Hoje, dia 8 de Setembro, o vazamento de dados da Equifax completa exatamente um ano: neste mesmo dia, no ano passado, a empresa admitiu em comunicado que dados de 145 milhões de americanos ficaram totalmente expostos. Desde seus números de seguro social até seus salários. Por coincidência, ontem o Government Accountability Office (GAO), agência do governo americano que fiscaliza o Congresso, publicou um relatório detalhando como aconteceu a invasão e como a empresa respondeu durante e após o incidente.
O relatório diz que em 8 de março de 2017 a Apache Foundation publicou um patch para corrigir a vulnerabilidade que havia na plataforma de desenvolvimento Apache Struts (CVE-2017-5638). Naquele momento, hackers estavam explorando a vulnerabilidade para dominar os aplicativos desenvolvidos por meio dela. No mesmo dia, o US-CERT emitiu um alerta de segurança avisando as empresas dos EUA sobre essa falha e seus riscos. O alerta correu o mundo, espalhado por profissionais de segurança.
Os gerentes de TI da Equifax fizeram circular internamente esse comunicado do US-CERT por e-Mail, para em uma lista de endereços da empresa. E aí os problemas começaram. Acontece que a lista estava desatualizada e ninguém tinha conhecimento disso. Ela não incluía todos os administradores de sistemas, e foi isso que levou a uma atualização incompleta dos servidores da Equifax. Em 10 de março, dois dias após o alerta do US-CERT, os invasores começaram a fazer scan nos servidores em busca justamente daquela vulnerabilidade.
Foi assim que eles descobriram um servidor hospedando o portal de contestações, rodando uma versão vulnerável do Struts. Por meio da vulnerabilidade os invasores obtiveram acesso ao sistema, conferiram suas permissões mas não pegaram nada. Uma semana após aquele aviso do US-CERT, a equipe da Equifax checou seus sistemas em busca da vulnerabilidade do Struts e o portal de contestações não parecia vulnerável. No entanto, os invasores já tinham obtido as credenciais de acesso. E voltaram no dia 13 de Maio, com um plano e as ferramentas para executá-lo.
9 mil queries
Foi na segunda invasão, segundo informou a Equifax, que os hackers começaram a fazer queries de SQL aos vários bancos de dados, poro meio do portal de contestações. A resposta eram dados pessoais. Diz o relatório que “essa busca os levou a um repositório de dados contendo PII (informações pessoais de identidade), bem como nomes de usuário e senhas não criptografados que poderiam fornecer aos atacantes acesso a vários outros bancos de dados da Equifax”. Com essas informações, o alcance da invasão passou de três bancos de dados para 48.
O relatório diz que isso só foi possível porque a Equifax não separou seus bancos em redes menores, permitindo assim que um ou mais invasores alcançassem todos os dados de clientes. Depois de fazerem a extração, os dados foram baixados em arquivos pequenos, com protocolos padrão web criptografados, para fazer com que o tráfego de rede parecesse normal. Os dados foram exfiltrados durante 76 dias. Isso só foi descoberto em 29 de julho de 2017, durante as verificações de rotina do status operacional e da configuração dos sistemas de TI.
Certificado vencido
A Equifax tinha um appliance destinado a inspecionar o tráfego de rede. Acontece que ele não estava bem configurado e por isso não checou o tráfego criptografado em busca de sinais de atividade maliciosa. A configuração que faltava, segundo a Equifax, era um certificado, que expirou cerca de dez meses antes da violação, impedindo que o equipamento fizesse seu trabalho. Assim que o certificado foi renovado, o equipamento mostrou todos os sinais de alerta que indicavam o problema.
Depois de investigar o que estava acontecendo e descobrir a invasão, em 30 de julho de 2017 a equipe de TI derrubou o portal de contestações e no dia 31 informou o incidente ao CEO. Foi nesse momento que a empresa iniciou sua investigação interna, que culminou com o anúncio da violação em 8 de setembro de 2017. Antes do anúncio, várias pessoas ficaram sabendo do incidente. A Securities and Exchange Commission (SEC) dos Estados Unidos, equivalente à nossa Comissão de Valores Mobiliários, acusou dois executivos da Equifax de terem obtido informações privilegiadas e por causa disso vendido ações da empresa antecipadamente.
O relatório completo está em https://www.gao.gov/assets/700/694158.pdf
