黑客事故：如何偷走1.455亿用户数据

题记：各位看官，周三早上好。去年的泄露事件，近日终于出炉详尽报告，披露其中细节。导火索是由一个漏洞引发的，但这仅仅是开始，攻击者通过恶意代码提升至最高权限后，对Equifax公司的网络犹如无人之境，真是外松内不紧，内外堪忧。专家们披露了内网中4种因素进一步让黑客如鱼得水，比如了攻击者执行了9000次数据查询，而系统浑然不觉。导致结果的往往是多种原因，而并非一个原因就导致了一个不堪的结果，本次事故中，一共有五种原因被专家们还原，一个外部漏洞，加上4个内部管理上的重大瑕疵，成全了攻击者的乾坤大挪移，也还有可能隐含有其他原因，因为这报告是专家角度，如果攻击者也写一篇入侵报告，应该是另外一番风景。

美国政府问责局（简称 GAO）发布一份最新报告，披露了大量关于 Equifax（美国三大个人信用评估机构之一） 黑客攻击的详细信息，并且披露了导致数据泄露的多个因素。

事件回顾

Equifax 公司黑客入侵事件发生在2017年5月，共导致1.455亿用户信息暴露，黑客得以访问到姓名、社保号码、出生日期、居住地址甚至是一部分民众的驾驶证件号码与信用卡号码。

Struts 漏洞与Equifax数据泄露

当时攻击者利用了存在于Jakarta Multipart 解析器上传功能中的 CVE-2017-5638 Apache Struts 安全漏洞。此项漏洞允许攻击者向 Apache Web 服务器发出经过精心策划的恶意请求，进而获取对底层计算机的访问权限。

美国政府问责局（GAO）发布的这份关于 Equifax 入侵事件的报告，包含关于此事件的进一步细节。该报告由多位美国参议员及代表委托编写，基于 Equifax 本身提供的文件以及参与事件响应及调查的网络安全顾问的支持。报告中还提到了美国国税局（IRS）、社会保障管理局（SSA）以及美国邮政服务局（USPS）的相关文件。

漏洞披露后黑客进行过侦察

该报告证实，黑客攻击 Equifax 时确实利用到 Struts 漏洞，并在此漏洞公开披露数天后进行过一次侦察。

报告称，为了查找个人身份信息（简称PII），攻击者决定入侵在线门户，而非查询内部数据库。

报告指出，“2017年7月，Equifax系统管理员发现攻击者已经以未经授权的方式访问到用于保存消费者纠纷文件的在线门户网站（见图）。Equifax 此次遭遇入侵导致攻击者获取到至少1.455亿用户的个人信息。”

Equifax 公司用于76天时间才发现这起发生于2017年的大规模数据泄露事件。

Equifax四项工作严重失败导致数据泄露

专家们强调，Equifax 入侵事件主要源自安全团队控制下的四项主要工作的严重失败，分别为识别、检测、数据库分区访问以及数据治理。

对日志文件的分析结果显示，攻击者执行了约9000项查询以访问包含个人身份信息的数据。攻击者运行的9000条查询远远超过正常的查询执行数量，这突出了安全团队在控制能力方面的缺失。

Equifax公司官员表示，攻击者通过融入常规网络操作的方式掩饰自己的活动，而安全团队是在例行检查期间发现了这一事件。

设备配置错误未识别加密流量

这份报告进一步补充称，“根据 Equifax 的报告，网络管理员对 IT 系统的运行状态与配置进行例行检查之后，发现存在配置错误的设备允许攻击者与受感染的服务器进行通信，并可在未经检测的情况下窃取数据。”

“具体来讲，虽然 Equifax 安装了一台设备以检查网络流量或恶意活动证据，但错误配置允许加密流量在不经检查的前提下通过网络传递。”

数字证书过期近一年

问题的根本原因在于，Equifax 在黑客攻击发生的10个月之前，相关数字证书就已经过期。这意味着系统无法进行流量检查，而攻击者能够在未被检测到的情况下进行数据渗透。

报告提到，Equifax 表示，错误配置是由于过期数字证书未及时被替换为新证书而导致。

数字证书为加密电子令牌，用于验证服务器与系统。由于证书过期，系统无法检查加密流量。

网络管理员此后更换了过期证书，使得系统得以恢复对流量的检查。

缺乏网络分区

由于缺乏网络分区，攻击者能够访问众多内部数据库以及在线门户网站背后的数据。专家们同时指出，黑客访问到的多份档案的对应凭证以纯文本形式存储在一套数据库当中。

多位专家批评美国当局，表示尽管发布了相关报告，但仍然没有对 Equifax 采取任何实际行动。

要求问责局发布报告的参议员 Elizabeth Warren 称，“在公开2017年大规模违规事件的一年之后，Equifax 及其它大型信用报告机构仍然在利用同样的商业模式获利。然而，他们的这种商业模式并未能保护个人信息——特朗普政府与共和党控制下的国会并没有就此采取任何措施。”