La storia di Equifax fa acqua da tutte le parti. Si era scoperto a settembre che la compagnia, una delle tre più grandi società di controllo crediti degli Stati Uniti, era stata depredata in primavera dei dati di 143 milioni di cittadini statunitensi. Oggi si apprende che a essere rubati sono stati anche i dati di 400mila cittadini del Regno Unito e di 100mila clienti canadesi. Ma Equifax ha ammesso anche di aver subito un primo attacco informatico, mai rivelato, a marzo. E mentre ammettono che dopo quella prima intrusione i sistemi non furono aggiornati, si scopre oggi che le password di utenti e impiegati dell’azienda erano in vendita online.
Partiamo dall’inizio
Il 7 settembre Equifax ha fatto sapere di aver subito un’intrusione informatica, avvenuta a maggio ma scoperta solo il 29 luglio. L’azienda ha subito fatto sapere di essersi rivolta a Mandiant, una sorta di pronto intervento in caso di attacchi informatici, che avrebbe dovuto mettere in sicurezza la rete e quantificare l’entità del furto. Mandiant è di proprietà di FireEye, una società di CyberSecurity specializzata nella fornitura di servizi di sicurezza informatica che in passato ha lavorato anche per la JP Morgan Chase e la Sony Pictures.
In seguito all’intervento di Mandiant si scopre che l’intrusione è avvenuta grazie a una falla nel software della società, che ha dato agli attaccanti l’accesso agli archivi della compagnia. Ma il 19 settembre Equifax ha ammesso di aver subito una prima violazione a marzo, per la quale si rivolse sempre a Mandiant. Secondo un portavoce dell’azienda i due attacchi non sarebbero correlati, ma una fonte di Bloomberg ha rivelato che gli hacker responsabili dell’attacco di marzo, scoperto e taciuto, e quello di maggio, scoperto a luglio, sarebbero gli stessi. La falla che ha consentito il secondo attacco è stata in effetti scoperta a marzo, come la stessa Equifax ha confermato. Ma gli aggiornamenti necessari per mettere in sicurezza il sistema sono stati installati solo a luglio.
Cosa si poteva fare e non è stato fatto
Equifax continua a sostenere che è stato fatto “tutto il possibile” per proteggere le informazioni dei loro clienti, ma all’appello degli interventi necessari manca proprio quell’aggiornamento che, se fatto per tempo, avrebbe probabilmente risparmiato all’azienda tutti questi problemi. E se da un lato questa notizia contribuisce al crollo del titolo in borsa - dove invece FireEye vola - l’azienda è sottoposta a numerose inchieste, delle quali una perché tre dirigenti sono accusati di aver venduto 1,8 milioni di dollari di azioni prima che l’attacco informatico diventasse pubblico.
Ma cosa fa esattamente Equifax?
E' una società di controllo crediti svolge il compito di assegnare un punteggio dal quale dipende la possibilità del cittadino di chiedere un prestito, aprire un conto, oppure comprare una casa o una macchina. Questo rende incredibilmente preziosi i dati che custodisce, che sono numeri di carte di credito, identificativi delle patenti di guida, codici di previdenza sociale, indirizzi e date di nascita. A settembre la stessa società aveva fatto sapere che erano stati rubati i dati di oltre 143 milioni di cittadini americani.
Il 20 settembre l’azienda invece dichiara in un comunicato che “Mentre la nostra investigazione procede e questa informazione non è definitiva, a questo punto crediamo che l’incidente coinvolga potenzialmente l’accesso alle informazioni personali di approssimativamente 100mila clienti canadesi”. Che si aggiungono ai dati di 400mila dati di cittadini del Regno Unito ai quali gli hacker “potrebbero aver avuto accesso”.
Tutto già in vendita? Forse
Che questa enorme mole di dati sia stata già messa in vendita sulla darknet - una rete criptata a cui si può accedere solo attraverso software dedicati e che consente di nascondere la propria identità dietro anonimato - ancora non c’è prova. Anche se gli esperti di Owl Cyber Security hanno rilevato tracce di potenziali venditori, con tanto di possibilità di pagare in bitcoin. Le pagine in questione non sono più attive ed è probabile che gli annunci fossero falsi.
Ma se non è possibile determinare che fine abbiano fatto i dati rubati a Equifax, secondo Owl ci sono prove della presenza di credenziali Equifax su un sito russo nella darknet. Le informazioni trovate riguarderebbero oltre duemila account email “equifax.com” con relative password e nomi degli utenti, di proprietà sia di dipendenti dell’azienda che di clienti.
Questa notizia trova conferma nel report dell’azienda specializzata in sicurezza informatica Comodo Group, che ha trovato 388 account di utenti e dipendenti Equifax in vendita sulla darknet. Secondo gli analisti le credenziali, complete di password, sarebbero state rubate sfruttando un Pony malware, virus che una volta sottratte le password dal computer cancella se stesso per non essere rintracciato. Secondo Comodo Group, le password rubate sarebbero state molto semplici, senza simboli speciali o facilmente indovinabili. Circostanza che, se confermata, aggraverebbe la situazione di Equifax, che proprio per la natura del suo lavoro dovrebbe assicurarsi che le più basilari norme di sicurezza informatica siano rispettate.