黑客事故：如何偷走1.455億用戶數據

來自專欄安全圈

題記：各位看官，周三早上好。去年的泄露事件，近日終於出爐詳盡報告，披露其中細節。導火索是由一個漏洞引發的，但這僅僅是開始，攻擊者通過惡意代碼提升至最高許可權後，對Equifax公司的網路猶如無人之境，真是外松內不緊，內外堪憂。專家們披露了內網中4種因素進一步讓黑客如魚得水，比如了攻擊者執行了9000次數據查詢，而系統渾然不覺。導致結果的往往是多種原因，而並非一個原因就導致了一個不堪的結果，本次事故中，一共有五種原因被專家們還原，一個外部漏洞，加上4個內部管理上的重大瑕疵，成全了攻擊者的乾坤大挪移，也還有可能隱含有其他原因，因為這報告是專家角度，如果攻擊者也寫一篇入侵報告，應該是另外一番風景。

美國政府問責局（簡稱 GAO）發布一份最新報告，披露了大量關於 Equifax（美國三大個人信用評估機構之一） 黑客攻擊的詳細信息，並且披露了導致數據泄露的多個因素。

事件回顧

Equifax公司黑客入侵事件發生在2017年5月，共導致1.455億用戶信息暴露，黑客得以訪問到姓名、社保號碼、出生日期、居住地址甚至是一部分民眾的駕駛證件號碼與信用卡號碼。

Struts 漏洞與Equifax數據泄露

當時攻擊者利用了存在於Jakarta Multipart 解析器上傳功能中的 CVE-2017-5638Apache Struts 安全漏洞。此項漏洞允許攻擊者向 Apache Web 伺服器發出經過精心策劃的惡意請求，進而獲取對底層計算機的訪問許可權。

美國政府問責局（GAO）發布的這份關於 Equifax 入侵事件的報告，包含關於此事件的進一步細節。該報告由多位美國參議員及代表委託編寫，基於 Equifax 本身提供的文件以及參與事件響應及調查的網路安全顧問的支持。報告中還提到了美國國稅局（IRS）、社會保障管理局（SSA）以及美國郵政服務局（USPS）的相關文件。

漏洞披露後黑客進行過偵察

該報告證實，黑客攻擊 Equifax 時確實利用到 Struts 漏洞，並在此漏洞公開披露數天後進行過一次偵察。

報告稱，為了查找個人身份信息（簡稱PII），攻擊者決定入侵在線門戶，而非查詢內部資料庫。

報告指出，「2017年7月，Equifax系統管理員發現攻擊者已經以未經授權的方式訪問到用於保存消費者糾紛文件的在線門戶網站（見圖）。Equifax 此次遭遇入侵導致攻擊者獲取到至少1.455億用戶的個人信息。」

Equifax 公司用於76天時間才發現這起發生於2017年的大規模數據泄露事件。

Equifax四項工作嚴重失敗導致數據泄露

專家們強調，Equifax 入侵事件主要源自安全團隊控制下的四項主要工作的嚴重失敗，分別為識別、檢測、資料庫分區訪問以及數據治理。

對日誌文件的分析結果顯示，攻擊者執行了約9000項查詢以訪問包含個人身份信息的數據。攻擊者運行的9000條查詢遠遠超過正常的查詢執行數量，這突出了安全團隊在控制能力方面的缺失。

Equifax公司官員表示，攻擊者通過融入常規網路操作的方式掩飾自己的活動，而安全團隊是在例行檢查期間發現了這一事件。

設備配置錯誤未識別加密流量

這份報告進一步補充稱，「根據 Equifax 的報告，網路管理員對 IT 系統的運行狀態與配置進行例行檢查之後，發現存在配置錯誤的設備允許攻擊者與受感染的伺服器進行通信，並可在未經檢測的情況下竊取數據。」

「具體來講，雖然 Equifax 安裝了一台設備以檢查網路流量或惡意活動證據，但錯誤配置允許加密流量在不經檢查的前提下通過網路傳遞。」

數字證書過期近一年

問題的根本原因在於，Equifax 在黑客攻擊發生的10個月之前，相關數字證書就已經過期。這意味著系統無法進行流量檢查，而攻擊者能夠在未被檢測到的情況下進行數據滲透。

報告提到，Equifax 表示，錯誤配置是由於過期數字證書未及時被替換為新證書而導致。

數字證書為加密電子令牌，用於驗證伺服器與系統。由於證書過期，系統無法檢查加密流量。

網路管理員此後更換了過期證書，使得系統得以恢復對流量的檢查。

缺乏網路分區

由於缺乏網路分區，攻擊者能夠訪問眾多內部資料庫以及在線門戶網站背後的數據。專家們同時指出，黑客訪問到的多份檔案的對應憑證以純文本形式存儲在一套資料庫當中。

多位專家批評美國當局，表示儘管發布了相關報告，但仍然沒有對 Equifax 採取任何實際行動。

要求問責局發布報告的參議員 Elizabeth Warren 稱，「在公開2017年大規模違規事件的一年之後，Equifax 及其它大型信用報告機構仍然在利用同樣的商業模式獲利。然而，他們的這種商業模式並未能保護個人信息——特朗普政府與共和黨控制下的國會並沒有就此採取任何措施。」