equifax.tex

\documentclass[conference]{IEEEtran}
\usepackage{cite}
\usepackage{amsmath,amssymb,amsfonts}
\usepackage{algorithmic}
\usepackage{graphicx}
\usepackage{textcomp}
\usepackage{hyperref}
\usepackage[utf8]{inputenc}
\def\BibTeX{{\rm B\kern-.05em{\sc i\kern-.025em b}\kern-.08em
    T\kern-.1667em\lower.7ex\hbox{E}\kern-.125emX}}
\begin{document}

\title{Invasão da Equifax}

\author{\IEEEauthorblockN{Athos Castro Moreno}
    \IEEEauthorblockA{\textit{Departamento de Computação} \\
    \textit{Universidade Tecnológica Federal do Paraná}\\
    Cornélio Procópio, Paraná, Brasil \\
    athos@alunos.utfpr.edu.br}
}

\maketitle

\begin{abstract}
No final de 2017, foi descoberta uma invasão nos sistemas da Equifax, uma bureau de crédito dos Estados Unidos e uma das maiores do ramo. A invasão impactou diretamente milhares de residentes nos
Estados Unidos, além de outros países como Canadá e Reino Unido. Pouco se conhece sobre os invasores e o que fizeram com os dados roubados. A gravidade da invasão, a maneira como os invasões obtiveram acesso e os erros da Equifax
após o anuncio da invasão fizeram deste acontecimento um dos maiores da história da segurança da informação.
\end{abstract}

\begin{IEEEkeywords}
equifax, invasão, segurança, informações, privacidade
\end{IEEEkeywords}

\section{Introdução}
Quando uma pessoa vai abrir uma conta em um banco, obter um cartão de crédito, fazer um empréstimo ou financiamento e diversas outras operações comuns, as informações da pessoa são conferidas através de um
intermediário, geralmente chamado bureau de crédito. Esse intermediário é responsável por armazenar e verificar dados e informar se a pessoa possui crédito suficiente para a operação desejada, inadimplência com pagamentos, dentre outras informações.
É implícito então, que tais bureais de crédito possuem uma vasta gama de informações de todas as pessoas dentro de um pais que guardam seu dinheiro em um banco.
A Equifax Inc. é uma dessas empresas. Porém, a qualidade da segurança da informação destas empresas, tal como a Equifax, as vezes é aquém do esperado pelos consumidores.
Esse artigo é organizado da seguinte maneira: A seção ``A empresa'' dá uma breve descrição sobre a Equifax. A seção ``Descoberta da Invasão'' explica o acontecido. 
A seção ``Vulnerabilidade'' dá detalhes de como os invasores exploraram o sistema. A seção ``Falha Após a Invasão'' mostra diversos procedimentos inadequados da empresa após a invasão.

\section{A empresa}
A Equifax Inc. é uma bureau de crédito criada em 1899 com o nome de \textit{Retail Credit Company} que atua mundialmente e possui sede em Atlanta, Georgia, nos Estados Unidos. 
É uma das três maiores agências de crédito do mundo, junto com a Experian -- que atua no Brasil com a marca Serasa Experian,
ou somente Serasa -- e a TransUnion \cite{Roos2008}.

Além de oferecer informações relacionadas a crédito de consumidores e dados demográficos para empresas e bancos, a Equifax
vende serviços de monitoramento de crédito e anti fraude a pessoas físicas. Nos Estados Unidos, devido regulação, fornecem um
relatório anual gratuito de crédito aos cidadãos \cite{Roos2008} \cite{Garkinkel1995}. 

No Brasil, a Equifax iniciou suas operações em 1998. Em 2011, fundiu suas operações para a Boa Vista Serviços, que administra o Serviço de Proteção ao Crédito, também conhecido
como SPC \cite{BoaVista2018} \cite{Sandrini2011}. 

\section{Descoberta da invasão} 
No dia sete de setembro de 2017, a Equifax anunciou que 143 milhões de pessoas residentes nos Estados Unidos da América tiveram suas informações pessoais comprometidas por invasores 
não identificados. De acordo com a investigação interna da empresa, os acessos dos invasores ocorreram entre o meio de maio até julho de 2017, sendo a invasão identificada e remediada 
em 29 de julho de 2017. No momento do aníncio, era conhecido que a invasão aconteceu através de uma vulnerabilidade em um website da empresa. \cite{Carman2017} \cite{Equifax2017} \cite{Bernard2017} \cite{Moore2017}.

Em outubro de 2017, a Equifax anunciou que a invasão impactou aproximadamente 700 mil pessoas no Reino Unido \cite{Pritchard2017}. 

No começo de 2018, a Equifax anunciou que a invasão afetou mais pessoas do que o número divulgado anteriormente, chegando a aproximadamente 148 milhões de pessoas afetadas \cite{Whittaker2018} \cite{Borak2018} \cite{Clements2018}.

No dia 18 de março de 2018, o ex-executivo da Equifax Jun Ying foi processado pela \textit{Securitites and Exchange Commission} dos Estados Unidos por \textit{insider trading}, que é o uso de informações confidenciais
para ganho próprio no mercado de ações. Dez dias antes da divulgação da invasão, Ying vendeu todas as suas ações da Equifax, evitando uma perda de mais de 117 mil dólares. 

