,那麼您可以獲得更多的錢,但是在這裡也需要文件。更重要的是,125 美元只是最極端的;如果這麼多的人要求檢查,它很可能會下降。
從 Equifax 滲透中獲得了哪些練習?
假設我們需要對 Equifax 漏洞進行防禦調查,我們會從中進行哪些練習?這些似乎是大的:
正確掌握基本原理。沒有組織是不受影響的。無論如何,Equifax 被滲透的理由是它忽略了修復一個基本弱點,儘管它設置了方法來確保快速應用這些修復。此外,由於有人未能重新建立安全遺囑,大量信息被洩露而未被發現。Equifax 已經在安全設備上燒毀了數百萬美元,但卻沒有得到有效的執行和監督。
倉庫完美無缺。當攻擊者在邊緣內部時,他們可以選擇從一台機器移動到另一台機器,並將數據集移動到數據集。如果它們僅限於一台單獨的機器,那麼傷害會大大降低。
信息管理至關重要——尤其是在信息是您的業務的情況下。Equifax 的數據集在放棄其實質方面可能會更加吝嗇。例如,客戶應該被允許進入“限制信息飲食”的數據集內容;對任何“受信任的”客戶給予普遍准入意味著攻擊者可以控制這些客戶記錄並發瘋。此外,框架需要注意異常行為;攻擊者快速執行了多達 9,000 次數據集查詢,這應該是一個警告。
正如我們將看到的那樣,滲透帶來了各種尷尬和爭論:Equifax 因從粗心的安全立場到對中斷的錯誤反應而受到譴責,而高層領導人因此受到了玷污的指責。此外,誰是滲透的幕後黑手這個話題對全球政治舞台產生了真正的影響。
Equifax 中斷是如何發生的?
像飛機事故一樣,重大的信息安全災難通常是不同失望的結果。Equifax 滲透檢查具有各種安全條,允許攻擊者進入可能是安全的框架並洩露數 TB 的信息。
這一部分和隨後的對話大部分來自兩個檔案:一份來自美國總會計師辦公室的分項報告,以及來自彭博商業周刊的自上而下的審查,取決於審查中的消息來源。Equifax 信息中斷如何發生的高級圖像如下所示:
該組織最初是通過一個客戶抱怨的網絡入口被黑客入侵的,攻擊者利用了一個眾所周知的弱點,由於對 Equifax 內部循環的失望,該弱點應該已經修復,但沒有。
攻擊者可以選擇從 Web 網關轉移到不同的工作人員,因為這些框架沒有令人滿意地相互分割,並且他們可以選擇發現用戶名和密碼以明文形式存放,然後,在這一點使他們能夠接觸到更多的框架。
攻擊者將信息以混亂的結構拖出組織,在很長一段時間內未被發現,理由是 Equifax 嚴重忽視了恢復其內部安全設備之一的加密聲明。
Equifax 直到發現已經發生了一個多月後才提前休息。大約在這個時候,高層領導的股票交易帶來了內幕交易的指控。
要了解這種緊急情況的負擔是如何交叉的,我們應該調查情況是如何發生的。
Equifax 中斷發生在什麼時候?
緊急情況始於 2017 年 3 月。在那個月,Apache Struts 中發現了一個名為 CVE-2017-5638 的漏洞,這是一種開源改進結構,用於製作 Equifax 以及大量不同網站的 Java 應用程序,就業。如果攻擊者發送帶有惡意代碼的 HTTP 請求進入實質類型標頭,Struts 可能會被欺騙執行該代碼,並且可以想像,打開 Struts 正在運行的框架會導致額外的中斷。3 月 7 日,Apache 軟件基金會針對這些弱點進行了修復;3 月 9 日,建議 Equifax 經理將修復應用於任何受影響的框架,但是,應該這樣做的代表沒有這樣做。Equifax 的 IT 辦公室在 3 月 15 日進行了一系列掃描,以區分未打補丁的框架;
雖然目前尚不清楚為什麼固定週期現在分開,但正如彭博商業周刊所指出的那樣,當月 Equifax 發生的事情很重要: 騙子利用從其他地方獲取的社會安全號碼的事件的進展感到不安登錄到 Equifax 語言環境後,信用組織已聘請安全諮詢公司 Mandiant 來評估他們的框架。Mandiant 就不同的未打補丁和配置錯誤的框架向 Equifax 提出警告,這種關係在半個月內就陷入了敵意。
隨後檢查的犯罪現場調查發現,潛在的 Equifax 信息滲透日期是 2017 年 3 月 10 日:那是 Web 入口首次通過 Struts 漏洞滲透的時間點。儘管如此,侵略者似乎並沒有立即採取任何行動。直到 2017 年 5 月 13 日——Equifax 在 GAO 報告中提到的“離散事件”——攻擊者才開始從受感染的員工轉移到組織的不同部分,並果斷地洩露信息。(我們稍後會回到這個延遲,作為攻擊者是誰的話題。)
