L’attacco ad Equifax

Uno degli attacchi hacker più famosi al mondo, forse per la brutalità con cui è avvenuto, forse per il
numero di vittime dirette ed indirette che ha avuto, forse per la grandezza dell’azienda vittima di
questo attacco; sono numerosi i fattori che concorrono a rendere questo attacco una macchia
indelebile della storia economico-sociale ed informatica della nazione Americana e non solo.
Ma prima di smarrirci in lunghe e inutili presentazioni definiamo fin da subito l’identità della vittima,
definita precedentemente, tanto importante.

Chi è Equifax?
Equifax è una delle tre maggiori agenzie di segnalazione del credito al consumo insieme ad Experian
e TransUnion. Questo genere di azienda si occupa di raccogliere dati sui clienti e sulle aziende che
vendono o acquistano nel mondo. In poche parole tiene traccia di transizioni e altri dati utili a
prevenire evasioni fiscali o frodi varie. Attualmente si contano 88 milioni di aziende e 800 milioni di
clienti che si affidano ad Equifax in questo ambito. Oltre a ciò vendono vari servizi di protezione del
credito e prevenzione delle frodi fiscali.
Potete ben capire come si tratti di un colosso, la cui ombra, però, illustra un episodio duro che fece
rischiare all’azienda il fallimento.

Lo stato economico di Equifax prima dell’attacco

Equifax, come d’altronde quasi tutte le aziende, è partita con un discreto profilo economico e
successivamente, grazie al duro lavoro ed ai finanziamenti, è riuscita a far salire pian piano il proprio
valore sui grafici.

In quest’immagine possiamo notare come nel periodo che precedono il giorno dell’attacco (8
settembre 2017) l’azienda stesse proseguendo lentamente la propria crescita (analizzando il grafico
con termini tecnici potremmo definire il “trend globale”, fino a tale data, un trend “rialzista”).
Guardando il grafico, focalizzandoci questa volta sulla posizione del cursore illustrata dalle linee
tratteggiate che formano una croce, notiamo come abbia subito una brusca discesa, che raramente
avviene in maniera del tutto naturale in questo ambito. (Non parliamo infatti di mercati Forex che
dipendono da valori complessivi di numerose aziende e numerosissime transizioni, ma del valore di
una quota d’azienda).
Quello è l’effetto immediato che ha avuto l’attacco sull’economia dell’azienda. L’effetto continuerà
così per giorni e mesi, circa fino a Dicembre, prima di riuscire a riprendere in mano la situazione, pur
lasciando altri danni all’azienda, tra cui milioni di dollari di sanzione.
Come è avvenuto l’attacco
La vulnerabilità
Come la maggior parte degli attacchi hacker anche questo ha sfruttato una vulnerabilità dell’azienda.
Questa volta è toccata ad un servizio open-source detto “Apache Struts”, impiegato nello sviluppo
web. Quindi possiamo ben dedurre che l’attacco sia avvenuto tramite il sito dell’azienda.
La vulnerabilità in questione era già stata segnalata al team di sviluppo Apache, il quale aveva già
rilasciato una nuova patch (un nuovo aggiornamento) che correggeva e preveniva eventuali attacchi
sfruttanti tale vulnerabilità con codice: CVE-2017-5638.

La fase di attacco
La fase di attacco vede gli hacker utilizzare un exploit sviluppato appositamente per ottenere accesso
da remoto l’accesso al sistema. La vulnerabilità, infatti, vedeva un mal funzionamento del sistema di
sicurezza sulle connessioni da remoto, il che poteva dare, ad utenti esperti e malintenzionati, un
accesso non autorizzato prima al sito e da lì alla rete dell’intera azienda.
Questo procedimento è stato adottato dagli hacker che hanno ottenuto l’accesso al sito e proseguito
indisturbati per tutto il sistema, analizzando tutte le informazioni importanti, e la struttura dell’intera
rete.

Tecnica adottata
La tecnica adottata dagli attaccanti viene definita “zero-day exploit” la quale appunto implica
l’utilizzo di un exploit che mira ad attaccare una vulnerabilità nel sistema.

Conseguenze
L'attacco ha compromesso le informazioni personali di oltre 147 milioni di individui, tra cui nomi,
numeri di previdenza sociale, date di nascita, indirizzi e, in alcuni casi, numeri di carta di credito. Ha
avuto conseguenze significative per Equifax, con azioni legali da parte dei consumatori e multe da
parte delle autorità di regolamentazione. Fino a due anni dopo, precisamente fino al 31 luglio 2019, la
FTC (Federal Trade Commission) ha avviato indagini e preso provvedimenti.
Come espresso ufficialmente negli articoli sul Caso Equifax, l’azienda è stata costretta a versare
potenzialmente 700 milioni di dollari di cui 575 milioni erano obbligatori.
Successivamente, sempre l’FTC, ha consigliato ai clienti di optare, anziché ad un risarcimento in
denaro, al monitoraggio gratuito del bilancio. In poche parole a ricevere gratuitamente il servizio
offerto da Equifax. Trovate l’articolo ufficiale dell’FTC qui.

Cosa abbiamo imparato

Purtroppo o per fortuna anche gli attacchi hacker insegnano qualcosa, non solo all’azienda che ha
subito l’attacco, ma a chiunque abbia un dispositivo elettronico che può essere collegato alla rete
aziendale o domestica e quindi costituire un’arma tagliente nel caso di violazioni della sicurezza.
In questo caso abbiamo imparato quanto sia importante eseguire l’aggiornamento dei nostri sistemi, in
particolare quelli relativi alla sicurezza di questi. La mancanza della patch che correggeva la
vulnerabilità CVE-2017-5638, ha compromesso un’azienda causando non solo danni economici ma
anche emotivi e d’identità, tanto che numerose aziende dopo l’attacco hanno deciso di affidarsi ad
altri servizi, togliendo così ad Equifax numerosi clienti, e soprattutto quelli più importanti (quali le
aziende).