Equifax: “Cybercriminelen misbruikten oud Apache Struts-lek’
Kredietverstrekker Equifax bevestigt dat cybercriminelen zijn database zijn binnengedrongen door een bekende kwetsbaarheid in Apache Struts te misbruiken. Deze kwetsbaarheid werd in maart al door The Apache Software Foundation gedicht, wat betekent dat Equifax deze update niet heeft geïnstalleerd.
Aanvallers wisten medio mei binnen te dringen op systemen van Equifax en gegevens van 143 miljoen Amerikanen te stelen. De aanval werd pas op 29 juli opgemerkt, maar pas in september naar buiten gebracht. Al langer bestond het vermoeden dat hierbij misbruik is gemaakt van een kwetsbaarheid in Apache Struts. Equifax bevestigt nu dat dit het geval is en geeft aan dat hierbij misbruik is gemaakt van de kwetsbaarheid CVE-2017-5638. Deze kwetsbaarheid maakt het mogelijk servers over te nemen waarop Apache Struts-gebaseerde applicaties draaien. Dit beveiligingslek is door The Apache Software Foundation op 6 maart gedicht met behulp van een update.
Equifax is inmiddels tientallen keren aangeklaagd door boze klanten die een schadevergoeding eisen voor het feit dat hun data is gestolen. Ook heeft de Amerikaanse staat Massachusetts inmiddels aangekondigd aan rechtszaak tegen Equifax voor te bereiden. Andere staten waaronder New York, Illinois, Pennsylvania en Connecticut zijn een onderzoek gestart naar het datalek.
Meer over
Lees ook
Gegevens van Amerikaanse militairen op straat door datalek
Persoonlijke gegevens van een onbekend aantal Amerikaanse militairen is uitgelekt. Het lek is ontstaan bij een extern bureau dat is ingehuurd door het Amerikaanse ministerie van Defensie. Het lek is ontdekt door beveiligingsonderzoeker Chris Vickery van MacKeeper Security Center. Vickery meldt aan ZDNet dat de gegevens waren opgeslagen op een server van Potomac Healthcare Solutions, dat is gecontracteerd door het ministerie van Defensie. Door een beveiligingsprobleem met deze server waren de gegevens eenvoudig toegankelijk voor onbevoegden. Toegang tot staatsgeheimen Onder andere gegevens van1
Sommige Yahoo-medewerkers waren al in 2014 op de hoogte van grootschalige datalek
Yahoo geeft toe dat sommige van haar medewerkers in 2014 al op de hoogte waren van de grootschalige datadiefstal die in dat jaar plaatsvond. Hierbij werden gegevens van minstens 500 miljoen gebruikers gestolen. Dit blijkt uit een document dat Yahoo heeft ingediend bij de US Securities and Exchange Commission (SEC). De bekentenis is opvallend, aang1
'Bestuurders moeten meer aandacht besteden aan beveiliging van IoT'
De beveiliging van slimme apparaten die met het internet zijn verbonden, staat te weinig op het netvlies van bestuurders. Nu investeert een minderheid (46%) in de beveiliging van deze zogenoemde Internet of Things-apparaten. Daarmee valt het buiten de top-5 van investeringsgebieden rondom cybersecurity. Dat zegt Gerwin Naber, verantwoordelijk voor1