O ex-CEO da Equifax Richard Smith prestou depoimento diante de uma Comissão do Congresso de Energia e Comércio nos Estados Unidos e revelou: falha de segurança que levou ao vazamento maciço de dados da empresa foi culpa de um único funcionário.
Apesar da afirmação surpreendente, Smith não apontou o nome do administrador do sistemas que teria falhado em suas atribuições e não teria recomendado uma atualização crítica do servidor.
É sabido que os cibercriminosos responsáveis pela extração de dados confidenciais de quase metade da população dos Estados Unidos se aproveitaram de uma falha do Struts do servidor Apache. Entretanto, em Março, na ocasião do primeiro ataque que levou à brecha, a vulnerabilidade não apenas já era de conhecimento público como já havia uma correção disponível havia meses e o CERT (Centro de Estudos para Resposta e Tratamento de Incidentes em Computadores) emitiu um alerta de alta prioridade para todas as empresas do país sobre a ameaça.
De acordo com o depoimento de Smith, a equipe de segurança interna da Equifax chegou a debater sobre a vulnerabilidade do Struts no dia que o alerta do CERT foi publicado, mas falhou em seguir o protocolo exigido para a situação. O procedimento padrão envolvia duas etapas: aplicar a atualização e fazer um teste em larga escala para verificar se a brecha de segurança persistia. Segundo Smith, nenhuma das etapas foi executada, em virtude da falha do gerente responsável em enfatizar a importância da correção.
“Nós sabemos agora que a versão vulnerável do Apache Struts dentro da Equifax não foi identificada ou corrigida em resposta à notificação interna de 9 de Março”, declarou o ex-CEO em seu depoimento por escrito. Ao ser questionado pelos parlamentares que formam a comissão que investiga o incidente, o executivo apontou a culpa do funcionário: “a falha humana foi que o indivíduo que é responsável por comunicar na organização que era para aplicar a correção não o fez”.
O Congressista Republicano Greg Walden se espantou com a revelação e buscou esclarecimentos: “isso significa que esse indivíduo sabia que o software estava ali e precisava ser corrigido e não comunicou à equipe que realizaria a atualização?”. No que Richard Smith respondeu: “esse é o meu entendimento, senhor”.
