Apache monta defensa fuerte, retiros Equifax

La Fundación de Software Apache este fin de semana respondió a las acusaciones de que la violación masiva de datos Equifax divulgada la semana pasada resultó de una falla en código abierto de Apache.

Una de las brechas de datos financieros más grandes en la historia de los Estados Unidos, expuso nombres, direcciones, números de Seguridad Social, fechas de nacimiento, números de licencia de conducir y otra información sensible que pertenece a 143 millones de consumidores estadounidenses, así como datos pertenecientes a un número no revelado de Reino Unido y Consumidores canadienses.

Los atacantes también accedieron a los datos de la tarjeta de crédito para unos 209.000 consumidores y la información sobre conflictos crediticios para unos 182.000 consumidores, dijo Equifax.

Defensa de Apache

La organización Apache se arrepintió de la brecha de datos de Equifax, dijo el vicepresidente de Apache Struts, René Gielen, en nombre del comité de administración del proyecto Apache Struts.

Sin embargo, con respecto a la posibilidad de que resultara de una explotación de una vulnerabilidad en el Apache Struts Web Framework, no estaba claro qué vulnerabilidad podría haber sido utilizada, dijo Gielen.

Una suposición conectó el incumplimiento a CVE-2017-2805, uno de varios remiendos que Apache anunció el 4 de septiembre.

“Sin embargo, el fallo de seguridad ya fue detectado en julio, lo que significa que los atacantes utilizaron una vulnerabilidad anunciada anteriormente en un servidor Equifax sin parches o explotaron una vulnerabilidad desconocida en este momento -la denominada Zero Day Exploit”, Gielen célebre.

Asegurar y endurecer el software

Los miembros del comité han puesto un enorme esfuerzo en “asegurar y endurecer el software que producimos”, agregó, y arreglan los problemas que acuden a su atención.

Hay una distinción entre la existencia de una falla desconocida en el medio silvestre durante nueve años y no se ha solucionado un defecto conocido durante nueve años, dijo Gielen, enfatizando que el comité acaba de enterarse de este fallo.

El no ha tenido ningún contacto con nadie usando el dominio @equifax en cualquier lista de Apache en más de dos años, dijo el portavoz de Apache Sally Khudairi.

“Para ser claros, aunque no hemos tenido contacto con nadie usando el dominio @equifax – oficial o de otro tipo – eso no quiere decir que no haya una posibilidad de que alguien de su equipo lo haya hecho usando un canal alternativo , “dijo a LinuxInsider.

Alguien podría haber usado una cuenta de correo electrónico personal, por ejemplo, dijo Khudairi.

Actualmente no hay suficientes datos para sacar conclusiones, dijo Dustin Childs, gerente de comunicaciones de la Iniciativa Zero Day de Trend Micro.

“Sin embargo, incluso si se concluyera que se trataba de una vulnerabilidad de Apache Struts, no hay datos sobre los que se utilizó la vulnerabilidad”, dijo a LinuxInsider, “e incluso si Apache Struts fue la causa raíz, podría haber sido fácilmente algo de meses, o incluso años atrás “.

Equifax podría haber hecho un mejor trabajo protegiendo un sitio con datos críticos de consumo, dijo Chris Morales, jefe de análisis de seguridad de Vectra.

“Creemos que Equifax invierte una cantidad significativa de dinero y mano de obra para protegerse contra ataques cibernéticos”, dijo a LinuxInsider. “Sin embargo, las organizaciones más pequeñas con menos mano de obra y dinero han detectado y respondido a ataques similares rápidamente y evitado la pérdida de datos”.

Retroceso del consumidor

Equifax ha tomado un tremendo calor por el incumplimiento, no sólo por la brecha entre el descubrimiento del incidente el 29 de julio y la divulgación pública la semana pasada, sino también por los informes de que tres ejecutivos de la compañía, incluyendo el CFO, podrían haber vendido acciones del empresa antes de la divulgación. Las acciones de Equifax cayeron bruscamente la semana pasada después del informe.

Los críticos también han criticado a la compañía porque el sitio web que creó para permitir a los consumidores inscribirse en el monitoreo de crédito a través del servicio TrustedIDPremier requiere que cualquiera que revise sus datos renuncie a su derecho a demandar a la compañía. Además, los clientes que se inscribieron para la oferta “gratis” después de un período de tiempo se cobrará por el servicio.

Equifax revisó sus políticas a raíz de la reacción negativa.

“Está tomando tiempo cero para responder, lo que también es una señal reveladora de que no está haciendo ping a una base de datos segura del Seguro Social con millones de registros”, señaló Paul Teich, analista principal de Tirias Research.

“Esto es peor que un cebo y un interruptor, Equifax está proporcionando respuestas completamente al azar sin siquiera buscar los últimos seis dígitos del campo Social”, dijo a LinuxInsider.

Los consumidores que basan sus respuestas en estas respuestas están haciendo poco más que seguir un generador de respuesta aleatoria

Las brechas reales no son evitables, señaló, ya que un hacker experto que quiere acceder a sus datos personales lo hará si se esfuerza lo suficiente – pero ese no era el problema en el caso de Equifax.

El almacenamiento de datos financieros de los consumidores de cualquier tipo en una base de datos sin cifrar es totalmente evitable, dijo Teich, y no tiene nada que ver con Apache o open source en general.

Add a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *