Bei der Untersuchung des Riesenhacks hat Equifax vier Bereiche identifiziert, in welchen es Fehler dem Angreifer ermöglichten, erfolgreich Zugang zum Netzwerk zu erhalten und Informationen aus Datenbanken mit personenbezogenen Daten zu extrahieren. Diese Bereiche sind Identifikation, Erkennung, Segmentierung des Zugriffs auf Datenbanken und Data Governance.

Dies zeigt der soeben publizierte Bericht des United States Government Accountability Office (GAO) mit dem Titel "Actions Taken by Equifax and Federal Agencies in Response to the 2017 Breach".

Und so begann alles: Ab 10. März 2017 versuchten Hacker, die zwei Tage vorher publizierte Lücke im Apache Struts Web Framework (CVE-2017-5638) bei Equifax auszunutzen. Sie fanden tatsächlich einen Server mit dieser verwundbaren Struts-Version, testeten erfolgreich das Eindringen, aber saugten keine Daten ab.

Zu diesem Zeitpunkt begann das Versagen der Equifax-IT: Die Verantwortlichen kannten zu diesem Zeitpunkt die Lücke und warnten per E-Mail die eigenen Systemadministratoren. Allerdings war der E-Mail-Verteiler nicht aktuell. Der für das löchrige System zuständige Sys-Admin war nicht im Verteiler.

Die Zuständigen entdeckten bei einem eigenen Security-Scan diese Lücke nicht. Warum nicht?

Wie so oft ist die Antwort so kompliziert wie banal zugleich: Weil ein Gerät, das den Netzwerkverkehr hätte kontrollieren sollen, nicht funktionierte. Es konnte auch nichts kontrollieren, weil ein digitales Zertifikat seit rund zehn Monaten abgelaufen war.

Erst als man das Zertifikat - 76 Tage später - erneuerte, wurden die bösartigen Aktivitäten entdeckt.

Die Probleme häuften sich: Am 13. Mai 2017 statteten die Hacker Equifax einen neuen Besuch ab. Diesmal waren Datenspeicher mit Informationen über Einzelpersonen (PII) ihr Ziel, aber auch unverschlüsselte User-IDs und Passworte, die den Zugriff auf weitere Equifax-Datenbanken erlauben würden.

Und all dies gelang aus Hackersicht wunschgemäss. Hatten sie anfangs Zugriff via die Struts-Lücke auf drei Datenbanken, so konnten sie bis zum Feierabend 48 und später gar 51 öffnen.

Sie konnten sich überall frei herumtreiben, weil Equifax die eigenen Datenbanken nicht in kleinere Netze segmentieren konnte, so der Behördenreport.

Manche IT-Verantwortliche entscheiden sich dafür, dass nicht jeder Angestellte Zugriff auf sensitive Daten wie User-Name und Passwort erhält. Ein anderes Vorgehen wählten die Equifax-Zuständigen: Sie speicherten die Credentials unverschlüsselt in einer DB, auf welche die Hacker ebenfalls Zugriff hatten.

Der wichtigste Schritt der Hacker, der Abtransport der Beute, war bis dahin aber noch nicht gemacht worden. Aber er gelang auch reibungslos: "Nach der erfolgreichen Extraktion von PII aus Equifax-Datenbanken haben die Angreifer die Daten in kleinen Paketen abgezogen, wobei sie verschlüsselte Standard-Webprotokolle einsetzten, um alles als normalen Netzwerkverkehr zu tarnen", bilanzieren die Autoren des GOA-Berichts.

Innert 76 Tagen gelang es den Hackern unentdeckt, sensible Daten von 145,5 Millionen Individuen zu erbeuten.

Bis die Eindringlinge schliesslich am 29. Juli 2017 bei Routine-Tests des Betriebsstatus und der Konfiguration von IT-Systemen aufflogen.

Am Tag danach schloss man endlich das Einfallstor, informierte den Equifax-CEO und es begann die Krisenkommunikation mit allen Stakeholdern. Diese misslang dem Unternehmen allerdings auch gründlich, doch dies ist ein anderes Thema.

Die Basis des Behördenberichts bilden Dokumente von Equifax, externe Security-Assessments und eigene Interviews. Der Report beschreibt auch, was Equifax im Anschluss unternahm. Der Report kann herunterladen werden als PDF-Dokument.

Gut zu wissen: Equifax ist die grösste Wirtschaftsauskunftei der USA, verfügt über Kreditkartendaten, Bonitätsinformationen, Fahrausweis-Infos, Adressen und die unserer ID ähnelnden Social-Security-Karten-Daten der meisten US-Bürger sowie von einigen Bürgern Kanadas und Grossbritanniens. Man kann bei Equifax auch heute noch einen Kreditkarten-Fraud-Detection-Service buchen und die Firma bietet einen Identitätsdiebstahl-Schutz. Zu den Partnern gehören unter anderem die US-Steuerbehörde IRS, die Sozialversicherungsbehörde und US-Postal Service. (mag)