Причиной утечки в Equifax могла стать уязвимость платформы Apache Struts

Эксперты продолжают обсуждать утечку данных из бюро кредитных историй Equifax, ставшую крупнейшей с начала нынешнего года. Как сообщалось ранее, в конце прошлой недели компания Equifax признала, что стала жертвой хакерской атаки, начавшейся еще в мае нынешнего года и обнаруженной лишь в конце июля. В результате атаки в руках хакеров оказались персональные данные свыше 143 миллионов человек.

В минувшие выходные в ряде зарубежных СМИ появилась информация о том, что организаторы атаки на Equifax могли воспользоваться уязвимостью в программной платформе Apache Struts. Эта уязвимость, получившая идентификатор CVE-2017-9805, была выявлена и исправлена также на прошлой неделе, однако существовала в Apache Struts на протяжении почти девяти лет. В этой связи появились разговоры о том, что ответственность за взлом Equifax лежит на фонде Apache Software Foundation (ASF), организации, объединяющей разработчиков ПО Apache.

Представители ASF сочли необходимым выступить с заявлением по этому поводу. В нем говорится, что Apache Software Foundation чрезвычайно сожалеет об утечке данных в Equifax. Однако компания обращает внимание на то, что в настоящий момент неизвестно, действительно ли атака на бюро кредитных историй была связана с эксплуатацией уязвимости CVE-2017-9805. Кроме того, ASF отмечает, что девятилетнее существование уязвимости вовсе не означает, что девять лет на нее смотрели сквозь пальцы. Речь идет о том, что девять лет об уязвимости никто не знал, а исправлена она была практически сразу же после обнаружения. Таким образом, даже если хакеры использовали уязвимость CVE-2017-9805, атакуя Equifax, на момент атаки это была эксплуатация уязвимости нулевого дня.