Equifax was in maart al op de hoogte van de kwetsbaarheid die leidde tot hack

Equifax

Equifax wist al in maart van de kwetsbaarheid die uiteindelijk leidde tot een grootschalige hack. Dat blijkt uit een verklaring van Richard Smith, de voormalig CEO van het kredietbureau. Hij moet vandaag getuigen voor het Amerikaanse Congres over de hack. Bij de aanval werden de persoonsgegevens van 143 miljoen Amerikanen buitgemaakt.

Smith vertelt in zijn getuigenis hoe de hack is verlopen. Daaruit blijkt dat het kredietbureau al op 9 maart op de hoogte werd gesteld van een kwetsbaarheid in de software die door Equifax gebruikt wordt. Het gaat om de gratis serversoftware Apache Struts. Het Amerikaanse ministerie van Binnenlandse Veiligheid stelde het bedrijf op de hoogte van de kwetsbaarheid.

De voormalig CEO stelt verder dat er volgens protocol een melding is uitgestuurd naar de werknemers die de beveiligingsupdate moeten installeren. Maar dat blijkt nooit te zijn gebeurd. Op 15 maart werd er nog een aanvullende scan uitgevoerd, maar toen werden er geen kwetsbare computersystemen geïdentificeerd.

Hack

Op 13 mei zouden de hackers voor het eerst de systemen van Equifax zijn binnengedrongen. De laatste keer was op 30 juli. Het kredietbureau ontdekte de aanval op 29 juli, en in september werd het bekendgemaakt. Inmiddels zijn diverse topmensen binnen het bedrijf opgestapt, waaronder de twee mensen die verantwoordelijk waren voor de beveiliging.