Equifax запускает WordPress-Powered сайт для потребителей, пострадавших от нарушения безопасности

фото кредита: Блокировка(лицензия)

Equifax запустила сайт WordPress, чтобы связаться с потребителями, пострадавшими от его недавнего нарушения безопасности, которое скомпрометировало личные данные 143 миллионов клиентов. Разоблаченные данные включают имена, даты рождения, номера социального страхования, адреса, номера кредитных карт, номера водительских прав и другую конфиденциальную финансовую информацию.

Сайт equifaxsecurity2017.com был запущен вскоре после раскрытия информации, чтобы дать потребителям информацию об инциденте безопасности. Equifax сообщает, что компания не нашла никаких доказательств несанкционированной деятельности на своих основных потребительских или коммерческих баз данных кредитной отчетности, но предлагает бесплатную защиту от кражи личных данных и кредитные услуги мониторинга файлов для потребителей США, которые вводят их последний имена и последние шесть цифр их номера социального страхования в его форме.

Потребители по праву опасаются веб-сайта, так как компания просит больше личной информации для того, чтобы подписать людей на другой из своих продуктов. Различные новостные агентства осуждают тот факт, что сайт построен на WordPress.

«Кроме того, веб-сайт, который Equifax создал, чтобы уведомить людей о нарушении, является весьма проблематичным по целому ряду причин», Ars Technica безопасности редактор Дэн Гудин сказал. «Он работает на фондовой установки WordPress, система управления контентом, которая не обеспечивает предприятия класса безопасности, необходимой для сайта, который просит людей предоставить свою фамилию и все, кроме трех цифр их номер социального страхования».

Гудин также сослался на вывод https://www.equifaxsecurity2017.com/wp-json/wp/v2/users/ который ранее в тот же день разоблачил имя пользователя для администратора сайта до того, как страница была защищена.

В справочнике WordPress есть раздел, посвященный сообщениям об уязвимостях в системе безопасности, в который объясняется, почему раскрытие имен пользователей или интих пользователей не является проблемой безопасности:

Проект WordPress не считает имена пользователей или идентификаторы пользователей частной или безопасной информацией. Имя пользователя является частью вашей онлайн-идентификации. Он предназначен для идентификации, а не проверки, кто вы говорите, что вы. Проверка — это работа пароля.

Вообще говоря, люди не считают имена пользователей секретными, часто делимся ими открыто. Кроме того, многие крупные онлайн-учреждения , такие как Google и Facebook — покончили с именами пользователей в пользу адресов электронной почты, которые делятся вокруг постоянно и свободно. WordPress также переехал таким образом, позволяя пользователям войти в систему с адресом электронной почты или имя пользователя с версии 4.5.

WordPress Core Безопасности руководитель Аарон Кэмпбелл уточнил этот раздел руководства, чтобы подтвердить, что пользователи конечная точка предназначена для открытой конечной точки API, которая служит общедоступных данных.

«Это на самом деле включают имена пользователей и идентиматарных данных пользователей (среди прочего) для пользователей, которые опубликовали сообщения в типе поста, который настроен на использование API, но все данные считаются общедоступными», сказал Кэмпбелл.

Кэмпбелл также сказал, что он опасается ввода персональных данных на веб-сайте equifaxsecurity2017.com, но не потому, что он использует WordPress.

«Я не думаю, что тот факт, что он работает на WordPress является озабоченность с точки зрения безопасности, с оговоркой, что я не знаю, что else он использует», сказал Кэмпбелл. «Equifax» является надежным брендом, но это не официальный домен Equifax и sSL сертификат не проверяет право собственности. Таким образом, вы знаете, ваши данные зашифрованы, но не обязательно, кому они отправляются, так как вы не знаете, кому принадлежит сайт».

Непонятно, почему Equifax просто не построила информационный сайт на своем домене. По словам следователя по безопасности Брайан Кребс, компания, как представляется, нанял Edelman PR, глобальная PR фирма, для обработки его общественного ответа на утечку данных, ссылаясь на имя пользователя публично отображается WordPress ‘API. Edelman PR решил использовать бесплатный сертификат Cloudflare для обеспечения безопасности сайта.

Потребители были также от положить по фразе арбитражной оговорки, включенной в условия холостого кредитного мониторинга, который, как представляется, заставить тех, кто подписался отказаться от своих прав на участие в коллективных исков против компании.

«Я не могу вспомнить предыдущую утечку данных, в которой нарушенные компании общественного охвата и ответ был настолько случайным и непродуманным», сказал Кребс.

Кеннет Уайт, исследователь безопасности и директор Open Crypto Audit Project, сказал на Twitter, что он был поражен сайт работает акции WordPress, но что его комментарии конкретно ссылки на небрежный реализации сайта.

Из-за того, как сайт был создан, он появился для многих потребителей и исследователей, как Equifax способ срыва или, возможно, даже мошенничества тех, кто, возможно, были затронуты нарушения. Различные браузеры помечали его как фишинговую угрозу, и некоторые потребители обнаружили, что они получили разные ответы от формы в зависимости от того, проверялись ли они с настольными или мобильными устройствами. В ответ на инцидент с веб-сайта, который, как представляется, были поспешно реализованы для своего собственного удобства и корпоративных интересов, Equifax упустил возможность вернуть все оставшиеся доверие потребителей со стороны общественности.

Хотите написать для WP таверне? Мы всегда принимаем гостевые сообщения от сообщества и ищем новых участников. Свяжитесь с нами и давайте обсудим ваши идеи.

 

Оригинал: wptavern.com

Добавить комментарий

%d такие блоггеры, как: