როგორ მოქმედებს კიბერ შეტევა ორგანიზაციაზე – Equifax-ის მაგალითი

Equifax – საკრედიტო ინფორმაციების ერთ-ერთი უდიდესი კომპანიაა მსოფლიოში. მის ძირითად ბიზნესს სწორედ მომხმარებელთა საკრედიტო ინფორმაციების შენახვა წარმოადგენს. ამ ინფორმაციებზე დაყრდნობით კი ბანკები და სხვა საფინანსო ინსტიტუტები ადგენენ კრედიტების გაცემის რისკებს კონკრეტულ პიროვნებებზე.

კომპანია Equifax-მა მათ სისტემაში ჰაკერების შეღწევისა და დიდი რაოდენობით მომხმარებელთა ინფორმაციის გატაცების შესახებ განცხადება პირველად 7 სექტემბერს გააკეთა. ამ მომენტიდან სულ რაღაც 1.5 თვეში, 23 ოქტომბრისთვის ოფიციალურად კომპანიის საბაზრო ღირებულება 24%-ით დაეცა, ზოგიერთი მონაცემით კი – სულაც 30%-ით.

კომპანიის განცხადებით, სისტემაში შეღწევა ჰაკერებმა მაისში მოახერხეს და ივლისის ჩათვლით დათარეშობდნენ. თუმცა უახლესი კვლევები საშუალებას იძლევა ვარაუდისთვის, რომ ჰაკერებმა Equifax ჯერ კიდევ მარტში გატეხეს.

სანამ დეტალებზე გადავიდოდეთ, აქ შემოგთავაზებთ რა შედეგები მოიტანა ამ წარმატებულმა შეტევამ:

  • 143 მილიონი მომხმარებლის პირადი ინფორმაცია გახდა საჯარო – სახელები და გვარები, საიდენთიფიკაციო ნომრები (SSN; სოციალური უსაფრთხოების ნომერი), დაბადების თარიღები და მისამართები.
  • გასაჯაროვდა 11 მილიონი მომხმარებლის მართვის მოწმობა, 209,000 მომხმარებლის საკრედიტო ბარათის მონაცემები და 182,000 მომხმარებლის სასამართლოში მტკიცებულებად წარმოდგენილი დოკუმენტი.
  • დაზრალებულთა უმრავლესობა ამერიკის მოქალაქეები არიან – 143 მილიონი. ასევე ინგლისისა და კანადის მოქალაქეები, დაახლოებით 1 მილიონამდე.
  • სენატორმა ბრაიან შათსმა კრედიტების გაყინვა მოითხოვა და მასობრივი ზეწოლის შედეგად, Equifax იძულებული გახდა კრედიტების გაყინვა შესაბამისი მომსახურების ($20 თითოეულ მომხმარებელზე – 143 მილიონ მომხმარებელზე საკმაო ზარალი გამოდის) საფასურის მიღების გარეშე მოეხდინა 30 დღის ვადით. (კრედიტების გაყინვა ერთადერთი საშუალებაა ზემოთ აღნიშნული ჰაკით დაზარალებული მომხმარებლების დაცვისთვის)
  • Equifax ასევე იძულებული გახდა და უფასოდ სთავაზობს მომხმარებლებს საკრედიტო მონიტორინგისა და საიდენტიფიკაციო მონაცემების ქურდობისგან დაცვის სერვისებს. სავარაუდოდ, მცირე თანხა არც ეს დაუჯდება კომპანიას.
  • სან-ფრანცისკოს რწმუნებულმა დენის ჰერერამ სასამართლოში უჩივლა Equifax-ს იმისთვის, რომ „სათანადოდ ვერ დაიცვეს 15 მილიონი კალიფორნიელის სენსიტიური მონაცემები“.
  • ა.შ.შ-ს შემოსავლების სამსახურმა გაწყვიტა $7 მილიონიანი კონტრაქტი Equifax-თან.
  • 24 ოქტომბერს საინტერესო ფაქტი მოხდა. ამერიკის კონგრესმა და სენატმა მომხმარებელთა უფლებების წინააღმდეგ გაილაშქრა და მხარი დაუჭირა კანონში დამატებითი წესის ჩამატებას, რომელიც მომხმარებლებს Equifax-სთვის სასამართლოში ჩივილს უკრძალავს და არბიტრაჟისკენ მიუთითებს. მომხმარებლთა დაცვა როგორ ჩანს უფრო ნაკლებად მნიშვნელოვანი აღმოჩნდა ამ შემთხვევაში.
  • Equifax-ს შემოსავლების შესახებ სავალდებულო რეპორტის გაკეთებისთვის ვადა 9 ნოემბრამდე აქვს (40 დღით გადაიწია რეპორტის წარდგენის ვადამ კომპანიის მოთხოვნის საფუძველზე). მანამდე კი იძებნება ახალი: უფროსი აღმასრულებელი ოფიცერი (CEO), უფროსი უსაფრთხოების ოფიცერი (CSO) და უფროსი ინფორმაციული ზედამხედველობის ოფიცერი (CIO). როგორც ჩანს, ერთ შეტევას შეუძლია ბევრი აღმასრულებელი ერთდროულად „მოხსნას“ თანამდებობებიდან.

