Equifax hat weitere Details zu den persönlichen Daten und vertraulichen Informationen veröffentlicht, die von Hackern 2017 gestohlen wurden. Equifax ist die grösste Wirtschaftsauskunftei der USA, verfügt über Kreditkartendaten, Bonitätsinformationen, Fahrausweis-Infos, Adressen und die unserer ID ähnelnden Social-Security-Karten-Daten.

Anhand neuester Zahlen und Erkentnisse in einem Bericht an Untersuchungskommissionen der US-Regierung zeigt sich der wahre Umfang des Hacks.

Geklaut wurden tatsächlich, wie bislang angenommen, Daten von 146,6 Millionen US-Kunden (plus eventuell einer aber nicht klaren Zahl von britischen und kanadischen Kunden). Darunter von allen Vornamen und Namen sowie Geburtsdaten. Bei 145,5 Millionen Personen ist zudem die Social-Security-Nummer geleakt, der eigentliche Identifikator einer Person.

Von 99 Millionen US-Einwohnern haben die Hacker nun auch aktuelle postalische Adressen, teilweise Geschlecht, Telefon-Nummern und Fahrausweis-Daten. 209'000 Kreditkartendaten sind daneben geleakt (Nummer, Ablaufdatum) und von 3200 US-Bürgern auch die Details ihres Passes.

Dass nun genauere Zahlen und Fakten verfügbar sind, ist laut 'The Register' Mandiant zuzuschreiben. Deren Ermittler halfen im Auftrag von Equifax, die Inhalte der Equifax-Datenbanken zu standardisieren, um die US-Konsumenten zu ermitteln, deren persönliche Daten gestohlen wurden. Dabei wurden aber keine neuen betroffenen Kunden entdeckt.

Der Hack von Frühling bis Frühsommer 2017 wurde möglich, weil Equifax eine nicht gepatchte, ergo unsichere Version von Apache Struts im Einsatz hatte.

Equifax hat seither gepatcht. Aber laut 'Fortune' wurde soeben bekannt, dass 10'801 Firmen – darunter 57 der "Fortune Global 100" – seit März 2017 ungepatchte Versionen heruntergeladen haben. Beziehungsweise, noch verblüffender, 8'780 Firmen haben laut der Zeitschrift nach dem Bekanntwerden des Hacks im September 2017 die löchrige Version von Apache Struts selbst heruntergeladen.

Richtige Security-Probleme hätten als Konsequenz aktuell sieben bedeutende Tech-Firmen aus den "Fortune Global 100", acht Autohersteller und 15 Finanzdienstleister. Dies zumindest vermeldet 'Fortune' mit Verweis auf das US-Security-Startup Sonatype, welches Goldman-Sachs zu seinen Investoren zählt.

Wem jetzt der Schweiss ausgebrochen ist: CVE-2017-5638 beachten. (mag)