A falta de uma cultura forte de cibersegurança na Equifax, especialmente se comparado com suas duas maiores concorrentes, foi um fator chave que contribuiu para o grande incidente sofrido em 2017, que acabou expondo os dados de 145 milhões de americanos. Essas foram as conclusões de um relatório de 71 páginas divulgado pelo Congresso americano.

O relatório elaborado pelo Subcomitê Permanente de Investigações do Senado concluiu que a Equifax falhou em seguir suas próprias políticas de segurança, incluindo as que detalhavam como e quando realizar o patch de vulnerabilidades críticas de software. Executivos da empresa não priorizaram a segurança, e muitas decisões chave foram deixadas para serem tomadas por funcionários de nível júnior.

“Baseado na investigação, o subcomitê concluiu que a resposta da Equifax para o incidente de Março de 2017 foi inadequada e potencializada pela negligência da equifax com relação à cibersegurança”, de acordo com o relatório. “Os problemas da Equifax datam de muito tempo e refletem uma cultura de negligência com relação à cibersegurança”.

O relatório também mostra que, devido ao sumiço de documentos e logs de chat internos, um total compreendimento do que ocorreu não pode ser alcançado. Os membros do comitê revisaram mais de 45.000 páginas de documentos, e conduziram entrevistas com executivos da empresa e especialistas de mercado.


Reação da Equifax

Um porta voz da Equifax disse em um pronunciamento ao Information Security Media Group que a empresa cooperou com o Senado e estava tentando ser mais transparente.

“Ao passo em que não concordamos com diversos pontos descritos no relatório, nós continuamos comprometidos em ser transparentes e cooperativos, compartilhamos aprendizados importantes do incidente de 2017 com a comunidade de cibersegurança”.

A Equifax contratou novos CIO e CSO e planeja investir mais de 1,25 bilhões de dólares em segurança entre 2018 e 2020.


Entendendo o Incidente

O relatório é uma das diversas investigações do incidente da Equifax, que expôs as informações pessoais de 145 milhões de consumidores nos Estados Unidos, e 15 milhões de registros relacionados a residentes no Reino Unido e outros 8 mil canadenses. Em 2018, o relatório GAO encontrou diversos problemas que precederam o incidente, incluindo problemas com identificação, detecção, segmentação e governança de dados, assim como uma falha na limitação de requisições à base de dados.

No coração do incidente da Equifax havia uma falha no patch de vulnerabilidade na aplicação web open source Apache Struts. Usando essa vulnerabilidade, os atacantes encontraram um caminho na rede e roubaram os dados.


Diversos Problemas na Equifax

O relatório do comitê do Senado dissecou nove problemas na Equifax, mas o mais complicado foi o primeiro: A Equifax falhou em priorizar a cibersegurança.

O relatório disse que a empresa não tinha conhecimento sobre a extensão dos problemas de cibersegurança que ela enfrentava, e tratava as boas práticas como um simples complemento.

“O CIO da Equifax, de 2010 a 2017 supervisionou os empregados responsáveis pela instalação de patches, mas disse que nunca ficou sabendo da vulnerabilidade no Apache Struts e não entende porque a vulnerabilidade passou despercebida.”

O investigador do subcomitê descobriu que a Equifax não possui uma política corporativa escrita para lidar com vulnerabilidades críticas nos softwares usados até 2015. No mesmo ano, a empresa conduziu uma auditoria, descobrindo 8.500 vulnerabilidades dentro de sua rede, incluindo mais de 1.000 listadas como críticas.

A mesma auditoria descobriu que a Equifax não seguia um calendário para o patch dessas vulnerabilidades como era detalhado na própria política da empresa.

O auditoria “também encontrou que a empresa tinha uma abordagem reativa para a instalação de patches. A auditoria mostrou que a Equifax tinha uma falta de compreensão de seu inventário de TI, mostrando que desconhecia completamente os ativos que possuia.”


Inabilidade para Seguir as Políticas

A equipe de Ti da Equifax ficou ciente da vulnerabilidade crítica no Apache Struts no dia 8 de Março de 2017, a partir do US Cert e do Departamento de Segurança Nacional. Sob a política da empresa, isso deveria ter sido corrigido em 48 horas, mas não foi, segundo o relatório.

O relatório também diz que a vulnerabilidade foi discutida em reuniões mensais em Março e Abril de 2017, e mais de 400 empregados receberam o comunicado do US Cert. Contudo, o problema foi aparentemente ignorado ou deixado de lado, com executivos ignorando os briefings e o CIO da empresa delegando os patches para funcionários de baixo nível, seis camadas abaixo dele.

Um desenvolvedor chave da Equifax responsável pelo Apache Struts não recebeu o alerta sobre a vulnerabilidade porque seu gerente não encaminhou a notificação. Ao mesmo tempo em que o alerta foi dado, a empresa modificou suas políticas para lidar com vulnerabilidades e patching. O subcomitê revelou que esse movimento deu uma falsa sensação de segurança à Equifax, acreditando ter resolvido inúmeros problemas de patching e segurança.


Falha em Atualizar Certificados SSL

A investigação conduzida pelo Senado americano também mostrou que a Equifax permitiu que oito certificados SSL expirassem em Novembro de 2016. Demorou até 29 de Julho de 2017 para a Equifax substituir esses certificados, incluindo um usado em um portal online que os atacantes usaram para penetrar a rede em 13 de Maio de 2017.

Por 78 dias entre Março e Julho de 2017, os atacantes tiveram acesso à rede da equifax por meio desse portal.

Uma vez que o novo certificado foi instalado em Julho de 2017, a equipe de segurança imediatamente identificou tráfego vindo de um endereço IP na CHina, onde a empresa não tinha presença de negócios. O vulnerabilidade do Pache sem correção permitiu aos atacantes tomar vantagem do certificado SSl expirado e deu acesso à rede.

Uma vez dentro da rede, os atacantes encontraram bases de dados que continham usuários e senhas sem criptografia, o que deu acesso aos números de Social Security, datas de nascimento, endereços, assim como carteiras de motorista e cartões de crédito.

Armazenar senhas sem criptografia era a norma na Equifax, segundo o relatório, a Equifax decidiu estruturar sua operação assim porque os esforços estavam voltados para apoiar o negócio em detrimento dos protocolos de segurança.


Sumiço de Documentação Interna

O comitê do Senado americano poderia ter ido ainda mais a fundo no assunto, mas os investigadores descobriram que a Equifax descartou os documentos ao mesmo tempo em que o incidente ocorreu.

Os funcionários da Equifax usavam o Microsoft Lync para chat interno com relação ao incidente, mas essas conversas não foram retidas segundo o relatório. A política da empresa era descartar os chats do Lync após um curto período de tempo.

Após a descoberta do incidente em 29 de Julho de 2017, o departamento legal da Equifax soltou uma ordem em Agosto para reter os logs dessas conversas, mas a configuração só foi alterada em meados de Setembro, privando os investigadores de documentos cruciais entre a descoberta do incidente e o primeiro anúncio público.


Mudando a Culpa

O subcomitê também apontou que a Equifax esperou cerca de seis meses para informar ao público que a empresa havia sido atacada e informações pessoas roubadas. Alguns executivos contaram os investigadores que acreditavam que a empresa fez tudo o que pode para prevenir o incidente uma vez que a vulnerabilidade era conhecida.

Para mais informações, confira em: https://www.bankinfosecurity.com/congressional-report-rips-equifax-for-weak-security-a-12355