Das gehackte US-Kreditauskunftsunternehmen Equifax hat am Freitagabend bekannt gegeben, dass sich sowohl der bisherige CIO als auch sein Security-Verantwortlicher zurückziehen würden. Es ist anzunehmen, dass sie der Verwaltungsrat mehr oder weniger sanft dazu motiviert hat. Ersetzt werden sie interimistisch durch zwei andere Mitarbeiter der IT-Abteilung von Equifax.

Nach und nach gibt Equifax auch weitere Informationen darüber bekannt, wie seine Systeme kompromittiert wurden, so dass die Daten von bis zu 143 Millionen US-Bürgern geklaut werden konnten. So hat das Unternehmen nun in seinem Security-Blog, ausgenutzt haben. Diese wurde schon im März entdeckt und gepatcht.

Darüber dürften auch die Equifax-IT-Verantwortlichen gestolpert sein. Denn wie das Unternehmen nun schreibt, war auch ihnen die Schwachstelle seit März bekannt. Die Security-Abteilung habe daraufhin begonnen, betroffene Systeme zu identifizieren und zu patchen. Aber eben offensichtlich nicht konsequent oder schnell genug. Der Datenklau begann ungefähr am 13. Mai, dem Security-Team fiel aber erst am 29. Juli erstmals verdächtiger Traffic auf. Am Tag darauf wurde die betroffene Webapplikation dann vom Netz genommen und gepatcht. (hjm)