Apache monta defensa fuerte, retiros Equifax
La Fundación de Software Apache, sábado de esta semana contesto a las imputaciones del abuso intenso de datos Equifax difundido la semana pasada fue el resultado de una falla en código abierto de Apache. Una de las aberturas de conocimientos capitalistas más grandes en la historia de los Estados Unidos, divulgó nombres, direcciones, números de Seguridad Social, fechas de nacimiento, números de licencia de conducir y otra información sensible que pertenece a 143 millones de usuarios estadounidenses, así como conocimientos pertenecientes a un número no divulgado del Reino Unido y usuarios canadienses. Los delincuentes también tuvieron acceso a los datos de la tarjeta de crédito para unos 209.000 usuarios y la información sobre disputas crediticias para unos 182.000 usuarios, aseveró Equifax.
Defensa de Apache
La estructura Apache se afligió de la abertura de datos de Equifax, dijo el vicepresidente de Apache Struts, René Gielen, en nombre del comité de dirección del proyecto Apache Struts. Sin embargo, con motivo a la opción de que resultara de una explotación de una debilidad en el Apache Struts Web Framework, no se encontraba muy claro qué fragilidad habría de existir al haber sido utilizada, dijo Gielen. Una falsa expectativa unió la desobediencia a CVE-2017-2805, uno de varios empates que Apache pronunció el 4 de septiembre.
“Sin embargo, el fallo de seguridad ya fue detectado en julio, lo que significa que los asaltantes usaron una debilidad nombrada de antemano en un software Equifax sin remiendos o estallaron una vulnerabilidad desconocida en este momento -la denominada Zero Day Exploit”, Gielen célebre.
Asegurar y endurecer el software
Los miembros del comité han puesto un enorme esfuerzo en “asegurar y fortalecer el servidor que fabricamos”, acoto, y reparen las diferencias que llaman su atención. Hay una diferencia entre el conocimiento de un error extraño en el espacio salvaje durante nueve años y no se ha solucionado un defecto conocido durante nueve años, dijo Gielen, enfatizando que el comité acaba de enterarse de este fallo. Él no ha podido contactar a ninguno utilizando el dominio @equifax, el todas los directorios de Apache en más de dos años, comentó el vocero de Apache Sally Khudairi.
“Para ser sinceros, no se ha podido contactar a ninguno utilizando el dominio @equifax, oficial o de otro tipo, quizá un integrante de su grupo haya podido contactar con alguien utilizando un canal diferente”, manifestó LinuxInsider. Podría alguna persona haber utilizado una cta. correo electrónico propia, Poe ejemplo, dijo Khudairi. En la actualidad no hay bastante información para concluir, acoto Dustin Childs, jefe de comunicaciones de la Iniciativa Zero Day de Trend Micro, “sin dudarlo si se determinare que se trataba de una debilidad de Apache Struts, no hay información de en qué se utilizó la debilidad “dijo a LinuxInsider, de todas maneras si Apache Struts fue el motivo, hubiera sido planeado fácilmente de meses o años anteriores.-
Equifax tendría que haber realizado un buen trabajo resguardando el área con información crítica de gasto, dijo Chris Morales, jefe de análisis de seguridad de Vectra. “Pensamos que Equifax abona una suma jugosa de dinero y mano de obra para resguardar de las arremetidas cibernéticos”, dijo a LinuxInsider”, las compañías con menos recursos, menos empleados, han podido interceptar y repeler ataques iguales velozmente, y han protegido la perdida de información.-
Retroceso del consumidor
Equifax se encuentra bajo un gran estrés por no cumplir, no nada más por la abertura entre lo que se conoció del problema el 29 de julio, y la declaración a voz populi la semana anterior, también por las notificaciones de tres empresarios de la empresa, metiendo el CFO, podrían puesto en venta acciones de la compañía, previo a la publicación. Las acciones de Equifax se desplomaron rápidamente la semana anterior después de la notificación, Los comentaristas han comentado a la empresa el sitio en internet que se creó para permitir al público anotarse en el monitoreo de crédito por medio del servicio TrustedIDPremier, se necesita que cualquier usuario que necesite que revisen su información, renuncie a lo que le corresponde sobre demandar a la empresa, aun a los usuarios que se anotaron para la oferta gratis, se les cobrara por el servicio después de un tiempo.-
Equifax revisó sus políticas a raíz de la reacción negativa.
Está llegando la hora 0 para contestar, lo que sería una advertencia reveladora que no está realizando ping a una base de información segura del Seguro Social, que contiene millones de registros, acoto Paul Teich, analista jefe de Tirias Research.
“Esto es peor que una carnada y un suiche, Equifax está suministrando contestaciones al azar, ni siquiera buscan los seis números del campo social, dijo a LinuxInsider. Los usuarios que responden basándose en estas respuestas están siguiendo un alternador de contestaciones fortuitas. Los canales de verdad no son posibles evadirlos, mostro, ya que un experto en computación que desee revisar sus datos personales, lo hará si se enfrenta lo suficiente, pero ese no era el problema en el caso Equifax.-
El agrupamiento de la información financiera de los usuarios de cualquier índole en una base de información sin cifrar se puede evitar, dijo Teich, y no tiene nada que ver con Apache u open source en general.