admin/admin war Login für weitere Equifax-Datenbank

Die Kreditauskunftei Equifax bekommt ihre Sicherheitsprobleme nicht in den Griff. Nun wurde eine Webseite mit Datenbankzugriff entdeckt, die förmlich gar nicht gesichert war. Auch Menschen in immer mehr Ländern als den USA sind betroffen.

Die Webseite für den Remote-Zugriff für eigene Mitarbeiter von Equifax in Argentinien stand über unbekannte Zeit fast vollständig offen. Dies berichtet der US-Security-Papst Brian Krebs nach einem Hinweis der Sicherheitsanalysten von Hold Security. Equifax steht nach dem größten Datendiebstahl aller Zeiten in den USA in der Kritik. Vollständige Personendaten samt Sozialversicherungsnummern von 143 Millionen Personen wurden abgezapft, dazu kamen noch detaillierte Berichte über Kreditstreitigkeiten und in rund 200.000 Fällen auch Daten von Kreditkarten.

Da das Unternehmen nicht nur in den USA tätig ist und auch mit seiner Webseite zur Hilfe für Betroffene Probleme hatte, sind nun auch immer mehr andere Länder betroffen. In Argentinien gab es eine nun kurzfristig vom Netz genommene Webseite für Mitarbeiter. Fatal daran: Nutzername und Passwort für die Verwaltung lauteten „admin“ und „admin“. Das ist bei vielen IT-Produkten die Voreinstellung ab Werk, übliche Praxis ist heute aber, den Administrator schon beim ersten Login zum Ändern dieses Accounts zu zwingen.

Equifax hat das offenbar ignoriert. Über den Adminzugang konnten nicht nur die Daten der Mitarbeiter eingesehen werden, auch neue Benutzer mit Adminrechten ließen sich anlegen. Ein solches Loch ist der Traum aller Hacker: Sie loggen sich einmal ein, legen einen – besser abgesicherten – Admin-User an, und verschwinden wieder. Solange der neue Account nicht bemerkt wird, ist das System zugänglich, auch wenn der admin/admin-Account geändert wird.

Dass die Kreditauskunftei mit Daten auch der eigenen Mitarbeiter anscheinend völlig sorglos umging, zeigt ein weiteres Detail: Das Passwort für alle argentinischen Angestellten war identisch mit dem Benutzernamen, dieser wiederum bestand aus zum Teil leicht abgekürzten Versionen des Klarnamens. Und im HTML-Code der Webseite waren wiederum die Passworte im Klartext sichtbar. Kurz: Mehr Sicherheitslöcher kann man bei der Installation eines Webservers nicht aufreißen. Welche Software Equifax hier verwendete, geht aus dem Bericht nicht hervor.

Nicht nur die Mitarbeiter waren von den Lücken betroffen. Über die Webseite waren auch die Datenbanken für Kreditstreitigkeiten zugänglich, 14.000 solcher Fälle sollen es gewesen sein. Dort fanden sich auch wieder komplette Personendaten inklusive der argentinischen Version einer Sozialversicherungsnummer. Damit ist mindestens vollständiger Identitätsdiebstahl möglich.

Nach diesen Erkenntnissen kontaktierte Brian Krebs Equifax. Kurz darauf meldete sich bei ihm eine Anwaltskanzlei aus der US-Hauptstadt Washington, welche den Vorfall bestätigte und angab, die fragliche Webseite sei inzwischen geschlossen und die Untersuchungen hätten begonnen.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

WEBINAR

HPE Server der Generation 10 - Die sichersten Industrie-Standard-Server der Welt

Registrieren Sie sich für das Webinar am 10. Oktober um 11 Uhr und erfahren Sie, wie Technologien und Services rund um die Neuerungen der HPE Server der Generation 10 die Sicherheit, aber auch Agilität und Wirtschaftlichkeit auf ein höheres Niveau heben. Aussagestarke Beispiele beleuchten den HPE Wertbeitrag im Einzelnen und wo sich für Sie Chancen ergeben.

Themenseiten: Malwarebytes Cybersecurity, Security, Webentwicklung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen: