美国征信巨头 Equifax 日前确认,黑客利用其系统中未修复的 Apache Struts 漏洞( CVE-2017-5638,3 月 6 日曝光)发起攻击,导致了最近影响恶劣的大规模数据泄漏事件。Equifax 是美国三大老牌征信机构之一,拥有大量美国公民敏感数据,收益一直在 10 亿级别。其原本提供免费信用监控和身份窃取保护服务,还声称可以安全地冻结对敏感信息的访问。此次大规模数据泄露对其而言无疑是一场灾难。
上周我们报道过,黑客在 5 月中旬至 7 月下旬一直秘密入侵 Equifax 系统,获取 1.43 亿用户信用记录,包括名称、社会保障号、出生日期、地址,以及一些驾驶执照号码等。此外,美国约 209,000 名消费者的信用卡详情和涉及 18.2 万人的争议文件也可能遭到泄露。Equifax 在英国(约 4400 万)和加拿大的一些顾客也受到影响,加拿大 Equifax 顾客已经启动了集体诉讼。
Equifax 最初发布声明表示,网络犯罪分子利用某个“U.S. website application”中的漏洞获取文件。后来经调查,该应用程序就是大家耳熟能详的 Apache Struts。Equifax 在周三公布的网络安全事件更新公告中确认,3 月份披露和修复的 CVE-2017-5638 是就是此次数据泄露事件中攻击者所利用的漏洞。当时这个漏洞的评分为最高分 10 分,Apache 随后发布 Struts 2.3.32 和 2.5.10.1 版本,进行修复。但 Equifax 在漏洞出现的两个月内都没有修复,导致 5 月份黑客利用这个漏洞进行攻击,泄露其敏感数据。
事件发生后,好事者还列举了 Equifax 系统中的一系列漏洞,包括一年以前向公司报告的未修补的跨站脚本(XSS)漏洞。此外,Equifax 还有很多基础保护措施都不到位。安全博客 Brian Krebs 周二报道:Equifax 某阿根廷员工门户也泄露了 14,000 条记录,包括员工凭证和消费者投诉。纽约已经对 Equifax 违规行为进行正式调查,伊利诺斯州等近 40 个州也都加入了调查阵营。
被黑过程
上图是从 Equifax 服务器中获得的内容。有黑客发布了一些窃取的数据,表明了入侵的途径、手段等。据研究人员分析,Equifax 所谓的“管理面板”都没有采取任何安保措施。来自 Brian Krebs 的博文显示,其中一个管理面板使用的用户名和密码都是“admin”。作为一个如此重要的征信机构,居然使用这么简单的用户名和密码。估计研究人员和用户知道之后心里都在呵呵吧。
Equifax 泄露的消费者数据数量惊人。 一个市值几十亿美元的代理机构处理敏感信息时居然使用有漏洞的系统,这的确令人发指。与此事有关的黑客发表了如下声明:
如果公布这些信息,能让这些公司承认自己很垃圾(而不是只会甩锅给 Apache),那么我一定会公布。
事实上,除了 Apache 的漏洞,黑客还使用了一些其他手段绕过WAF。 最难的是找到服务器本身并加以利用。某位研究员曾尝试深入调查,结果发现有些管理面板居然位于 Shodan 搜索引擎上。相关黑客透露的消息称,没有一个面板是相同的;且数据泄露曝光后,Equifax 已经关闭了一些面板,其中一个面板是因为 Brian Krebs 的博文而关闭的。
此外,黑客还打算开一个暗网服务器,择日发布或售卖窃取到的数据,看来是在模仿其他诈骗比特币的黑客团伙。他们简要介绍了自己跟踪虚假黑客的方式。 该服务器(或者说是需要利用 Tor 浏览器访问的洋葱网络)目前位于 equihxbdrnnnncncn.vn 上。 当问及窃取数据和开设暗网市场是否都是为了赚赎金时,这些黑客则表示:
不,我们只是觉得有必要增加比特币赎金数目,以吸引更多的媒体关注到 Equifax 被黑这件事。
如此说来,这些黑客并非只是为了赚钱,大约是为了出名或者搞事情吧。
被入侵的面板
在进一步调查中,研究人员发现,这个黑客团伙入侵了大量功能各不相同的 Equifax 管理面板。一些面板负责信用报告,一些则用作分析。更令人震惊的是,这些面板都指向 equifax.com 的子域名;大量 switchboard 以及叫做 “bumblebee” 的部件也都有共同点,这导致他们很容易受到相似的攻击。因此,只要有一个漏洞可以利用,就能轻易获取这些面板中的内容。以下是一些遭入侵的面板详情:
研究人员还获取到了更多黑客窃取的敏感信息,并使用 Equifax 的 TrustedID Premier 验证了这些信息,进一步确认了黑客的身份。