本周一Equifax向美国证券交易委员会提交了关于数据泄露的分析报告,据报道,超过一半的美国人受到了Equifax数据泄露的影响。
Equifax美国一家消费者信用报告机构,是美国三大信贷机构之一,收集并保存了全球超过8亿消费者和超过8800万家企业的信息。Equifax于去年7月29日遭受了一次网络攻击,黑客访问了约1.43亿美国Equifax消费者的个人数据,同时至少20万名客户的信用卡信息被窃取。糟糕的是,据今年三月数据统计,隐私信息被访问的受害者数量升至近1.47亿。
Equifax的SEC备案部分细节信息为何在遭受攻击半年后,问题不但没得到解决,反而变得日益严重呢?不妨追溯此段时间附近发生了什么——根据 Sonatype(高盛支持的网络安全初创公司)追踪软件开发商提供的代码数据分析,从2017年3月到2018年2月,多达10,801家组织(包括57%的“ 财富”全球100强企业)从Equifax网站下载了已知易受攻击的Apache Struts版本,这是攻击者针对Equifax的流行开源软件包。
Apache软件基金会于 2017年3月7日发布了Equifax采用的补丁版本,其后一年内更新了6次。尽管有可修复的代码,但很多企业仍继续下载Struts的破碎副本
——这是一种常见的应用程序构建框架,它可以帮助处理许多业务的事务后台,但这可能会对远程代码执行产生影响,从而使攻击者能够远程劫持计算机系统。
除此之外,与应用其他软件修补程序(如简单的Microsoft Windows更新)相比,更新Struts对于公司来说往往挑战更大。由于Struts库通常与不同的Web应用程序捆绑在一起,因此修复此问题需要了解哪些应用程序使用了这些组件; 更新所谓的构建脚本,以便获取最新版本的软件; 重建应用程序; 并进行质量保证测试,以确保修补应用程序按预期工作。它不像下载和重新启动那样直截了当。但目前看来,这个问题需要迅速补救,这对开发人员来说是个不小的挑战。
网友评论