הדליפה מ:Equifax- המלצות למשקי בית וארגונים מטעם הרשות הלאומית להגנת הסייבר
מאת:
מערכת Telecom News, 11.9.17, 15:51
ב-7.9.17 פרסמהEquifax פרטים ראשוניים על אירוע סייבר בארגון וגנבת פרטים אישיים העלולים להשפיע על 143 מיליון לקוחות. סיכום האירוע עם המלצות רלוונטיות ללקוחות פרטיים וארגונים בארץ.
הרשות הלאומית להגנת הסייבר
מדווחת היום, שהפרטים האישיים שדלפו כוללים שמות,
Social Security Numbers (מזהה מספרי המשמש לקבלת הטבות שונות, ומשמש דה-פקטו כתחליף למספר ת.ז. בארה"ב), תאריכי לידה, כתובות ובמקרים מסוימים גם מספרי רישיון נהיגה. בנוסף דלפו פרטי כרטיסי אשראי של 209 אלף לקוחות מארה"ב, וכן פרטים מזהים של לקוחות הכלולים ב-182 אלף מסמכים המתעדים מקרים של תשלומים במחלוקת.
החברה אוספת מידע על צרכנים מספקי אשראי שונים ומספקת מידע זה לגופים פיננסיים לצורך הערכת יכולת ההחזר של הלקוח וקביעת מסגרת האשראי ועלותה. החברה היא אחת מ-3 החברות השולטות בתחום זה בשוק האמריקאי.
עפ"י הצהרת החברה, התקיפה אירעה בין מאי ליולי באמצעות ניצול חולשה באפליקציית
WEB.
דיווחים לא מאומתים ברשת טוענים, שהפריצה בוצעה ע"י פגיעות ברכיב
Struts של
Apache, אך לא ידעו לציין האם מדובר בפגיעות חדשה, שנחשפה לפני מספר ימים, או בפגיעות ישנה יותר.
ב-2017 פורסמו עד כה 4 פגיעויות, שאפשרו הרצת קוד מרחוק (
RCE) ברכיב תוכנה זה.
2 התרעות פורסמו ע"י הרשות הלאומית להגנת הסייבר: א. פגיעות חמורה ב-
Apache Struts 2.5(ב-ס-278)
פורסם באתר הרשות ב-6.9.17 סימוכין ב-ס-42.
ב. פרצת אבטחה חמורה ב-
Apache Struts 2 (ב-ס-42)
פורסם באתר הרשות ב-12.3.17 סימוכין ב-ס-278.
החברה הקימה
אתר ייעודי עבור לקוחותיה לצורך מעקב אחר האירוע והטיפול בו. בנוסף, החברה תעדכן את הלקוחות, שנפגעו מהאירוע, ע"י הודעה בדואר.
המלצות:
לקוחות פרטיים
- החברה ציינה, שפרטי 209 אלף כרטיסי האשראי שנגנבו שייכים ללקוחות תושבי ארה"ב, לכן הסיכון לאזרחים ישראלים הוא רק לאלה שהם גם בעלי אזרחות ארה"ב.
- נתונים אישיים עשויים לשמש במקרי הונאה וגניבת זהויות. אזרחים ישראלים בעלי אזרחות ארה"ב, שפרטי מידע אישי עליהם דלפו באירוע זה, צריכים לעקוב אחר חיובי האשראי השונים שלהם ולהתריע מיידית למוסדות הפיננסיים, שהם לקוחותיהם, על כל אירוע חריג.
- מומלץ ללקוחות, שפרטיהם דלפו, להחליף סיסמאות גישה לאתרים פיננסיים.
- מומלץ להיעזר במידע באתרי ה-FTC:
ארגונים
- מומלץ לארגונים, שעושים שימוש ברכיבי Apache Struts, לבחון את משמעות עדכון התוכנה לגרסה, שאינה פגיעה, ולבצע עדכון זה בהקדם האפשרי. הגרסאות העדכניות נכון לתאריך כתיבת מסמך זה הן 2.5.13 ו-2.3.34.
- מומלץ לבצע בדיקה עם חברות WAF מובילות, שאכן מוצריהן מזהים את החולשה ומונעים את ניצולה.
- מומלץ לכלל הארגונים, שמפעילים אתרי WEB מוגני WAF, לוודא, שהחתימות המתאימות לזיהוי הפגיעויות האחרונות קיימות ומופעלות במוצר. להלן מספר קישורים ליצרנים בנושא זה:
- מומלץ לשקול הפעלת חתימות מתאימות בתוכנת IPS/IDS כגון SNORT, לזיהוי ניסיונות תקיפה באמצעות פגיעויות אלו. חתימות אלו תהיינה יעילות רק אם התעבורה לאתר אינה מוצפנת (HTTP בלבד), או שנעשה שימוש בציוד ייעודי לפתיחת ההצפנה לטובת בדיקתה במוצר IPS/IDS.
- חברת CISCO הפיצה חוק SNORT (44315) לזיהוי ניסיונות שימוש בחולשה 2017-9805CVE-. כ"כ, זיהתה החברה ניסיונות תקיפה באמצעות ניצול פגיעות זו.