Dáta, ktoré spoločnosti ukradli, sú podľa generálneho prokurátora pre technologický pokrok Číny cenné.
Americké ministerstvo spravodlivosti v pondelok obvinilo štyroch príslušníkov čínskej armády (PLA) z heknutia úverovej agentúry Equifax. Hekeri, ktorých údajne zamestnáva 54. výskumný inštitút armády, v roku 2017 nepovolene prenikli do systémov spoločnosti a ukradli osobné údaje o približne 150 miliónoch Američanov.
Podľa vyšetrovania umožnila prienik do systémov zraniteľnosť vo webovom rozhraní Apache Struts. Útočníci následne niekoľko týždňov získavali prihlasovacie údaje od rôznych účtov a pátrali po databázach s údajmi. Okrem mien, dátumov narodenia či čísiel sociálneho poistenia sa im podarilo získať tiež 10 miliónov čísiel vodičských preukazov, 200-tisíc čísiel kreditných kariet a obchodné tajomstvá.
Napriek tomu, že ukradnuté dáta preposlali cez viac ako tridsať serverov z rôznych krajín, z útoku ich usvedčili čínske IP adresy, z ktorých odoslali zhruba 9 000 dotazov do systémov Equifaxu.
„Dnes ženieme hekerov z PLA k zodpovednosti za ich trestné činy a pripomíname čínskej vláde, že máme kapacity na to, aby sme odstránili rúško internetovej anonymity a našli hekerov, ktorých táto krajina opakovane nasadzuje proti nám,“ uviedol generálny prokurátor William P. Barr.
Zároveň dodal, že ukradnuté dáta majú pre Čínu ekonomickú hodnotu, pretože ich môže využiť na rozvoj umelej inteligencie či vytvorenie „spravodajských balíčkov“.
Zlyhal manažment, organizácia aj pracovníci
Podľa správy americkej Snemovne reprezentantov z roku 2018 mohla spoločnosť predísť incidentu, pokiaľ by bola mala lepšie nastavenú organizačnú štruktúru a dodržiavala svoje pravidlá informačnej bezpečnosti.
Equifaxu však chýbali zodpovedné osoby a jasne vymedzené role v IT manažmente. To v konečnom dôsledku viedlo k tomu, že zraniteľný softvér, rovnako ako napríklad zhruba 300 zastaraných SSL certifikátov, nikto neaktualizoval.
Ako druhú vážnu chybu správa uvádza, že spoločnosť nedokázala prispôsobiť informačné systémy svojej obchodnej stratégii. Obrovské množstvo dát, ktoré v priebehu rokov nazbierala, sa totiž nachádzalo na starých, špeciálne prispôsobených počítačových systémoch, ktoré sťažovali prácu IT pracovníkom pri ich zabezpečovaní.
(VK)