ისტორიული შეტევის მიზეზი ბევრს შეიძლება ძალიან სერიოზული ეჩვენოს და არ არის გამორიცხული ასეც იყოს, თუმცა, თუ კომპანიის წარმომადგენლებს ვენდობით, სისტემაში შეღწევის მიზეზი არც მეტი, არც ნაკლები – ერთი ინფორმაციული უსაფრთხოების სპეციალისტის მიერ უსაფრთხოების განახლების დროულად არდაყენება გახდა. ეს მიზეზი, ქვემოთ მოყვანილი ფაქტებით, საკმაოდ რეალური ჩანს.

საუბარია Apache Struts-ის ფრეიმვერქში არსებული სისუსტეზე, ნომრით –  CVE-2017-5638 ან  CVE-2017-9805. ამათგან პირველი, ცნობილია ჯერ კიდევ მარტიდან. სწორედ აქედან მოდის ვარაუდი, რომ ჰაკერების მიერ სისტემაში შეღწევა შეიძლებოდა მარტშივე მომხდარიყო.

მოგეხსენებათ, დიდი კომპანიები არაერთი მომწოდებლის პროგრამასა და თუ დამხმარე ბიბლიოთეკებს იყენებენ, რომლებშიც საშუალოდ 30-მდე სერიოზული უსაფრთხოების შეცდომა მაინც არის და აღმოჩენას ელოდება. ამდენი სისუსტის გამოსწორებას თავისთავად დრო სჭირდება.

მაშინაც კი, როდესაც კომპანია მუდმივ მონიტორინგს აწარმოებს, გამოსასწორებელი სისუსტეების რაოდენობა ხშირად რამდენიმე ასეულს აღწევს. ასეთი რაოდენობის სისუსტეებისთვის შესაბამისი პატჩების დაყენებას კი უმეტესად თვეები სჭირდება.

მთავარი მიზეზი, რა თქმა უნდა, ინფორმაციული უსაფრთხოების სპეციალისტთა სიმცირეა, რომლებიც ვერ აუდიან აუარება რაოდენობის სისუსტეების მოგვარებას. კომპანია კი ფინანსების დაზოგვის მიზნით უარს ამბობს, ინფორმაციული უსაფრთხოების უმნიშვნელოვანესი აქტივის – ინფორმაციული უსაფრთხოების სპეციალისტების შტატის გაზრდაზე. თანხების დაზოგვის მიზნით ბევრი კომპანია ასევე უარს ამბობს პატჩების დაყენების ავტომატური სისტემების შეძენასა და გამოყენებაზე (Enterpise Patch Management Systems). ამას ისიც ემატება, რომ მრავალ ადგილზე განთავსებული სხვადასხვა ფილიალები სათანადო კონტროლისა თუ ერთიანი უსაფრთხოების პოლიტიკის არარსებობის გამო, არსებულ სისტემებსაც კი არ იყენებენ ბოლომდე. შედეგად კი კომპანია მნიშვნელოვან ზიანს იღებს.

გადავიდეთ Equifax-ის კონკრეტულ შეცდომებზე, რომელთა ნაწილიც, ამჟამინდელი გადმოსახედიდან, საკმაოდ სახალისოდაც კი შეიძლება მოგეჩვენოთ.

Equifax-ს აქვს ცალკეული დანაყოფი თავისი თანამშრომლებით, რომელიც სპეციალიზდება ადამიანური რესურსების, ხელფასებისა და გადასახადების მენეჯმენტზე და ამ სერვისების ონლაინ მიწოდებაზე. ეს დანაყოფი ცნობილია სახელით TALX (იკითხება როგორც ‘talks’).

მიმდინარე წლის 17 მაისს ცნობილი გახდა, რომ TALX-ს ჰაკერებმა შეუტიეს და დიდი წარმატებითაც. კიბერ კრიმინალებმა მოახერხეს ონლაინ პორტალზე 4 ციფრიანი პინის დარესეტება (PIN reset), რომელსაც პაროლად (!) იყენებდნენ მომხმარებლები. რის შემდეგაც პერსონალურ კითხვებზე პასუხის გაცემით ამ მომხმარებელთა მონაცემები მოიპარეს.

TALX-ის ჰაკით დაზარალებულ კლიენტ კომპანიებს და ორგანიზაციებს შესაბამისი წერილები დაეგზავნათ (ამერიკაში მონაცემთა გაჟონვის შეტყობინება კლიენტებისთვის კანონით სავალდებულოა!). ამ წერილებიდან ვიგებთ, რომ ჰაკერები შეტევას აწარმოებდნენ 2016 წლის 17 აპრილიდან 2017 წლის 29 მარტამდე. თითქოს ის საკმარისი არ იყო, რომ თითქმის ერთი წელი კომპანიამ მონაცემთა გაჟონვის შესახებ არაფერი იცოდა, წერილებში ისიც აღიარეს რომ წარმოდგენა არ ჰქონდათ თუ რამდენი მომხმარებლის მონაცემებზე მოიპოვეს წვდომა ჰაკერებმა. ეს კი იმით ახსნეს, რომ სისტემაში შესვლა სწორი ID-ით და პაროლით მოხდა, რაც შეუძლებელს ხდიდა დაზარალებულთა რაოდენობის განსაზღვრას.

