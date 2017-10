Dat zegt een beveiligingsonderzoeker die anoniem wil blijven tegenover Motherboard. Bij de hack werd de persoonlijke data van ruim 145 miljoen Amerikanen gestolen. Het gaat onder meer om burgerservicenummers, adressen en geboortedata.

De beveiligingsonderzoeker ontdekte aan het einde van 2016 dat er een website van het kredietbureau was waarmee hij toegang kon krijgen tot de persoonlijke data van iedere Amerikaan. Het leek er op dat de pagina ontwikkeld was voor werknemers van Equifax, maar iedereen zou er bij kunnen komen.

Op de website stonden zoekvelden, waarmee gezocht kon worden naar persoonlijke informatie over alle Amerikanen. De onderzoeker downloadde gegevens van in totaal honderdduizenden Amerikanen om de kwetsbaarheden in het systeem aan Equifax te tonen.

Ook was het mogelijk om de controle over vijf verschillende servers van het kredietbureau over te nemen, stelt de onderzoeker. Diverse servers draaiden bovendien op verouderde software.

Waarschuwing

De kwetsbaarheden werden in december 2016 ontdekt. De beveiligingsonderzoeker zegt ze vervolgens direct bij Equifax gemeld te hebben. De website zou echter pas in juni offline zijn gehaald.

Equifax zei eerder dat de aanval heeft kunnen plaatsvinden door een lek in opensource-serversoftware. Het gaat om Apache Struts. De hackers zijn op 13 mei voor het eerst de systemen van het kredietbedrijf binnengedrongen, en als laatste op 30 juli. Op 29 juli werd de hack door Equifax ontdekt.

Equifax heeft geweigerd om te reageren op het verhaal van de onderzoeker.