I 2017 ble kredittselskapet Equifax tappet for svært sensitive opplysninger om sine brukere.
Data som omhandlet nesten 150 millioner amerikanere kom på avveie. Datainnbruddet regnes som et av de verste i historien.
Nå har det dukket opp flere detaljer om angrepet som vekker oppsikt.
«Admin»
I et gruppesøksmål sendt inn av noen av Equifax’ investorer, anklages selskapet for å ha brukt brukernavnet «admin» for å beskytte en portal som inneholdt kredittopplysninger om kunder. Passordet skal også ha vært «admin».
Annonse
Dette er altså standard brukernavn og passord som mange tjenestetilbydere benytter seg av, men som alltid bør endres til noe som er mer sikkert.
Det skal Equifax ikke ha gjort.
– En sikker måte å bli hacket på
«Portalen inneholdt en betydelig mengde personlig informasjon. Ifølge cybersecurity-eksperter demonstrerte disse manglene ‘dårlig sikkerhetspolitikk og mangel på rutiner’. Equifax’s’ autentiseringspraksis kom til kort når det gjelder datasikkerhetsstandarder, som anbefaler bruken av flerfaktor-autentisering», heter det i søksmålet.
Det skriver videre i søksmålet at å bruke standardspassordet «en en sikker måte å bli hacket på».
Ukryptert
Men det er ikke bare bruken av standardpassord- og brukernavn som opprører saksøkerne.
«Equifax baserte seg på firesifrede PIN-koder hentet fra personnummer og bursdager for å vokte over personlig informasjon, til tross for at disse passordene allerede hadde blitt kompromittert i tidligere innbrudd».
Dataene som lå lagret på Equifax’ servere skal også ha ligget der ukryptert.
Equifax er en av de tre største kredittovervåkningsbyråene i USA. Da innbruddet først ble kjent i 2017 hevdet selskapet at 143 millioner amerikanere var berørt av lekkasjen. Et år senere oppdaget Equifax at ytterligere 2,4 millioner navn var berørt.
I juli ble Equifax dømt til å betale en bot på 700 millioner dollar, omlag 6,4 milliarder kroner.
Kilde:
The Inquirer
Annonse
