Equifax の Web 設定の安全性に関するさらなる証拠が浮上し、独立系セキュリティ研究者の Scott Helme 氏が Equifax のセキュリティ ヘッダー構成にあらゆる種類の問題を発見したと報告しています。
ヘルメ氏の調査結果は、エキファックスのCEOが来月初めに議会に出席する日程が確認されたことを受けて発表されたもので、FTCは信用調査機関を調査中であると発表した。
Equifaxのセキュリティヘッダー構成
「ヘッダーの多くは基本的な事項に対処するためのものですが、HTTPS 経由でサービスを提供するサイトとしては、訪問者にさらに高いレベルの保護を提供するために、HSTS や CSP などの機能を有効にする必要があります」とヘルメ氏はEl Regに語った。
「重複したヘッダーや競合する値など、サイト上で現在発生している誤った設定は、なぜ基本的な部分が適切に行われていないのかという疑問を生じさせます。」
Equifaxは今週初め、ハッカーがApache Strutsの脆弱性(CVE-2017-5638)を悪用してシステムに侵入したことを認めました。この脆弱性は3月7日から修正可能でしたが、Equifaxは迅速に修正パッチを適用していませんでした。侵入は2ヶ月以上も経ってからようやく検知されました。
この情報漏洩は5月中旬に始まり、7月下旬に発覚したが、公表されたのは先週になってからで、米国の消費者1億4,300万人と、まだ公表されていない数の英国人とカナダ人が影響を受けた。
犯罪者たちは、数百万人のアメリカ人の氏名、社会保障番号、生年月日、住所、そして場合によっては運転免許証番号、さらには20万9000人の米国消費者のクレジットカード番号にアクセスしました。この悲惨な事件全体は、いくつかの重要な疑問を提起しています。
エクイファックスの最高財務責任者(CFO)を含む幹部3人は、情報漏洩が発覚した後、公表される前に、消費者信用情報機関の株式を合計180万ドル分売却した。エクイファックスは、幹部らは「株式を売却した時点では、侵入があったことを全く知らなかった」と述べている。
米連邦取引委員会のデータプライバシー監視機関は、異例の措置として、エキファックスの情報漏洩に関する調査を開始したことを認めた。
エクイファックスの最高経営責任者リチャード・スミス氏は、10月初旬に議会議員の前で証言するよう求められています。スミス氏は10月3日に下院エネルギー・商業委員会に出席する予定です。®
ブートノート
別のセキュリティ研究者は、数年前にEquifaxに登録するために独自に使用した使い捨てのメールアドレスにスパムメールが届くようになったと報告したが、データが外部に漏れたことを示す広範な証拠はまだ見つかっていない。
共有したい情報がある場合は、こちらにご記入ください。
