Kredietregistratiebureau Equifax werd vorige week in verlegenheid werd gebracht na een hack, waarbij gegevens van 143 miljoen mensen op straat zijn beland. Nu mag het bedrijf zich opnieuw in een hoekje gaan schamen, want een tool van de Argentijnse tak van het bedrijf werd beveiligd met de combinatie admin/admin voor gebruikersnaam en wachtwoord.
Dat schrijft beveiligingsonderzoeker Brian Krebs op zijn blog. Het lek werd gevonden door twee Argentijnse medewerkers van het beveiligingsbedrijf Hold Security. Equifax heeft de tool waarom het gaat inmiddels helemaal offline gehaald, nadat het bedrijf door Krebs op de hoogte werd gesteld.
Als kredietregistratiebureau beoordeelt Equifax de kredietwaardigheid van mensen, maar klanten kunnen een beoordeling aanvechten als ze van mening zijn dat die informatie niet klopt. De uit Argentinië afkomstige medewerkers van Hold Security ontdekten de slechte beveiliging in een online tool waarmee medewerkers van Equifax dit verweer van klanten konden beheren.
Eenmaal binnen, zagen de onderzoekers meer dan 14.000 dossiers van Argentijnen die ooit contact hebben opgenomen met Equifax. De ethische hackers zagen daar onder meer de naam, het geslacht en de Argentijnse variant van het burgerservicenummer van Equifax-klanten.
Medewerkers
Ook zagen zij de namen van meer dan honderd medewerkers van Equifax, hun e-mailadres, persoonlijke identificatienummer en gebruikersnaam om in te loggen. Door de HTML-code van de pagina te bekijken, konden de ethische hackers bovendien achterhalen welke wachtwoorden bij welke gebruikersnaam hoorde.
Wat bleek? Net als de admin/admin-combinatie waren de de wachtwoorden van medewerkers hetzelfde als hun gebruikersnaam. Die gebruikersnaam bestond overigens uit slechts de achternaam van de medewerker, soms met een initiaal van de voornaam. Dat betekent dat iedereen die de achternaam van een medewerker kende, toegang tot deze gegevens kon krijgen.
Ondertussen is de Federal Trade Commission een onderzoek gestart naar de hack bij Equifax in de Verenigde Staten, meldt Reuters.