Onderzoeker: ‘Ik waarschuwde Equifax half jaar voor aanval over lek dat bij hack misbruikt werd’

Equifax

Het Amerikaanse kredietbureau Equifax maakt eind september bekend het slachtoffer te zijn geworden van een grote hack. Daarbij werd de data van 145 miljoen Amerikanen gestolen. Maar nu blijkt dat die hack met gemak voorkomen had kunnen worden. Een beveiligingsonderzoeker die anoniem wil blijven zegt tegenover Motherboard namelijk dat hij Equifax in december 2016 al waarschuwde over kwetsbaarheden.

De onderzoeker ontdekte eind vorig jaar dat er een website van Equifax was waarmee hij toegang kon krijgen tot de persoonlijke data tot de persoonlijke gegevens van alle Amerikanen. De pagina leek te zijn ontwikkeld voor werknemers van het bedrijf. Maar iedereen zou er bij kunnen komen, omdat er geen beveiliging was opgezet.

Via zoekvelden op de website kon de onderzoeker alle informatie omhoog halen. Hij downloadde vervolgens gegevens van honderdduizenden Amerikanen. Daarmee wilde hij de kwetsbaarheden in het systeem aan Equifax tonen.

De onderzoeker zegt verder dat hij de controle over vijf verschillende servers van het kredietbureau kon overnemen. Bovendien draaiden verschillende servers nog op verouderde software.

Bij de hack werd de persoonlijke data van ruim 145 miljoen Amerikanen gestolen. Het gaat onder meer om burgerservicenummers, adressen en geboortedata.

Bij Equifax gemeld

De onderzoeker zegt de kwetsbaarheden in december vorig jaar te hebben ontdekt. Vervolgens zou hij ze direct bij het bedrijf gemeld hebben. Maar de website werd pas in juni offline gehaald, aldus de onderzoeker.

De gevolgen waren groot. Hackers drongen op 13 mei voor het eerst de systemen van Equifax binnen en op 30 juli voor de laatste keer. Het bedrijf ontdekte de hack op 29 juli. Maar toen waren er al burgerservicenummers, adressen en geboortedata van 145 miljoen Amerikanen gestolen.