The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

14.09.2017 10:12  Equifax подтвердил, что взлом произошёл из-за игнорирования обновления Apache Struts

На сайте с информацией о взломе Equifax, в результате которого произошла утечка персональных данных 44% населения США, появилось подтверждение сведений, что для атаки была применена уязвимость CVE-2017-5638. Данная уязвимость была устранена в мартовском обновлении Apache Struts, в то время как атака на Equifax была проведена с мая по июль, т.е. причиной взлома стала халатность персонала, которые не установили обновление с исправлением критической уязвимости.

Примечательно, что в аргентинском отделении Equifax выявлена ещё более знаковая оплошность - оказалось, что на портал для сотрудников Equifax, предназначенный для управления кредитными спорами, можно было войти при помощи логина/пароля admin/admin. Воспользовавшись данной учётной записью исследователям удалось получить персональные данные о всех сотрудниках аргентинского отделения и сведения о более 14 тысячах кредитных спорах, в которых приведены персональные данные получателей кредитов (в том числе номера телефонов и DNI). Более того, были получены сведения о паролях сотрудников в данной системе, которые хранились открытым текстом и (!) совпадали с фамилией пользователя (т.е. зная фамилию сотрудника, можно было получить доступ к его аккаунту).

  1. Главная ссылка к новости (https://www.theregister.co.uk/...)
  2. OpenNews: Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев
  3. OpenNews: Волна взломов сайтов через неисправленную уязвимость в Apache Struts
  4. OpenNews: Критическая уязвимость в Apache Struts
  5. OpenNews: Уязвимость в Apache Struts может затрагивать различные продукты Cisco
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: equifax, apache, struts
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, commiethebeastie, 10:14, 14/09/2017 [ответить] [смотреть все]
  • +14 +/
    Работает, не трожь!
     
     
  • 2.6, A.Stahl, 11:07, 14/09/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +4 +/
    Вот если бы ещё взломщики уважали этот принцип и не ломали то, что работает:)
     
     
  • 3.7, qq, 11:31, 14/09/2017 [^] [ответить] [смотреть все]
  • +1 +/
    а когда это они роняли, если тока специально, они же профи
     
  • 3.11, взломщик, 14:26, 14/09/2017 [^] [ответить] [смотреть все]
  • +2 +/
    так мы ничего вроде и не сломали, три месяца все ж нормально было, чего он вообщ... весь текст скрыт [показать]
     
  • 2.8, Crazy Alex, 13:18, 14/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    У суровых корпорастов это сплошь и рядом - год на согласование всего и вся для а... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.14, пох, 15:01, 14/09/2017 [^] [ответить] [смотреть все]  
  • +/
    а полезешь без согласования и оно не сразу поднимется - кто будет компенсировать... весь текст скрыт [показать]
     
     
  • 4.27, Sabakwaka, 20:37, 14/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Для этого существуют песочницы, 8212 модельные окружения... весь текст скрыт [показать]
     
     
  • 5.29, пох, 22:37, 14/09/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    песочница в общем-то тоже не панацея - дает гарантированный ответ нет Если в ... весь текст скрыт [показать]
     
  • 1.2, xxxx, 10:36, 14/09/2017 [ответить] [смотреть все]  
  • +15 +/
    так вот он какой тот самый 100% этерпрайз
     
  • 1.3, 1, 10:45, 14/09/2017 [ответить] [смотреть все]  
  • +1 +/
    какой-то слишком сложный пароль на админа ... почему не 1111 ?
     
     
  • 2.4, A.Stahl, 10:52, 14/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +9 +/
    Потому что "admin" запомнить легко, а 1111 нужно думать 4 единицы или 5 или там и не единицы вовсе...
     
  • 2.13, пох, 14:59, 14/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    спроси у разработчиков какого-нибудь очередного редмайна или что у них там упра... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, 1, 17:03, 14/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну например у дефолтного пользователя БД ORACLE sys - дефолтный пароль CHANGE_ON... весь текст скрыт [показать]
     
     
  • 4.26, пох, 20:34, 14/09/2017 [^] [ответить] [смотреть все]  
  • +/
    этому пользователю двадцать или может даже тридцать лет - еще в шестом оракле та... весь текст скрыт [показать]
     
  • 1.5, Аноним, 10:58, 14/09/2017 [ответить] [смотреть все]  
  • +1 +/
    Они не уделили должного внимания безопасности - появление проблем было вопросом ... весь текст скрыт [показать]
     
     
  • 2.9, Crazy Alex, 13:23, 14/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    СБ и ОТК частенько хотят ровно противополжное - ничего не трогать, а то всё зан... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, Аноним, 15:51, 14/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Требуют тестировать код Сво чи А ты такой тяп-ляп и в продакшен И пофиг ... весь текст скрыт [показать]
     
  • 2.12, пох, 14:56, 14/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    если бы они везде и всегда только этим или хотя бы промежду делом - этим Впр... весь текст скрыт [показать] [показать ветку]
     
  • 1.10, anonymous, 13:28, 14/09/2017 [ответить] [смотреть все]  
  • +1 +/
    А всё потому что бизнес не предлагает безопасных и удобных решений. Каждое обновление ломает обратную совместимость, если не хуже. Вот ты используешься мозиллу. В ней находят баг. Думаешь тебе его поправят? Как бы не так. Обновляйся на новую версию, которая принесёт DRM, которая сломает твои плагины - или будешь торчать с уязвимостью. У тебя обнаружили уязвимость в винде. Думаешь, можешь её просто так закрыть? Как бы не так, для начала тебе надо будет обновиться до телеметрии.
     
