Después de la brecha de Equifax, las principales firmas aún confían en el mismo software defectuoso
La violación masiva de datos del año pasado en Equifax debería haber sido una llamada de atención para toda la industria.
Los piratas informáticos robaron 145 millones de registros explotando una vulnerabilidad en un software del servidor web de código abierto ampliamente utilizado. Los nombres, las direcciones, los números de la seguridad social y más fueron eliminados, dejando a los estadounidenses en riesgo de fraude crediticio y robo de identidad.
Pero un año después de que se publicaron los parches, algunas de las compañías más ricas del mundo todavía están usando, o desde entonces han presentado el mismo software defectuoso.
Miles de compañías han descargado versiones vulnerables de Apache Struts, un popular software de servidor web utilizado en Fortune 100 para proporcionar aplicaciones web en Java. A menudo se usa para dar energía tanto a aplicaciones de front-end como de back-end, incluido a el sitio web público de Equifax.
El error utilizado en el hack de Equifax se corrigió en marzo de 2017, pero Equifax nunca instaló los parches.
Desde que esos parches estuvieron disponibles, los datos muestran que al menos 10.800 compañías descargaron versiones vulnerables del software.
Los datos, proporcionados por Sonatype, una firma de automatización de código abierto, muestran que más de la mitad de los 100 de Fortune Global están utilizando versiones vulnerables del software.
Aunque la empresa no nombra las empresas afectadas, una cuarta parte tiene su sede en América del Norte. Los datos mostraron que siete son gigantes tecnológicos y 15 son servicios financieros o empresas de seguros.
Pero incluso después de que se publicaron los parches y el fallo se publicitó ampliamente a raíz del hackeo de Equifax, los datos de Sonatype muestran que solo una de cada cinco empresas ya no usa versiones vulnerables del software.
Aunque las versiones más nuevas de Apache Struts se lanzan periódicamente, seis veces desde el parche que podría haber evitado el ataque de Equifax, los datos mostraron que 23 de las empresas de Fortune 100 Global descargaron versiones vulnerables de Struts miles de veces en el último año.
La Fundación Apache Software, que mantiene Struts, permite a los usuarios descargar versiones heredadas del software, a pesar de que contienen vulnerabilidades de seguridad conocidas.
"Los desarrolladores tendrán una serie de razones para descargar versiones anteriores de Apache Struts, para reproducir entornos en ejecución y diagnosticar regresiones", dijo Mark Cox, miembro del equipo de seguridad de Apache Software Foundation. "Para el uso en producción, las versiones más recientes deben usarse para garantizar que se aborden las vulnerabilidades conocidas".
Agregó que la fundación registra fallos en la lista Mitre CVE para ayudar a los usuarios y desarrolladores a tomar decisiones informadas sobre las versiones que implementan.
Los datos revelan lo que las empresas aprendieron y cómo las empresas actuaron (y no lo hicieron) después del ataque de Equifax. Se convirtió en la mayor violación de los datos estadounidenses el año pasado, y provocó múltiples investigaciones estatales, federales y algunas internacionales. Los atacantes aún no se conocen.
El gigante de la calificación crediticia primero culpó al software Struts por el error, pero más tarde se supo que solo una persona fue responsable de reparar los servidores. La compañía fue criticada por la comunidad de seguridad y los legisladores por retrasar la divulgación de la violación durante meses.
Posteriormente, la empresa de crédito reveló que, en algunos casos, se habían robado más datos, incluidos datos adicionales de licencia de conducir y algunos números de identificación fiscal.
El entonces consejero delegado de Equifax, Richard Smith, se retiró de la empresa después de la violación. Un ex ejecutivo fue acusado posteriormente de abuso de información privilegiada.
Fuente: Fortune