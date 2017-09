Die US-Kollegen von ZDNet.com stellen unmissverständlich fest: „Falls Sie es nicht mitbekommen haben: Equifax scheint völlig ahnungslos zu sein, was seine eigene Technik betrifft.“ Dies beschreibt sehr gut die Wut, die das Unternehmen gerade in den USA trifft. Equifax waren von noch unbekannten Angreifen Daten gestohlen worden – nämlich die Identitätsdaten der Hälfte der US-Bevölkerung. Dazu kamen noch 182.000 Datensätze mit Kreditstreitigkeiten und 209.000 Nummern von Kreditkarten.

Equifax ist das größte der drei „Credit Bureaus“ der USA. Ähnlich der Schufa oder Creditreform in Deutschland legen diese Privatunternehmen den Credit Score jedes US-Bürgers fest. Mit einem sehr schlechten Score oder dem völligen Fehlen solcher Daten ist es in den Vereinigten Staaten nahezu unmöglich, irgend eine Form von Geschäft zu machen. Das gilt sogar für einen Arbeitsvertrag, wenn beispielsweise der Angestellte auch finanzielle Verantwortung tragen soll. Die Credit Bureaus hantieren also mit sehr sensiblen persönlichen Daten.

Daher ist die Aufregung über das Datenleck nun groß. Und sie legt sich auch nicht, denn ausgerechnet eine Maßnahme, die den betroffenen Menschen helfen soll, ist ihrerseits wieder eine Quelle für weiteren Datendiebstahl. Wie ZDNet.com berichtet, ist eine absichtlich nicht verlinkte neue Webseite von Equifax äußerst unsicher. Die Seite soll prüfen, ob man von dem ersten Leck betroffen ist. Dazu muss man seinen Nachnamen und die letzten sechs Stellen seiner Sozialversicherungsnummer dort eingeben. Das Perfide: Die Seite ist anfällig für Cross-Site-Scripting (XSS).

Über diese Angriffsmethode können Kriminelle in diesem Fall unter anderem die Eingaben der Nutzer auf eigene Webseiten und Datenbanken umleiten. Übliche Sicherheitsmechanismen wie das Verschlüsselungsicon des Browsers warnen vor solchen XSS-Angriffen nicht, die Software meint, sie habe es nur mit den echten Equifax-Servern zu tun. Daher liegt es an den Betreibern solcher Dienste, sie gegen XSS abzusichern. Da sich auch die Eingabeformulare manipulieren lassen, können auch weitere Daten abgefragt werden, etwa die vollständigen Kreditkartendaten der verunsicherten US-Bürger. Eine solche unsichere Webseite, die einem vormals renommierten Unternehmen gehört, ist ein Traum für Datendiebe und andere Kriminelle.

Equifax: „Open Source Software ist Ursache für Datenleck“

Weitere Kritik muss sich Equifax im Umgang mit der ursprünglichen Lücke gefallen lassen, die nach Angaben des Unternehmens wiederum auf einen unsicheren Webdienst zurückging. In den USA kursieren Berichte, nach denen das Credit Bureau den Fehler auf einen Bug in der quelloffenen Apache-Suite für Webdienst zurückführt, genauer, dem Modul Struts. Obwohl die exakte Quelle für die Beschuldigung nicht ganz klar ist, sahen sich die Struts-Entwickler zu einer ausführlichen Stellungnahme gezwungen. Sie kommentieren darin die Berichte, dass die seit neun Jahren existierende aber erst kürzlich entdeckte Lücke CVE-2017-9805 für das Leck verantwortlich sein könnte. Der Bug erlaubt das Einschleusen von eigenem Code in einen fremden Webserver.

Dieser Fehler wurde im September 2017 gepatcht, ist jedoch schon seit Juli 2017 bekannt. Die Entwickler folgern daraus, dass Equifax entweder länger eine bekannte Lücke in ihrer Software geduldet haben, ältere Versionen einsetzten, oder Opfer eines anderen Bugs geworden sind, der dann als Zero-Day-Exploit einzustufen sei. Das wäre plausibel, denn Equifax selbst gab an, dass der Datendiebstahl von Mai bis Ende Juli 2017 erfolgte. Am 29. Juli 2017 begann das Unternehmen dagegen vorzugehen. Der Patch gegen CVE-2017-9805 erschien aber erst am 4. September 2017.

Bisher hat sich Equifax zu den neuen Vorwürfen nicht erklärt. Schon bei Bekanntwerden des Lecks versprach das Unternehmen jedoch, in den kommenden Wochen mehr Hintergründe zu liefern. Angesichts der neuen unsicheren Webseite ist das mehr als nötig.