今年夏天,信用局Equifax的一個漏洞洩露了超過1.45億人的社會安全號碼和其他敏感資料。從那以後,專家們一直在為公司是如何允許這種情況發生而困惑。攻擊者似乎是透過利用Apache Struts軟體中的一個公共漏洞闖入系統的,但在出現漏洞時,該漏洞的修補程式已經存在數月了。那為什麼Equifax不部署補丁呢?
前Equifax執行長理查德·史密斯(Richard Smith)在眾議院能源和商務委員會(House Energy and Commerce Committee)上對這個問題給出了迄今為止我們聽到的最詳細的回答。據他說,當CERT於3月8日首次宣佈Struts漏洞時,團隊內部討論了它。
該協議是在內部部署一個補丁,然後掃描系統中的任何遺留漏洞。從理論上講,這是一個由兩部分組成的過程,應該確保系統中不允許存在任何公開的漏洞——但根據史密斯的說法,這兩部分過程都不起作用。
史密斯對國會說:“人工部署的補丁和掃描部署都不起作用。”遵守了協議。”
他在書面證詞中更詳細地說,CERT通知在釋出的第二天就在內部分發,但it部門似乎沒有人認識到它的重要性。”我們現在知道,Equifax中易受攻擊的ApacheStruts版本沒有在3月9日的內部通知中被識別或修補。
史密斯把最初的失敗歸咎於一個特定的人,他拒絕透露他的姓名史密斯在聽證會上說:“人為的錯誤是,負責在組織內進行溝通以應用修補程式的個人沒有這樣做。”。
“那麼,這是否意味著該個人知道軟體在那裡,”眾議員格雷格沃爾登回答說,“它需要修補,並沒有傳達給團隊進行修補?”
“這是我的理解,先生,”史密斯說。
該公司仍在調查為何隨後的掃描沒有檢測到該漏洞,但書面證詞顯示,這一漏洞發生在隨後的一週,即3月15日。
史密斯上週辭去了Equifax的執行長一職,該公司的資訊長和首席安全官也已辭職。美國聯邦貿易委員會(Federal Trade Commission)目前正在調查這一違規行為是否違反了公平商業慣例,司法部(Department of Justice)已開始調查Equifax高管是否在違規行為公開前透過**公司股票進行內幕交易。
儘管如此,聽證會還是顯示出國會議員對公司缺乏財務後果的嚴重不滿。”根據現行法律,你需要提醒那些帳戶被駭客攻擊的人,但基本上沒有處罰,”眾議員喬·巴頓(R-TX)告訴史密斯如果我們不採取措施改變這一制度,我們將從現在起每年舉行聽證會。”
...年意味著新的開始。2017年給我們帶來了WannaCry勒索軟體和Equifax駭客等安全漏洞,但2018年初情況並沒有好轉。 ...
...興起主導了今年早些時候,而資料洩露(包括臭名昭著的Equifax駭客攻擊)繼續有增無減。 ...
... 集合,集合,下一個巨大的缺口就在這裡。驚人的Equifax資料洩露引起了幾乎每一個美國公民的注意。為什麼?因為信用報告機構遭遇重大違約,沒有披露資訊,讓董事會成員在宣佈違約前拋售股票,並將幾乎每一個美國...
... TrustedSec的執行長大衛•肯尼迪(davidkennedy)說:“我們從來沒有見過像這樣一個擴充套件性的錯誤,它會影響到每一個主要的處理器。”TrustedSec為企業提供滲透測試和安全諮詢服...
...所(Milken Institute)2012年全球大會的問答環節上,at&T執行長蘭德爾·斯蒂芬森(Randall Stephenson)詳細談到了無線行業,但他也對Android新版本的緩慢推出發表了一些有趣的評論,將主要責任推到了谷歌身上。”“這是一個問題...
...全行業的挫折是正確的。但這不是全部。 執行困境 首先,AMD在最近與英特爾的鬥爭中屢屢失足。該公司釋出了一系列產品,每種產品都有一個不幸的問題。雖然AMD的Opteron伺服器處理器可能是世界上速度最...
紐約市的年犯罪率即將出現20年來的首次上升,紐約市官員(和市長邁克爾·布隆伯格)直截了當地將責任歸咎於蘋果相關盜竊案的急劇上升。截至週一,該市在五個行政區共記錄了108432起重大犯罪,比去年同期多了3484起。特別...
...了一個稱為“交易延展性”(transaction mallability)的通用漏洞,該漏洞允許使用者修改交易細節,使其看起來好像在實際成功時傳輸失敗了。由於使用者定期向交易所報告特定交易沒有透過,這意味著欺詐的巨大機會,該團隊表...
惠普(Hewlett-Packard)前執行長、直言不諱地批評網路中立的卡莉•菲奧莉娜(Carly Fiorina)證實,她將在2016年以共和黨候選人身份競選總統。《華爾街日報》上個月首次報道了她的參選訊息,但菲奧莉娜今早在Twitter上證實了這一...