0 Compartilhamentos 450 Views

Ex-CEO da Equifax culpa funcionário por falha de segurança que levou a vazamento de dados

3 de outubro de 2017

O ex-CEO da Equifax Richard Smith prestou depoimento diante de uma Comissão do Congresso de Energia e Comércio nos Estados Unidos e revelou: falha de segurança que levou ao vazamento maciço de dados da empresa foi culpa de um único funcionário.

Apesar da afirmação surpreendente, Smith não apontou o nome do administrador do sistemas que teria falhado em suas atribuições e não teria recomendado uma atualização crítica do servidor.

É sabido que os cibercriminosos responsáveis pela extração de dados confidenciais de quase metade da população dos Estados Unidos se aproveitaram de uma falha do Struts do servidor Apache. Entretanto, em Março, na ocasião do primeiro ataque que levou à brecha, a vulnerabilidade não apenas já era de conhecimento público como já havia uma correção disponível havia meses e o CERT (Centro de Estudos para Resposta e Tratamento de Incidentes em Computadores) emitiu  um alerta de alta prioridade para todas as empresas do país sobre a ameaça.

De acordo com o depoimento de Smith, a equipe de segurança interna da Equifax chegou a debater sobre a vulnerabilidade do Struts no dia que o alerta do CERT foi publicado, mas falhou em seguir o protocolo exigido para a situação. O procedimento padrão envolvia duas etapas: aplicar a atualização e fazer um teste em larga escala para verificar se a brecha de segurança persistia. Segundo Smith, nenhuma das etapas foi executada, em virtude da falha do gerente responsável em enfatizar a importância da correção.

“Nós sabemos agora que a versão vulnerável do Apache Struts dentro da Equifax não foi identificada ou corrigida em resposta à notificação interna de 9 de Março”, declarou o ex-CEO em seu depoimento por escrito. Ao ser questionado pelos parlamentares que formam a comissão que investiga o incidente, o executivo apontou a culpa do funcionário: “a falha humana foi que o indivíduo que é responsável por comunicar na organização que era para aplicar a correção não o fez”.

O Congressista Republicano Greg Walden se espantou com a revelação e buscou esclarecimentos: “isso significa que esse indivíduo sabia que o software estava ali e precisava ser corrigido e não comunicou à equipe que realizaria a atualização?”. No que Richard Smith respondeu: “esse é o meu entendimento, senhor”.

Carregando...

Você pode se interessar

15 ferramentas de desenvolvimento para melhorar sua produtividade em 2021 sem gastar nada
Artigos
94 visualizações
Artigos
94 visualizações

15 ferramentas de desenvolvimento para melhorar sua produtividade em 2021 sem gastar nada

Carlos L. A. da Silva - 2 de abril de 2021

O cenário de desenvolvimento está em constante mudança e muitas vezes uma ferramenta nova pode agilizar muito seu trabalho.

A tecnologia por trás do deep fake de Deep Nostalgia
Artigos
100 visualizações
Artigos
100 visualizações

A tecnologia por trás do deep fake de Deep Nostalgia

Carlos L. A. da Silva - 22 de março de 2021

Serviço do My Heritage permite "animar" fotos do passado, trazendo vida para seus antepassados. Como isso é possível?

Como se tornar um Engenheiro DevOps em 2021
Artigos
97 visualizações
Artigos
97 visualizações

Como se tornar um Engenheiro DevOps em 2021

Carlos L. A. da Silva - 1 de março de 2021

A consultora de DevOps e evangelista Nana Janashia apresenta um passo a passo de tudo que você precisa saber para dominar o DevOps em 2021.

Deixe um Comentário

Your email address will not be published.

Mais publicações

Seus dados vazaram. E agora?
Artigos
79 visualizações
79 visualizações

Seus dados vazaram. E agora?

Carlos L. A. da Silva - 19 de fevereiro de 2021
Entendendo o elemento time em HTML 5
Artigos
91 visualizações
91 visualizações

Entendendo o elemento time em HTML 5

Carlos L. A. da Silva - 5 de fevereiro de 2021
Como cortar texto sem usar uma linha de script
Dicas
91 visualizações
91 visualizações

Como cortar texto sem usar uma linha de script

Carlos L. A. da Silva - 11 de janeiro de 2021