Equifax продолжает подвергать угрозе своих клиентов

Бюро кредитных историй Equifax в очередной раз навлекло на себя гнев специалистов по кибербезопасности. Ранее сообщалось, что в результате хакерской атаки злоумышленники смогли похитить персональные данные не менее 143 миллионов клиентов компании. Утечка, которую повлекло за собой несвоевременное обновление ПО Apache Struts, стала крупнейшей в нынешнем году. Но на этом злоключения компании (и ее клиентов) не закончились. Для помощи пострадавшим в Equifax создали сайт equifaxsecurity2017.com. Исследователи тут же обнаружили, что он уязвим для атак по типу межсайтового скриптинга и может подвергнуть посетителей дополнительному риску похищения персональных данных.

А программист Ник Суитинг раскритиковал Equifax за неудачный выбор доменного имени. Он решил доказать, что мошенникам не составит труда ввести в заблуждение многих клиентов компании, создав сайты с похожими именами. В подтверждение своих слов он зарегистрировал домен securityequifax2017.com и создал на нем точную копию сайта, адресованного пострадавшим клиентам. Почти точную – в верхней части страницы имеется надпись: «Почему Equifax использует домен, который так легко подделать и создать фишинговый сайт?». По словам Суитинга, за услуги хостинга он заплатил 15 долларов, а на создание сайта у него ушло около 20 минут. При этом число посещений сайта за 10 дней превысило 100 тысяч. И если бы исследователь преследовал неблаговидные цели, то он вполне мог бы иметь на руках персональные данные многих посетителей: для регистрации в программе помощи пострадавшим необходимо ввести на сайте свое имя и номер социального страхования.

Однако и это еще не все. Компания Equifax постоянно дает адрес своего сайта поддержки пострадавших в Twitter. Так вот, начиная с 9 сентября в твитах компании не менее семи раз указывался ошибочный адрес – не equifaxsecurity2017.com, а securityequifax2017.com. При этом Twitter-аккаунт Equifax не был взломан: в адресах элементарно путались сами сотрудники, отправлявшие сообщения. «Я надеюсь, тех стажеров, которые писали сообщения в Twitter, не уволят, – иронически прокомментировал ситуацию Ник Суитинг. – Настоящие виновники проблемы не они, а те, кто выбирал доменное имя и создавал сайт».