     
  • 2.15, пох, 15:39, 14/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    а бизнес-то тут с какого бока struts - самый опенотсосный из опенотсосных, апач... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, Аноним, 15:55, 14/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Есть open source software а есть nominally open source software Вот первое пишу... весь текст скрыт [показать]
     
     
  • 4.21, пох, 17:49, 14/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    > Есть open source software а есть nominally open source software

    ну, в смысле, в /bin/ls каком-нибудь вы можете разобраться, а в мазиле - слабо?
    Ну так никто ж не виноват.

    > Хочешь пользоваться - придется плясать под дудку производителя, а на коммьюнити плевать.

    и всегда так было. И дело не только в том, что девелоперам некогда и вообще противно документировать свою писанину.
    Первая публикация LARTC вызвала прямо шквал критики "все не так, вы нифига не поняли и вообще не надо было этого писать, раз не в теме". Что именно "не так" и как на самом деле - так и осталось загадкой, поскольку девелопер не соизволил поделиться сокровенным знанием. А это самое что ни есть ядро линукса, в основном развивавшееся тогда силами энтузиастов в свое личное время, а не на деньги редхатогугля, и вполне еще адекватный 2001й, наверное, год.

     
  • 2.16, пох, 15:42, 14/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    > в винде. Думаешь, можешь её просто так закрыть? Как бы не
    > так, для начала тебе надо будет обновиться до телеметрии.

    и да, про винду вы, как обычно, в мурзилке прочитали. Это вот - пока еще относительно - бизнес. Отдельно обновления с телеметрией, отдельно - "monthly security-only". Последние, правда, либо по корпоративным каналам, либо вручную из "магазина". Ну так обычному пользователю оно низачем и не надо (он же потом будет ныть, что картавая плохо работает и его морда не разблокирует экран), а корпоративные и телеметрию имеют право отключать.

     
  • 2.20, KonstantinB, 17:15, 14/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Для этого есть LTS-релизы. В случае с Мозиллой это называется ESR.

    Про винду ничего не скажу, не в курсе, но вроде XP продлевали раза 3.

     
     
  • 3.22, пох, 17:57, 14/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    > Для этого есть LTS-релизы. В случае с Мозиллой это называется ESR.
    > Про винду ничего не скажу

    то же самое. "есть lts-релизы". Но не для вас - нужна корпоративная лицензия, а ее частному лицу вообще неясно, как получить.

    > не в курсе, но вроде XP продлевали раза 3.

    xp это 2001-2012, у windows7 все шансы ее переплюнуть - 2008+. Но пользоваться ей во многих случаях уже банально неудобно, мир меняется.

     
  • 3.23, _, 18:19, 14/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    А про struts? Есть там ESR/LTS?
    Ну что можно сказать?
    Новый ТСО эквифакса :) может легко затребовать утроения бюджета :) А то с 2000-х расслабились толстопузики :)
     
     
  • 4.28, пох, 20:52, 14/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    > А про struts? Есть там ESR/LTS?

    ну, типа, был, one true struts1, только ему в 2008м EOL вышел, современной жабкой небось и не соберетсо ;-) Современные версии к нему вообще никакого отношения не имеют, и апи вовсе другой.

    Есть две версии - текущая и еще более текущая - 2.3 и 2.5.
    Баг с rest в 2.3 исправлен, так торопились, что аж забыли ссылку на release notes на сайте поменять, кажет не на текущую, а на пред-предыдущую ;-)

    А если эти хорьки застряли, как я подозреваю, на какой-нибудь промежуточной 2.2 или вовсе 2.0 - то хрен им по всей роже, у нас, у хипсторов, не принято носить старье, иначе другие хипсторы не будут нас уважать.

    > Новый ТСО эквифакса :) может легко затребовать утроения бюджета :) А то

    а шо, таки старого уже того - показательно расстреляли перед строем?

     
     
  • 5.30, ., 02:21, 15/09/2017 [^] [ответить] [смотреть все]  
  • +/
    >> Новый ТСО эквифакса :) может легко затребовать утроения бюджета :) А то
    >а шо, таки старого уже того - показательно расстреляли перед строем?

    Пока выясняют а кто же племянник сами-знаете-кого-и-его-трогать-нельзя, но кого-то всё равно расстреляют :-)
    В такой ситуации ритуал жертвоприношения - обязателен! А вот будет ли несчастный причастен к косяку, или "так сложились звёзды" - сказать трудно :)

     
  • 1.24, Аноним, 19:29, 14/09/2017 [ответить] [смотреть все]  
  • +/
    Но если ты не знаешь об этом, то нельзя ЗЫ вяслать всем тамашним админам росс... весь текст скрыт [показать]
     
     
  • 2.25, жабабыдлокодер, 20:21, 14/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Грузинские, армянские и эфиопские! Там такие закорючки...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor