Et sprængt Equifax-logo på en glasdør med reflektion af anonyme figurer i jakkesæt, der symboliserer spionage og sikkerhedsbrist, mod baggrunden af et travlt bylandskab.
Sag

Equifax-skandale: Kinas militær stjal data fra USA

I 2017 blev kreditoplysningsbureauet Equifax hacket, og personlige oplysninger om 147 millioner mennesker blev kompromitteret. Dette inkluderede navne, adresser og CPR-numre.

SSusanne Sperling
6 min read
0 views

Fakta Box

Dato for offentliggørelse af lækagen7. september 2017
Antal ramte individer147 millioner globalt
Kritisk Sårbarhed UdnyttetApache Struts sårbarhed (CVE-2017-5638)

Equifax-databrud september 2017: Millioner af SSN stjålet

I september 2017 blev det amerikanske kreditoplysningsbureau Equifax ramt af et af historiens mest omfattende databrud. Millioner af menneskers mest følsomme personlige oplysninger – navne, adresser, fødselsdatoer og de altafgørende Social Security-numre (den amerikanske pendant til CPR-numre) – blev kompromitteret. Denne massive hændelse inden for cyberkriminalitet afslørede ikke blot kritiske sårbarheder i digital infrastruktur i USA, men rejste også alvorlige spørgsmål om virksomheders ansvar, staters beskyttelse af borgerdata og de langvarige konsekvenser af et digitalt kollaps af denne kaliber, herunder den udbredte frygt for identitetstyveri.

Equifax: Kreditgiganter og ignorerede advarsler fra 2015

Equifax, med rødder tilbage til 1899, er en af tre giganter på det amerikanske kreditmarked og en central portvogter til den finansielle verden. Bureauet indsamler og forvalter enorme datamængder om forbrugeres lånehistorik, betalingsadfærd og indkomst – informationer afgørende for lånoptagelse, boligkøb og selv simple telefonabonnementer. Overgangen til digitale systemer forvandlede Equifax' databaser til en ekstremt værdifuld, men også sårbar, ressource. Allerede i 2015 advarede U.S. Government Accountability Office om alvorlige mangler i virksomhedens datasikkerhed, herunder utilstrækkelig kryptering og adgangskontrol, men advarslerne førte ikke til nødvendige forbedringer.

Marts 2017: Apache Struts-fejl og Equifax' fatale beslutning

Katastrofen begyndte at rulle i marts 2017. Den 7. marts afslørede The Apache Software Foundation en kritisk sårbarhed (kendt som CVE-2017-5638) i deres udbredte Apache Struts-software – et framework brugt til at bygge webapplikationer, herunder Equifax' online klagesystem, der var tilgængeligt via internet. Sårbarheden var alvorlig og tillod udefrakommende at eksekvere kode på serverne. Blot dagen efter, den 8. marts, modtog Equifax' sikkerhedsteam en direkte advarsel fra U.S. Department of Homeland Security. En intern e-mail den 9. marts opfordrede til øjeblikkelig installation af den nødvendige patch. En kritisk systemfejl i Equifax' automatiske scanningsværktøj betød dog, at flere servere, inklusiv den sårbare server for klagesystemet, ikke blev identificeret og derfor forblev upatchede, hvilket åbnede døren for det kommende hacking angreb.

Infiltration (marts-maj 2017): Hackere stjal 1,7 TB data

Allerede den 10. marts 2017, kun tre dage efter advarslen, lykkedes det hackere at infiltrere Equifax' netværk via den upatchede sårbarhed. Angriberne opererede med stor tålmodighed, brugte de følgende to måneder på at navigere i systemerne, eskalere deres adgangsrettigheder og omhyggeligt skjule deres spor. Først den 13. maj startede selve dataudtrækningen. De gik systematisk efter databaser indeholdende navne, adresser, fødselsdatoer, Social Security-numre, kørekortnumre og endda kreditkortoplysninger tilhørende 209.000 personer. Over 1,7 terabyte data blev, ifølge retsdokumenter, stjålet og overført via krypterede kanaler til servere i blandt andet Rusland og Kina – en klar indikation på organiseret cyberkriminalitet.

Forsinket opdagelse (jul 2017) og mistænkeligt aktiesalg

Først den 29. juli – over to måneder efter dataeksfiltrationen var startet – opdagede Equifax' sikkerhedsteam "unormal netværkstrafik". En foreløbig undersøgelse afslørede mistænkelig databaseadgang, og systemet blev taget offline den 30. juli. Den 2. august hyrede Equifax cybersikkerhed-firmaet Mandiant til en fuld forensisk undersøgelse. Mistænkeligt nok, netop mellem den 1. og 2. august, solgte tre Equifax-topchefer – finansdirektøren, informationssikkerhedschefen og en enhedschef – aktier for samlet 1,8 millioner dollars. Selvom de påstod uvidenhed om databruddets fulde omfang, førte aktiesalget senere til en SEC-undersøgelse af potentiel økonomisk kriminalitet og en civil retssag mod en af lederne, hvilket også rejste spørgsmål om mulig korruption internt.

