Nach einem Hack schickte die US Wirtschaftsauskunftei Equifax seine potentiell betroffenen Kunden auf eine falsche Seite – die nichts mit dem Unternehmen zu tun hat. Aber auch die seit Wochen bereitgestellte Seite für betroffene Kunden gehört nicht zu Equifax.
Anzeige
Die amerikanische Wirtschaftsauskunftei Equifax war ja Monate lang gehackt, ohne es zu merken und Daten von 143 Millionen US-Bürgern, sowie weiterer Kunden im Ausland wurden entwendet. Über die Hacks der US Wirtschaftsauskunftei Equifax und die sich ergebenden Pannen habe ich in den letzten Wochen regelmäßig berichtet (siehe Artikelliste am Ende dieses Beitrags).
Neue Panne
Jetzt berichtet The Verge über die neueste Panne bei Equifax. Das Unternehmen hat eine Webseite www.equifaxsecurity2017.com aufgesetzt, auf der sich potentiell betroffene Kunden informieren konnten. Über die Schaltfläche POTENTIAL IMPACT konnten Kunden zu einer Webseite gelangen, auf der ein Formular zur Überprüfung der Betroffenheit zu finden war. Durch Eingabe eines Namens und großen Teilen der Sozialversicherungsnummer sollte geprüft werden, ob man betroffen war.
Eine solche Webseite ist recht kritisch zu sehen, muss der Kunde dieser doch vertrauen können – er gibt schließlich persönliche und möglicherweise sensitive Daten ein. Als erstes fiel auf: Die Prüfung selbst schien wenig sinnvoll zu sein (siehe mein Beitrag Equifax: Prüfseite nutzlos und anfällig für XSS). Aber es kommt noch dicker. Die Webseite www.equifaxsecurity2017.com gehört nicht zu Equifax, sondern zu einer Firma EFX, die ein Callcenter und Pressedienste betreibt.
Anzeige
(Quelle: The Verge)
Nun ist Equifax per Twitter ein weiterer Lapsus passiert. In der oben dokumentierten Nachricht schickt man einen betroffenen Kunden auf die Webseite http: // securityequifax2017[dot]com/ – kleiner Tippfehler, der es aber in sich hat.
Google Chrome zeigt mir die obige Meldung, wenn ich den Link aufrufe. Ein Alptraum für betroffene Kunden und ich denke auch für den betroffenen Mitarbeiter.
Ähnliche Artikel
GAU: US Wirtschaftsauskunftei Equifax gehackt
Equifax-Hack Schlampereien: Apatche Struts ungepatcht
Equifax: Prüfseite nutzlos und anfällig für XSS
Equifax-Hack nutzte Apache Struts-Lücke
Equifax bereits im März 2017 gehackt
Anzeige
Das habe ich letzte Woche ein wenig anders gelesen, die Abfrage Seite auf der sich Kunden informieren konnten ob ihre Daten betroffen sind war so dilettantisch gemacht das man ohne viel wissen die Seite Korrumpieren konnte, dadurch haben viele User höchstwahrscheinlich den "Achtung Phishing Versuch" Button im Browser geklickt.
Hab mich eigentlich schon immer gefragt wie viele Leute diesen Button drücken müssten bis Google die Seite sperrt und ob Google die Seiten überhaupt überprüft, denn Eigentlich ist der "Achtung Phishing Versuch melden" der Inbegriff eines dislike Button.
Man könnte so gewisse Seiten im Netz einfach per dislike Abstimmung aus dem Netz Verbannen. Sozusagen eine übergeordnete #DasMaasistvoll Sperre.
Im Grunde kann einem das auch passieren, wenn man sich bei einer bekannten URL vertippt. Da warten die Geier nur darauf.