Co poszło nie tak w firmie ‘Capital One’? – część I
Co poszło nie tak w firmie giganta finansowego – ‘Capital One’?
Wiadomości o naruszeniu danych firmy ‘Capital One’ zostały upublicznione 19 lipca. Według ich strony internetowej wyciekły dane około 100 milionów Amerykanów i 6 milionów Kanadyjczyków, zawierające informacje posiadaczy kart kredytowych od 2005 roku. Obejmowałyby one nazwiska, adresy, numery telefonu, deklaracje o dochodach, oceny zdolności kredytowej, historię płatności i inne dane osobowe. Żeby tego było mało, w stosunku do niektórych pokrzywdzonych wyciekły również informację dotyczące ubezpieczenia społecznego oraz numerów kont bankowych.
Kto stoi za wyciekiem danych z ‘Capital One’?
W komunikacie prasowym Capital One opisał atakującą, 33-letnią Paige Thompson (alias Erratic), jako „wyrafinowaną osobę, która była w stanie wykorzystać określoną lukę konfiguracyjną w naszej infrastrukturze”. Twierdzenia o wyrafinowaniu są nieco na wyrost biorąc pod uwagę fakt, że Thompson opublikowała niektóre dane pod własnym nazwiskiem na GitHub. Ponadto skarga sądowa wniesiona przeciwko Thompson pokazuje, że nie została aresztowana za włamanie, ale za celowy dostęp do komputera bez uprawnień.
Jak chodzi o odpowiedzialność, wygląda na to, że spoczywa ona na barkach Capital One. Nieprawidłowo skonfigurowana zapora sieciowa chroniąca zasoby umieszczone w chmurze AWS S3 stanowi sedno tego naruszenia. Ponadto, mimo że dane, które zostały opublikowane były szyfrowane, uprawnienia które posiadała Thompson pozwoliły jej na ich odszyfrowanie.
Dlaczego konfiguracja zapory jest tak ważna?
Amerykanie mówią ‘Hindsight is 20/20’ co przekładając na polski znaczyłoby mniej więcej „Mądry Polak po szkodzie”. Łatwo wytykać błędy Capital One oraz winić ich za złą konfigurację firewalla, jednak prawda jest taka, że błędy konfiguracyjne to częsta dolegliwość – szczególnie w środowiskach korporacyjnych które rozrosły się do takich rozmiarów iż trudno nad nimi zapanować. Bez względu na to, czy chodzi o zaniedbanie, czy ignorancję, nie ma to większego znaczenia dla 100 milionów osób, których dane ujrzały światło dzienne.
Ze względu na skalę sieci przedsiębiorstw, złożoność i ciągłe zmiany, zautomatyzowany nadzór zyskuje na znaczeniu. Możliwość szybkiego wykrycia i rozwiązania problemów z konfiguracją może oznaczać wybór pomiędzy ciągłym „gaszeniem pożarów” lub panowaniem nad sytuacją na zasadzie planowanych „ćwiczeń przeciwpożarowych”.
Aby mieć pewność, że zapory sieciowe są poprawnie skonfigurowane należy najpierw:
- znać wszystkie zapory sieciowe w organizacji oraz utrzymywać stale zaktualizowany ich wykaz,
- stosować zasady zapewniające konfigurację urządzeń zgodną z zaleceniami producenta, najlepszymi praktykami, wymogami regulacyjnymi itp.,
- porównać skonfigurowane zabezpieczenia na urządzeniach z założeniami, zasadami, najlepszymi praktykami po to aby zidentyfikować słabe punkty konfiguracji,
- ocenić czy można uzyskać dostęp do urządzania przy użyciu domyślnego hasła, jeśli logowanie jest włączone oraz czy połączenie do zarządzania jest szyfrowane,
Pamiętaj, że samo urządzenie zabezpieczające stanowi pewnego rodzaju zagrożenie dla całej warstwy bezpieczeństwa oraz źle skonfigurowane działa raczej jako czynnik umożliwiający atak niż zabezpieczenie. Nie pozwól, aby zarządzanie zaporami było ich zgubą.
Zobacz dlaczego jeden z największych banków na świecie wybrał Skybox jako narzędzie do zarządzania bezpieczeństwem cybernetycznym.
Już za tydzień druga część artykułu, gdzie znajdą Państwo odpowiedzi między innymi na pytania: Jakie techniki ataku zostały wykorzystane w Capital One według MITRE ATT&CK? oraz Jakie są konsekwencje naruszenia danych osobowych osobowych przez Capital One? Zapraszamy!
Źródło: www.skybox.com