La demanda Equifax proporciona más evidencia contra las contraseñas


Usar el nombre de usuario y la contraseña "admin" para proteger un portal de administración de préstamos son solo algunas de las alegaciones hechas por el proveedor de servicios de crédito Equifax.

Estas acusaciones se derivan de una solicitud de fraude de valores durante la violación de septiembre de 2017 donde millones de usuarios comprometieron la información personal.

La demanda se presentó ante el Tribunal de Distrito del Norte de Georgia (División de Atlanta) en los Estados Unidos en enero de 2019. y analiza en detalle una multitud de fallas de seguridad peligrosas en Internet en Equifax, que en 2017 llevaron a la divulgación de millones de datos personales.

Las implicaciones incluyeron multas que van desde hasta $ 700 millones que se recaudaron en Internet en EE. UU. y £ 500,000 en el Reino Unido la multa más alta posible ante el GDPR y el Destrucción de la reputación de Equifax entre sus usuarios.

La demanda detalla cómo los datos se denominan violación w como "una consecuencia inevitable de las deficiencias generalizadas en los sistemas de seguridad de datos de Equifax", que esencialmente ignoraron la higiene básica de seguridad cibernética.

Además del uso de nombres de usuario y contraseñas ridículamente inseguros, la falta de implementaciones de protocolos de parches en una persona mal informada también es responsable de administrar parches en la red; Sin cifrado de datos confidenciales, en lugar de almacenarlo en texto sin formato en servidores de acceso público; práctica insuficiente de monitoreo de red y advertencia de amenazas; medidas de autenticación insuficientes; y usando software desactualizado.

"En general, los expertos en seguridad cibernética argumentaron que" una violación catastrófica de los sistemas Equifax era inevitable debido al desprecio sistémico de las mejores prácticas de seguridad cibernética y seguridad cibernética ". Las fallas también exacerbaron el impacto

Contraseñas inadecuadas

Stuart Sharp, vicepresidente de ingeniería de soluciones de OneLogin, dijo que el impacto reciente de la violación de seguridad de dos años ha demostrado nuevamente que la idea de que las contraseñas son una medida de seguridad adecuada para

"Las personas siguen siendo el eslabón más débil en nuestras estrategias de ciberseguridad, y el hecho de que nadie haya pensado en cambiar el nombre de usuario y la contraseña predeterminados para los administradores es otra razón por la cual se usan contraseñas para ser cambiado Ineficaz ", dijo Sharp.

"Las empresas siguen siendo demasiado informales con datos confidenciales. Los departamentos de TI deben implementar procesos para hacer cumplir los cambios de contraseña estándar y poner en una lista negra el uso de contraseñas de uso frecuente . Otra solución es la implementación de la autenticación MFA multifactor (19459013). Si se ha implementado MFA, no importa si su nombre de usuario y contraseña se vieron comprometidos.

El gerente de seguridad ofensivo de Outpost24, Hugo van den Toorn, reconoció que podría ser difícil hacer un seguimiento de cada sistema y su situación de seguridad, especialmente en organizaciones con paisajes de TI orgánicos.

Aunque usar admin como nombre de usuario y contraseña es "fácil" para algunos, hay una razón para cada prueba de lápiz. Todavía estamos tratando de registrarnos con credenciales estándar y fáciles de adivinar.

"Sin formular una opinión sobre este caso particular, la clasificación de datos y las clasificaciones de seguridad deberían desempeñar un papel importante en la protección de las organizaciones. Cuando se utiliza un sistema para acceder, modificar, manipular o interactuar de otra manera con datos que se clasifican como confidenciales, la compañía debe considerar establecer medidas de seguridad apropiadas ", dijo Van den Toorn.

"Esto debe hacerse antes de que se implemente el sistema, preferiblemente ya durante la fase de diseño de su ciclo de vida. Siempre que un sistema esté sujeto a cambios o la conformidad cambie la efectividad de las medidas de seguridad en su conjunto, deben ser reevaluados. Cuando un sistema se ve afectado por una violación, se aplica lo mismo.

"Si sucedió algo, regrese y juzgue subjetivamente si todavía está haciendo lo correcto. Esto debería incluir la verificación de la política de contraseñas, los controles de acceso y la clasificación de datos; en este caso, todo debería cubrir el hecho de que "admin" no es una contraseña segura.

Todd Peterson, evangelista de Identity and Access Management en One Identity, agregó: "Si la lesión de Equifax hubiera sido el resultado de un hacker altamente inteligente y motivado que hizo algo sorprendente para obtener acceso a los datos, sería Había sido una cosa.

Las mejores prácticas y el pago de un precio considerable por la supervisión de lo sucedido es alarmante. En el caso de Equifax, habría salvado a la compañía de un mundo de problemas simplemente haciendo lo correcto (la implementación habría tomado aproximadamente un minuto). "

Peterson dijo que las compañías no podían darse el lujo de tratar la seguridad de la base de datos de manera diferente a otros aspectos de su postura de seguridad cibernética, incluido el hecho de que las contraseñas de administrador no se comparten y, si es necesario, rastrear quiénes son tiene y por qué los necesitan.

Las empresas también deberían hacer más para determinar si alguien tiene acceso a una base de datos de derechos administrativos y análisis creados adecuadamente y cuándo.



Control de obras 3000 de Cea Ordenadores