Equifax aangevallen via oud lek in Apache Struts

hacker4-gabor-kalman

Kredietverstrekker Equifax bevestigt dat cybercriminelen zijn database zijn binnengedrongen door een bekende kwetsbaarheid in Apache Struts te misbruiken. Deze kwetsbaarheid werd in maart al door The Apache Software Foundation gedicht, wat betekent dat Equifax deze update niet heeft geïnstalleerd.

Aanvallers wisten medio mei binnen te dringen op systemen van Equifax en gegevens van 143 miljoen Amerikanen te stelen. De aanval werd pas op 29 juli opgemerkt, maar pas in september naar buiten gebracht. Al langer bestond het vermoeden dat hierbij misbruik is gemaakt van een kwetsbaarheid in Apache Struts. Equifax bevestigt nu dat dit het geval is en geeft aan dat hierbij misbruik is gemaakt van de kwetsbaarheid CVE-2017-5638. Deze kwetsbaarheid maakt het mogelijk servers over te nemen waarop Apache Struts-gebaseerde applicaties draaien. Dit beveiligingslek is door The Apache Software Foundation op 6 maart gedicht met behulp van een update.

Equifax is inmiddels tientallen keren aangeklaagd door boze klanten die een schadevergoeding eisen voor het feit dat hun data is gestolen. Ook heeft de Amerikaanse staat Massachusetts inmiddels aangekondigd aan rechtszaak tegen Equifax voor te bereiden. Andere staten waaronder New York, Illinois, Pennsylvania en Connecticut zijn een onderzoek gestart naar het datalek.

Meer over
Lees ook
Cyber Defence moet innovatie versnellen

Cyber Defence moet innovatie versnellen

Wat meer optimisme over onze weerbaarheid voor cyberaanvallen is goed voor Nederland, vindt Roel van Rijsewijk, directeur Cyber Defence bij Thales. Het is ook goed dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid onlangs in het Cybersecuritybeeld Nederland 2019 opnieuw de noodklok luidde over de kwetsbaarheid van de Nederlandse...

'De Benelux loopt achter op het gebied van cybersecurity, India presteert het best'

'De Benelux loopt achter op het gebied van cybersecurity, India presteert het best'

Organisaties over de hele wereld lopen vast in hun voortgang op het gebied van cybersecurity en riskeren verlamming nu cybercriminelen steeds geavanceerder te werk gaan. Dit blijkt uit het rapport 2019 Risk:Value – ‘Destination standstill. Are you asleep at the wheel?’ van NTT Security, een gespecialiseerd beveiligingsbedrijf en expertisecentrum voor...

Cybersecurity vitale waterwerken niet waterdicht

Cybersecurity vitale waterwerken niet waterdicht

Tunnels, bruggen, sluizen en waterkeringen kunnen nog beter worden beveiligd tegen cyberaanvallen. Rijkswaterstaat heeft de afgelopen jaren veel werk verzet en noodzakelijke maatregelen in kaart gebracht om waterkeringen beter te beveiligen. Maar die veiligheidsmaatregelen zijn niet allemaal uitgevoerd. De Algemene Rekenkamer constateert dat de minister...