由于缺少补丁程序而导致Equifax违反

攻击者 违反了Equifax 通过利用其美国网站上的漏洞成功做到了这一点,该公司终于 已确认。漏洞– CVE-2017-5638 –影响Apache Struts 2。

Equifax漏洞修补程序

无法实施可用补丁

CVE-2017-5638原为 已标记 于2017年3月被中国开发商Nike Zheng发现并报道。

Apache Struts团队迅速对其进行了修补,但此披露之后是通过已经在线发布的两个非常可靠的漏洞进行了主动攻击。

Equifax黑客事件可追溯到5月中旬,这意味着该网站’的管理员显然无法实施安全更新超过九周。然后,该公司直到7月份才发现入侵。

以下 初步报告 Apache Struts副总裁RenéGielen认为Apache Struts的漏洞是攻击者入侵的方式,他们通过快速修补发现和报告的漏洞来保持最新状态。

他还建议使用Apache Struts的企业和个人跟踪影响该产品的公告,并建立一个流程,以在框架更新后迅速推出其软件产品的安全修复程序版本。

最近的其他变化

在此最新进展更新中,Equifax重申,利用公司提供的免费受信任ID信用监控服务会员资格的受影响客户将不会丧失其对公司提起集体诉讼的权利。

该公司还指出,由于大量的安全冻结请求,他们遇到了临时性的技术困难,迫使他们在周三将系统离线大约一个小时。

这很可能与公司宣布 免收信贷冻结费 (每次冻结$ 10),但受到影响的人仍要到11月21日。

除此之外,该公司还更改了当消费者启动Equifax安全冻结时生成PIN的方式。现在会随机生成PIN,而不是客户启动该过程时容易猜测的日期和时间组合。

分享这个