從 2017 年 5 月到 7 月,攻擊者可以選擇訪問包含無數個人數據的不同 Equifax 數據集;正如所注意到的,各種無助的信息管理演練使他們通過 Equifax 的框架大肆宣傳是可以想像的。無論如何,他們怎麼可能準備好秘密地消除所有這些信息?我們目前出現在另一個令人震驚的 Equifax 錯誤中。與其他網絡竊賊一樣,Equifax 的攻擊者會擾亂他們正在移動的信息,以使管理員更難發現。與其他巨大努力一樣,Equifax 擁有對內部組織流量進行解碼、調查並隨後重新編碼的設備,以明確追踪此類信息洩露事件。無論如何,要重新打亂該流量,這些工具需要公鑰背書,該背書是從外部購買的,並且應該每年重新建立。Equifax 早在 10 個月前就忽略了恢復他們的一項代言——這意味著混亂的流量沒有被審查。
終止的遺囑直到 2019 年 7 月 29 日才被發現並重新充電,因此,考慮到所有因素,Equifax 主席很快就開始看到所有最近混亂的可疑運動;這是 Equifax 最初考慮滲透的時候。
在 2017 年 9 月 8 日 Equifax 推動滲透之前,還需要進行整整一個月的內部檢查。許多 Equifax 高層領導者在 8 月初出售了組織股票,這讓人懷疑他們是否已經超越了隨之而來的不可避免的股票價值下跌當所有的數據都出來了。他們被清除了,但是,一名較低級別的高管被指控進行內幕交易。
哪些信息被洩露,有多少人受到影響?
Equifax 明確處理個人信息,因此被攻擊者洩露和活躍的數據非常內里外外,涵蓋了大量個人。它可能影響了 1.43 億人——超過美國居民人數的 40%——他們的姓名、地址、出生日期、社會安全號碼和駕駛執照號碼都被揭露了。記錄的一小部分——大約 200,000 的請求——還包括信用卡號碼;這次聚會很可能由直接向 Equifax 支付費用以要求查看自己的信用報告的個人組成。
最後一個因素是相當出乎意料的,因為個人對他們的 FICO 評估非常關注,因此向 Equifax 支付費用以查看它還獲取了最接近家庭的信息,這可能會引發敲詐勒索,從而損害他們的 FICO 評級。無論如何,當該國為欺詐和虛假陳述的湧入做好準備時,發生了一些聰明的事情,這種情況在這次滲透之後似乎是不可避免的:它永遠不會發生。更重要的是,這與侵略者的性格密切相關。
誰應對 Equifax 信息滲透負責?
當報導 Equifax 滲透事件時,信息安全專家開始關注暗網鏈接目的地,緊盯著可能與之相關的大量信息轉儲。他們停了下來,停了下來,然而,信息永遠不會出現。這導致了一個普遍公認的假設:Equifax 被中國政府支持的黑客入侵,他們的目的是偵察,而不是盜竊。
《彭博商業周刊》的調查遵循了這些思路,重點關注了一些額外的信息,而這些信息似乎從未洩露過。例如,回顧 3 月 10 日的潛在突破是在兩個多月的慣性之後,攻擊者開始突然轉移到 Equifax 組織內部的高度重視的焦點。特工們承認,主要攻擊是由通常沒有經驗的黑客完成的,他們使用了一個可立即訪問的黑客單元,該黑客單元已被更新以利用 Struts 的弱點,該漏洞當時已經存在幾天並且很容易被濫用。他們可能發現未打補丁的 Equifax 工作人員正在使用過濾工具,卻不明白他們所滲透的組織有多麼重要。最後,
此外,中國政府為何熱衷於 Equifax 的信息記錄?專家們將這次襲擊與另外兩個相對而言並沒有在暗網上帶來大量特殊信息的重大事件聯繫起來:2015 年美國人事管理辦公室的黑客攻擊,以及 2018 年萬豪喜達屋酒店品牌的黑客攻擊。所有這些都被認為對於在大量美國人身上製造巨大“信息湖”的活動至關重要,他們完全打算利用龐大的信息程序來了解美國政府當局和知識代理人。具體而言,美國當局或間諜陷入財務困境的證據可以幫助中國了解預期的回報或整頓努力的重點。
2020 年 2 月,美國司法部正式指控四名中國軍方人員襲擊。這是一個非常罕見的舉動——美國有時會記錄對不熟悉的知識官員的刑事指控,以避免對美國特工的反擊——這凸顯了美國政府是多麼真誠地接受了這次襲擊。
Equifax 是如何處理滲透的?
