Equifax heute: Cross-Site-Scripting, ein Robo-Kläger gelauncht und…und…

Mithilfe eines Chatbots Equifax verklagen? Das geht jetzt. (Screenshot)
Der riesige Hack stellt Equifax vor neue Probleme. Kunden, Anwälte, Security-Experten und ein Chatbot attackieren die Kredit-Rating-Firma.
 
Der Equifax-Hack zieht immer weitere Kreise. Erstens geografisch: Laut dem britischen 'Telegraph' sind bis zu 44 Millionen Kunden-Daten von Briten kompromittiert, dies, weil UK-Firmen wie beispielsweise BT Equifax-Services nutzen. Ebenso, dies gab Equifax zu, dass auch kanadische Personendaten kompromittiert wurden. Hingegen scheinbar nicht betroffen waren die Daten von Obamacare-Kunden, welche Equifax mit einem 329-Millionen-Dollar-Vertrag für die Regierung verwaltet.
 
Dann hatte das Online-Tool, mit welchem potentielle Opfer herausfinden können, ob beispielsweise die eigene Social-Security-Nummer geleakt wurde, diverse Probleme: Wer seine Social-Security-Nummer eingab (sowieso eine mittelmässige Identifikations-Idee von Equifax…), kriegte vorübergehend eine Warnung vorgesetzt, da die Security-Zertifikate abgelaufen waren, so so 'Fortune'. Zudem wurden auch frei erfundene "Kunden-Profile" als kompromittiert definiert, beziehungsweise erhielt man je nach Zeitpunkt der Daten-Eingabe unterschiedliche Resultate.
 
Nicht zuletzt entdeckte ein Security-Forscher, dass die Website, auf welcher man überprüfen kann, ob im eigenen Namen falsche Kredite beantragt werden, ein leichtes Opfer für Hacker ist: Das einigermassen verbreitete Cross-Site-Scripting war laut 'ZDnet' ganz einfach möglich. Das Fazit des Security-Experten Brian Krebs: "Die Website ist komplett kaputt". Als wäre das nicht genug, auf den Report des Security-Forschers reagierte Equifax offenbar überhaupt nicht.
 
Ob die Lücke aktiv ausgenutzt wurde oder wird, ist noch unklar.
 
Schliesslich verteilte Equifax PIN-Nummern, mit denen man betrügerische Kreditaufnahmen verhindern konnte. Die allerdings, so 'Ars Technica', im Prinzip nur Datum-und-Zeitstempel der Eingabe waren. Zufallszahlen-Generator? Njet.
 
Apache: "Zero-Day-Exploit oder ungepatchte Server"
Inzwischen wehrt sich die Apache Software Foundation für ihr Apache Struts Web Framework, welches den Hack überhaupt erst möglich gemacht habe.
 
In einem Blogpost widersprechen sie 'QZ.com', welche anfänglich den Vorwurf erhoben hatten, die Lücke (CVE-2017-9805) sei seit neun Jahren bekannt gewesen. "Zu diesem Zeitpunkt ist unklar, ob eine Lücke in Struts verantwortlich war und falls ja, welche", schreibt Vice President Struts, René Gielen. Seine Argumentation: Der Equifax-Hack sei im Mai 2017 erfolgt und von Equifax im Juli entdeckt worden. Ein Bezug zu CVE-2017-9805 könne nicht hergestellt werden, da diese Lücke erst im September publiziert worden sei. "Das bedeutet, dass die Angreifer entweder eine früher bekannte Lücke auf einem ungepatchten Equifax-Server nutzten, oder einen Zero-Day-Exploit ausnutzten". Und schon gar nicht habe man bei der Stiftung neun Jahre gewartet, um einen Patch bereitzustellen.
 
Wie also wurde Equifax gehackt? Man weiss es nicht.
 
Die Firma selbst sagt laut 'The Register' nur: Irgendwie im Zusammenhang mit einer Web-App.
 
Gratis: Chatbot, um Equifax zu verklagen
Und tech-affine Amerikaner setzen jetzt technologische Waffen gegen Equifax ein: Mit einem Chatbot kann man Equifax verklagen: Nach einem kurzen Dialog wird ein offenbar juristisch korrektes, fertig ausgefülltes PDF generiert, das man nur noch unterschreiben und einreichen muss. Zudem sind aktuell bereits 23 Sammelklagen gegen die Firma angekündigt.
 
Inzwischen sind laut 'Fastcompany.com' die Equifax-Apps aus dem App-Store und Google Play entfernt worden. Und, vielleicht Zufall, meldet 'Bleeping Computer', dass Cisco daran sei, ein Security Audit aller seiner Produkte durchzuführen, welche Apache Struts nutzen. (Marcel Gamma)