\section{Vulnerabilidade}
O sistema da Equifax foi invadido através de uma vulnerabilidade no \textit{framework} Apache Struts 2, utilizado para o desenvolvimento de aplicações web em larga escala na linguagem Java. A vulnerabilidade explorada
foi a CVE-2017-5638, que permite um invasor enviar uma requisição para o envio de um arquivo modificada para um servidor vulnerável. O invasor pode enviar então, código malicioso no \textit{header} Content-Type para
executar comandos no servidor infectado \cite{Luszcz2018} \cite{Sahu2017}.

A falha no código do Apache Struts 2 foi divulgada em março de 2017, com potenciais explorações em sistemas em produção, sendo considerada uma falha critíca. Desta maneira, os 
sistemas da Equifax ficaram sem a atualização com a correção da CVE-2017-5638 até julho, o que permitiu o acesso aos invasores. Tal fato foi comentado e criticado na imprensa, 
sendo uma negligencia grosseira de segurança por parte da Equifax. O acontecimento também foi comentado pela equipe da Apache Struts, que lamentou o caso e afirmou que 
atualizações de segurança não devem ser negligenciadas e é responsabilidade dos administradores manter seus sistemas atualizados e seguros \cite{Newman2017} \cite{Goodin2017} 
\cite{Dignan2017} \cite{Struts20171} \cite{Struts20172}.

\section{Falhas após a invasão}
No dia seguinte ao anúncio da invasão, a empresa anunciou que disponibilizou seu serviço de proteção a crédito \textit{TrustedID Premier} gratuitamente para quem desejar verificar se foi impactado pela invasão. 
	Porém, momentos após o serviço ser liberado, diversos veículos de notícias anunciaram que os termos de serviço do \textit{TrustedID Premier} incluíam uma cláusula que forçava o consumidor que fizessem o cadastro no serviço a não participar de ações conjuntas contra a Equifax na justiça. Logo após a invasão, já existiam processos relacionados a brecha de segurança \cite{Mosendz2017} \cite{Robertson2017} \cite{Grant2017}.

A Equifax criou um website para facilitar que os usuários a se cadastrarem no \textit{TrustedID Premier}. A URL do website é \url{https://www.equifaxsecurity2017.com}. Diversos usuários, jornalistas e profissionais 
questionaram a escolha do domínio registrado, que é fácil de ser confundido, é semelhante a domínios utilizados para \textit{phishing} e não tem relação direta com o domínio da empresa, \url{https://www.equifax.com}.
Um funcionário da Equifax no Twitter chegou a confundir o endereço e enviar para clientes a URL \url{https://www.securityequifax2017.com}, que no momento estava com uma página semelhante a Equifax, porém com um texto
informando que a página era falsa. O domínio foi registrado por um profissional de segurança momentos depois da Equifax anunciar a brecha e o serviço \cite{Mak2017} \cite{Deahl2017} \cite{Burns2017}. 

Um outro website da Equifax para utilizar o serviço de monitoramento de crédito possuía, pelo menos, uma vulnerabilidade de \textit{cross-site scripting}, também conhecido como ataque XSS. Através deste ataque, um
usuário malicioso poderia modificar a URL da Equifax de maneira que os dados submetidos na página fossem enviados ao usuário malicioso \cite{Whittaker2017}.

Em uma audiência no Congresso dos Estados Unidos, o ex-CEO da Equifax, Richard F. Smith, que pediu demissão do cargo antes de prestar depoimentos, afirmou que a invasão foi causada devido a falha de um único funcionário na empresa, que
supostamente não adotou os procedimentos corretos de segurança. Os deputados questionaram o executivo sobre como uma empresa responsável por dados tão sensíveis pode deixar sua infraestrutura na responsabilidade de uma
única pessoa \cite{Cowley2017}.

\section{Conclusão}
Até o momento, não são conhecidos os invasores da Equifax. Também não é conhecido aonde estão os dados roubados e se foram utilizados. Especula-se que os invasores são de origem russa ou chinesa, com possibilidade de apoio estatal.
A Equifax foi processada diversas vezes devido a invasão. Também há investigações acontecendo no Senado dos Estados Unidos \cite{Schroeder2018} \cite{Darrow2017} \cite{Dungan2018}. Porém, nenhum tipo de sanção foi aplicada a empresa. Após a invasão, a discussão sobre o uso do 
\textit{Social Security Number} nos Estados Unidos retomou, questionando a eficacia de utilizar um número de identificação tão antigo e fácil de ser descoberto, dependendo do caso \cite{Syeed2017}.

O caso da Equifax é um exemplo de como é importante, além de se preocupar com a segurança das informações no controle da empresa, ter um plano de contingencia em caso de invasões, vazamentos ou outros problemas. É necessário transparência com os consumidores e com o público em geral,
fazer um \textit{roadmap} das atividades a serem feitas para a remediação do problema e não tentar esconder ou remediar de maneiras ilegais ou duvidosas. Também mostra como é necessário ter em mente as tecnologias que estão sendo utilizadas nos \textit{softwares} que estão sendo 
construídos e utilizados na empresa, mantendo os mesmos sempre atualizados e em constante acompanhamento.

\bibliographystyle{IEEEtran}
\bibliography{bibliografia}

\end{document}