無論如何,當中斷被曝光時,Equifax 的快速反應並沒有贏得無數的認可。他們的困難之一是建立了一個不同的專用空間 equifaxsecurity2017.com,為那些可能受到影響的人提供數據和資產。這種抄送空間經常被網絡釣魚技巧利用,因此要求客戶信任這個空間是對信息安全策略的驚人失望。更令人遺憾的是,Equifax 官方在線媒體賬號在不同事件中錯誤地將個人引導至 securityequifax2017.com 一切平等;幸運的是,吞噬該 URL 的人很好地利用了它,協調了它訪問正確網頁的 200,000 (!) 位訪客。
與此同時,真實的 equifaxsecurity2017.com 滲透站點被各種目擊者判斷為不確定,並且最近可能告訴所有人,如果他們真的受到了破解的影響,他們可能會受到影響。該網站上的語言(後來被 Equifax 撤回)推斷,僅僅通過驗證您是否受到影響就意味著您放棄了起訴它的權利。此外,最終,萬一你受到影響,你被安排試用 Equifax ID 保證管理——免費,但你現在信任該組織多少?
信息滲透後,Equifax 遭遇了什麼?
最終,Equifax 中斷的影響是什麼?事實上,Equifax 的最高管理層的高層職位很快就發生了翻天覆地的變化。伊麗莎白沃倫和其他人支持的法案將強制對被黑客入侵的臨時細節辦公室處以罰款,但該法案在參議院沒有立足之地。
然而,這並不意味著 Equifax 的滲透沒有給組織帶來任何損失。滲透兩年後,該組織表示已經消耗了 14 億美元的清理成本,其中包括“改變我們的創新基礎和進一步開發應用程序、組織和信息安全的逐步費用”。2019 年 6 月,穆迪在有限程度上下調了該組織的貨幣評級,原因是未來幾年將不得不在信息安全上花費巨額資金。2019 年 7 月,該組織與 FTC 達成了創紀錄的和解協議,結束了一項持續的法律索賠,並將要求 Equifax 花費 13.8 億美元來確定購物者的索賠。
我是否真的受到了 Equifax 中斷的影響?
這是一個巨大的折磨,只是為了看看你是否是不幸的 40% 的美國人中的一員,他們的信息被黑客入侵了。在接下來的幾年裡,事情已經穩定下來,現在有另一個網站可以驗證你是否受到影響,還有一個在某種程度上令人困惑的名稱:資格.equifaxbreachsettlement.com/en/Eligibility。
Equifax 並沒有以任何方式促進該結算資格網站;在所有條件相同的情況下,它來自 FTC。
Equifax 結算如何運作?
Equifax 和解讓您有可能因遇到的困難而獲得支票,但也有一些機會。Equifax 向受信用觀察機構滲透影響的任何人支付報酬的還款命令;顯然,Equifax 需要您尋求他們自己的幫助,並且請記住,他們同樣會給您一張 125 美元的支票,以便您從其他地方購買這些服務,您需要證明您確實有替代品來獲得現金(但是您可以尋求免費幫助)。
如果您真的因數據欺詐而損失了現金或投資了關鍵的能源管理措施來管理後果,那麼您可以獲得更多的錢,但是在這裡也需要文件。更重要的是,125 美元只是最極端的;如果這麼多的人要求檢查,它很可能會下降。
從 Equifax 滲透中獲得了哪些練習?
假設我們需要對 Equifax 漏洞進行防禦調查,我們會從中進行哪些練習?這些似乎是大的:
正確掌握基本原理。沒有組織是不受影響的。無論如何,Equifax 被滲透的理由是它忽略了修復一個基本弱點,儘管它設置了方法來確保快速應用這些修復。此外,由於有人未能重新建立安全遺囑,大量信息被洩露而未被發現。Equifax 已經在安全設備上燒毀了數百萬美元,但卻沒有得到有效的執行和監督。
倉庫完美無缺。當攻擊者在邊緣內部時,他們可以選擇從一台機器移動到另一台機器,並將數據集移動到數據集。如果它們僅限於一台單獨的機器,那麼傷害會大大降低。
信息管理至關重要——尤其是在信息是您的業務的情況下。Equifax 的數據集在放棄其實質方面可能會更加吝嗇。例如,客戶應該被允許進入“限制信息飲食”的數據集內容;對任何“受信任的”客戶給予普遍准入意味著攻擊者可以控制這些客戶記錄並發瘋。此外,框架需要注意異常行為;攻擊者快速執行了多達 9,000 次數據集查詢,這應該是一個警告。