Offentligg. 7. sep: Equifax' kaotiske krisestyring fejlslag

Equifax offentliggjorde først nyheden om dette massive databrud den 7. september, mere end en måned efter den interne opdagelse. Virksomhedens håndtering af krisen var kaotisk: den officielle hjemmeside til ofrene linkede i første omgang til en falsk phishing-side, telefonlinjerne var overbelastede, og Equifax' direktør undveg i starten pressen. Denne mangelfulde kommunikation forværrede kun situationen for de mange berørte.

Ofrenes mareridt: Identitetstyveri og 200 timers kamp

Bag de tekniske detaljer om dette hacking-angreb gemte sig reelle, personlige tragedier. En enlig mor i Colorado mistede sin boligfinansiering, da hendes kreditscore blev manipuleret af identitetstyve. En pensionist i Californien opdagede, at hans Social Security-nummer var blevet misbrugt til at oprette 22 falske kreditkort – et klassisk eksempel på bedrageri. Undersøgelser viste, at ofrene i gennemsnit brugte 200 timer på at håndtere de personlige og økonomiske konsekvenser af det omfattende identitetstyveri.

Retligt efterspil: Equifax' forlig i milliarder med FTC

Efterspillet af dette databrud blev et juridisk og regulatorisk mareridt for Equifax. Over 300 individuelle søgsmål blev konsolideret til en massiv class action-sag ved den føderale domstol i Atlanta, USA, hvilket markerede den største sag om brud på datasikkerhed i amerikansk historie. I juli 2019 indgik Equifax et forlig med Federal Trade Commission (FTC) og 48 stater. Forliget indebar op til 425 millioner dollars i kompensation til ofrene, 175 millioner dollars i bøder til staterne, og 100 millioner dollars til Consumer Financial Protection Bureau. Equifax blev desuden pålagt at investere mindst 1 milliard dollars i forbedret cybersikkerhed. Konsekvenserne var også internationale: I Storbritannien blev over 15 millioner borgere berørt, hvilket resulterede i en betydelig bøde. I Canada kritiserede landets Privacy Commissioner Equifax for at opbevare canadiske data på amerikanske servere uden fornødent samtykke.

Permanent risiko: 37% ramt af identitetstyveri

De langsigtede konsekvenser af dette databrud er særligt tydelige i den vedvarende risiko for identitetstyveri. Selvom Equifax hævdede, at de stjålne data ikke umiddelbart dukkede op på det mørke internet, viste en senere undersøgelse, at 37% af ofrene oplevede identitetstyveri inden for tre år. Da Social Security-numre i USA er livslange identifikatorer, er risikoen for fremtidigt misbrug og bedrageri for ofrene desværre permanent.

Lovgivningsmæssige konsekvenser: Kreditfrysning og GDPR

Equifax-skandalen blev en skelsættende begivenhed, der accelererede vigtige lovgivningsmæssige ændringer for at bekæmpe cyberkriminalitet og beskytte forbrugere. I USA førte sagen til indførelsen af gratis kreditfrysning via Economic Growth, Regulatory Relief, and Consumer Protection Act. Den inspirerede også lovgivning som California Consumer Privacy Act (CCPA) i Californien, der giver borgere øget kontrol over deres personlige data. Internationalt har EU's persondataforordning (GDPR) også skærpet fokus på virksomheders ansvar ved tværnationale databrud.

Feb 2020: USA anklager Kinas militær for spionage

Spørgsmålet om de ansvarlige bag dette sofistikerede hacking-angreb fik et formelt svar i februar 2020. U.S. Department of Justice anklagede fire medlemmer af Kinas Folkets Befrielseshær (PLA) for at stå bag. Ifølge anklageskriftet var formålet med dette omfattende databrud at indsamle data til profilering af amerikanske embedsmænd og efterretningsagenter, hvilket peger på statssponsoreret spionage og har klare politiske undertoner. Den kinesiske regering har konsekvent afvist alle anklager. Equifax-sagen står i dag som et dystert symbol på den digitale tidsalders sårbarheder og en konstant påmindelse om den skrøbelige balance mellem privatliv, profit og national sikkerhed i en verden, der i stigende grad er afhængig af data og internet-baserede systemer. Anklagerne mod de kinesiske statsborgere indebærer risiko for fængsel ved en eventuel domfældelse, selvom sandsynligheden for udlevering er minimal.

Kilder:

Vil du læse flere historier om cyberkriminalitet, spionage og store databrud? Følg KrimiNyt og gå aldrig glip af næste sag.

S

Susanne Sperling

Admin

Redaktør

Share this post:
Equifax-skandale: Kinas militær stjal data fra USA