აქ ჩვენ აღარაფერს დავამატებთ, მხოლოდ ავივა ლიტანის (კომპანია Gartner-ის ანალიტიკოსის) კომენტარს შემოგთავაზებთ: “დაუჯერებელია, რომ Equifax მომხმარებელთა ასეთი მნიშვნელოვანი ინფორმაციის დასაცავად მხოლოდ 4 ციფრიან პინს იყენებს, გეგონება 1990 წელი იყოს”.

დავუბრუნდეთ მიმდინარე მოვლენებს, კერძოდ 17 სექტემბერს: Hold Security LLC-ის კიბერ სპეციალისტები იკვლევდნენ Equifax-ის სამხრეთ ამერიკაში წარმოებულ ონლაინ ფინანსურ ოპერაციებს, რა დროსაც წააწყდნენ საინტერესო ფაქტს – Equifax-ის არგენტინის საიტი, რომელიც რეპორტების მენეჯმენტს ახდენდა “დაცული იყო”, მსოფლიოში ყველაზე ცნობილი საიდენთიფიკაციო წყვილით: admin/admin

სისტემაში შესვლის შემდეგ შესაძლებელი იყო არგენტინაში ბაზირებული Equifax-ის ყველა – 111 თანამშრომლის მონაცემების ნახვა და შესწორება, ასევე მომხმარებლების დამატება ან არსებული მომხმარებლების წაშლა. აქვე ისიც უნდა დავამატოთ აუცილებლად, რომ მომხმარებლის მონაცემების შეცვლას რომ დააჭერდით, სხვა მონაცემებთან ერთად გვერდზე ჩნდებოდა შესაბამისი მომხმარებლის ფიფქებით დაფარული მიმდინარე პაროლი. ასეთი პაროლის გამოჩენა კი ელემენტარულზე ელემენტარულია.

შეტყობინების შემდეგ ეს საიტი მომენტალურად გათიშეს.

მოკლედ შევნიშნავთ კიდევ 2 ფაქტს: ზემოთ ნახსენები TALX ონლაინ პორტალზე ასევე ინახავს მომხმარებელთა შემოსავლებს და ანაზღაურებას, რომელსაც კომპანიები აწვდიან. მომხმარებლებს კრედიტის აღებისას შეუძლიათ სახელფასო ფურცლის მაგივრად ამ ონლაინ პორტალიდან წარმოადგინონ მონაცემები. ბუნებრივია ჯერ სისტემაში შესვლა უნდა მოხდეს, მარამ როგორც აღმოჩნდა მომხმარებელთა ძებნის ფუნქციაში არსებული სისუსტის მიზეზით, ნებისმიერი მომხმარებლის სახელფასო ანაზღაურებისა და სახელფასო ისტორიის ნახვა შეიძლებოდა… 10 წლის წინანდელი მონაცემებისაც კი. ეს შეცდომა უკვე გამოსწორებულია.

მეორე ფაქტი საკმაოდ უცნაურია: 11 ოქტომბერს ცნობილი გახდა, რომ Equifax-ის საკრედიტო მხარდაჭერის ვებ საიტი ვირუსს ავრცელებდა. კერძოდ, საიტზე შესვლისას ვარდებოდა ფანჯარა, რომელიც Adobe Flash Player-ის განახლების დაყენებას ითხოვდა, რეალურად კი Adware-ის ოჯახის წარმომადგენელი Adware.Eorezo იყო, რომელიც დაყენების შემდეგ ბრაუზერში რეკლამებს აგდებს და ზოგჯერ სპეციალურ toolbar-საც აყენებს. Equifax საკმაო ხანს იკვლევდა მიზეზებს და რამდენიმე დღეში გაკეთა განცხადება, რომ კომპანიის ერთ-ერთი ვენდორის მოწოდებულ კოდში იყო ჩაშენებული Eorezo ვირუსი… თუმცა კონკრეტულად რომელი კომპანიის მოწოდებულ კოდში იყო ჩაშენებული ვირუსი Equifax-ს არ დაუსახელებია, რაც აჩენს გარკვეულ ეჭვებს…

ჩვენს მკითხველს წინა სტატიებიდანაც ეცოდინება რამდენად სახიფათოა ფინანსების დაზოგვა უსაფრთხოების შემცირების ხარჯზე. Equifax-ის შეტევა კი უფრო ამყარებს ისედაც ცნობილ ჭეშმარიტებას – თუ ორგანიზაციას სურს ინფორმაციული უსაფრთხოება, უნდა ჰყავდეს შესაბამისი რაოდენობისა და ცოდნის მქონე სპეციალისტი. ჯობია ხარჯები დაზოგო თუნდაც მმართველი საბჭოს შეხვედრებზე, ვიდრე კიბერ უსაფრთხოებაზე.