Dimensionen des Equifax-Hack werden klar (und ein neuer Abgrund tut sich auf)

8. Mai 2018, 15:12
  • security
image

Equifax hat weitere Details zu den persönlichen Daten und vertraulichen Informationen veröffentlicht, die von Hackern 2017 gestohlen wurden.

Equifax hat weitere Details zu den persönlichen Daten und vertraulichen Informationen veröffentlicht, die von Hackern 2017 gestohlen wurden. Equifax ist die grösste Wirtschaftsauskunftei der USA, verfügt über Kreditkartendaten, Bonitätsinformationen, Fahrausweis-Infos, Adressen und die unserer ID ähnelnden Social-Security-Karten-Daten.
Anhand neuester Zahlen und Erkentnisse in einem Bericht an Untersuchungskommissionen der US-Regierung zeigt sich der wahre Umfang des Hacks.
Geklaut wurden tatsächlich, wie bislang angenommen, Daten von 146,6 Millionen US-Kunden (plus eventuell einer aber nicht klaren Zahl von britischen und kanadischen Kunden). Darunter von allen Vornamen und Namen sowie Geburtsdaten. Bei 145,5 Millionen Personen ist zudem die Social-Security-Nummer geleakt, der eigentliche Identifikator einer Person.
Von 99 Millionen US-Einwohnern haben die Hacker nun auch aktuelle postalische Adressen, teilweise Geschlecht, Telefon-Nummern und Fahrausweis-Daten. 209'000 Kreditkartendaten sind daneben geleakt (Nummer, Ablaufdatum) und von 3200 US-Bürgern auch die Details ihres Passes.
Dass nun genauere Zahlen und Fakten verfügbar sind, ist laut 'The Register' Mandiant zuzuschreiben. Deren Ermittler halfen im Auftrag von Equifax, die Inhalte der Equifax-Datenbanken zu standardisieren, um die US-Konsumenten zu ermitteln, deren persönliche Daten gestohlen wurden. Dabei wurden aber keine neuen betroffenen Kunden entdeckt.
Der Hack von Frühling bis Frühsommer 2017 wurde möglich, weil Equifax eine nicht gepatchte, ergo unsichere Version von Apache Struts im Einsatz hatte.
Sieben Tech-Firmen sind potentielle neue Opfer
Equifax hat seither gepatcht. Aber laut 'Fortune' wurde soeben bekannt, dass 10'801 Firmen – darunter 57 der "Fortune Global 100" – seit März 2017 ungepatchte Versionen heruntergeladen haben. Beziehungsweise, noch verblüffender, 8'780 Firmen haben laut der Zeitschrift nach dem Bekanntwerden des Hacks im September 2017 die löchrige Version von Apache Struts selbst heruntergeladen.
Richtige Security-Probleme hätten als Konsequenz aktuell sieben bedeutende Tech-Firmen aus den "Fortune Global 100", acht Autohersteller und 15 Finanzdienstleister. Dies zumindest vermeldet 'Fortune' mit Verweis auf das US-Security-Startup Sonatype, welches Goldman-Sachs zu seinen Investoren zählt.
Wem jetzt der Schweiss ausgebrochen ist: CVE-2017-5638 beachten. (mag)

Loading

Mehr zum Thema

image

Slack gibt Passwort-Fehltritt zu

Fünf Jahre lang hätten böswillige Angreifer unter Umständen Passwörter abgreifen können.

publiziert am 9.8.2022
image

IT-Security: Personalmangel ist das Problem, nicht das Geld

Laut einer internationalen Umfrage sehen Security-Verantwortliche nur bei jedem 10. Unternehmen Probleme wegen des Security-Budgets.

publiziert am 8.8.2022
image

Wie es zur Warnung vor Kaspersky kam

Dokumente des deutschen Amtes für Cybersicherheit stützen die Position von Kaspersky. Der Security-Anbieter kritisierte die BSI-Warnung als politischen Entscheid.

publiziert am 5.8.2022
image

Bund beschafft zentrale Bug-Bounty-Plattform

Das NCSC leitet die künftigen Programme, Bug Bounty Switzerland liefert und verwaltet die Plattform.

publiziert am 3.8.2022