GOPHERSPACE.DE - P H O X Y
gophering on hngopher.com
HN Gopher Feed (2017-10-03) - page 1 of 10
 
___________________________________________________________________
Fresh Horrors from Equifax CEO Richard Smith's Congressional
Hearing
77 points by wglb
https://www.wired.com/story/equifax-ceo-congress-testimony
___________________________________________________________________
 
tejaswiy - 9 minutes ago
> Second, Smith blamed a scanning system used to spot this sort of
oversight that did not identify the customer-dispute portal as
vulnerable. Smith said forensic investigators are still looking
into why the scanner failed.Do these scanners ever work? Without
naming names, the only reason we used this at a previous company
was to kind of handwave around hey we have this tool doing regular
security checks.> The first excuse Smith gave was "human error." He
says there was a particular (unnamed) individual who knew that the
portal needed to be patched but failed to notify the appropriate IT
team.How is this one individual responsible for tracking all IT
security vulnerabilities in all the technologies that equifax uses
across its stack? How do they not have an admin team whose job it
is to do these things?
 
  mikekij - 4 minutes ago
  Apparently the right user:security engineer ratio is
  143,000,000:1. /s
 
  tehwebguy - 3 minutes ago
  Maybe he was talking about himself?
 
cody8295 - 5 minutes ago
To think it could have all been avoided with simple encryption.
Seriously how does a company like Equifax not encrypt this kinda
stuff?
 
ceejayoz - 45 minutes ago
> In a moment of true dystopian chaos, the official Equifax Twitter
account repeatedly tweeted a phishing link, mistaking it for the
breach response page.It wasn't a phishing site, Wired. It was a
site designed to point out that their approach is susceptible to
phishing. Entering data in the form gave you a scolding.> The
Equifax Breach Exposes America's Identity Crisis When asked by
multiple lawmakers why Equifax set up this separate site, Smith
said that the company's main domain was not architected to process
the enormous traffic the company knew would come its way after the
announcement. In all, Smith said the independent breach response
site has had 400 million consumer visits, which would have crumpled
the main site.They could have done a subdomain and pointed it at
the site.
 
  positr0n - 33 minutes ago
  > It wasn't a phishing site, Wired. It was a site designed to
  point out that their approach is susceptible to phishing.
  Entering data in the form gave you a scolding.I'd argue it was a
  phishing site. Just fortunately it was controlled by white hats.
 
  matt_wulfeck - 30 minutes ago
  What a bizarre excuse. Do their IT teams know about subdomains?
 
    macintux - 8 minutes ago
    In fairness, I could easily see people ignoring the subdomain
    and just going to the main site. Of course, that probably
    happened anyway.
 
dtran - 31 minutes ago
> When asked by multiple lawmakers why Equifax set up this separate
site, Smith said the company's main domain was not architected to
process the enormous traffic the company knew would come its way
after the announcement. In all, Smith said, the independent breach-
response site has had 400 million consumer visits, which would have
crumpled the main site.Apparently they've never heard of
subdomains, static pages, reverse proxies, and solutions anyone on HN could come up with off the top of their
heads>?
 
  rconti - 27 minutes ago
  Right. I think it's code for "I think domain means website, and
  our technical folks said our existing corp site didn't have the
  capacity, so we told them to setup a 'completely separate site'".
 
    brandnewlow - 21 minutes ago
    Also maybe "Our marketing folks want all the angry links to
    point to a separate domain we don't care aboout vs. our main
    web site"
 
      mrkurt - 8 minutes ago
      This is PR recommendation #1 when you get breached.
 
      mikekij - 5 minutes ago
      ^ This. SEO basically.
 
  austenallred - 24 minutes ago
  Ya, that solution alone says a lot about the technical decision-
  making taking place.Especially given that random numbers input to
  the site returned that data had been compromised.
 
  akg_67 - 11 minutes ago
  Most probably their marketing and legal team came up with the
  idea. Once the outcry blows over turn off the site and all
  incoming external links become dead. After a while general public
  will not remember and wouldn?t associate their main site with
  this incident through search. Legal might have encouraged to have
  two fully independent sites. I will not be surprised two sites
  belong to two separate legal entities. Just a speculation on my
  part considering how US corporate behave.
 
uptown - 29 minutes ago
?IRS awards multimillion-dollar fraud-prevention contract to
Equifax?The no-bid contract was issued last week, as the company
continued facing fallout from its massive security
breach.http://www.politico.com/story/2017/10/03/equifax-irs-
fraud-p...
 
  aresant - 7 minutes ago
  The solution to stopping stupidity like this is to take a 12
  month tour of duty at the US Digital
  Service:https://www.usds.gov/join#tours-of-dutyYes the
  bureaucrats, lobbyists, and special interests will continue
  fucking everything up.But the USDS is set up so that at least
  competent technologists can throw up some objective defense vs.
  the government officials who really think Equifax is a viable
  solution aka "Nobody ever got fired buying an IBM."
 
    kelnos - 3 minutes ago
    Yes and no.  USDS doesn't exactly have domain over all US gov't
    IT decisions, and aren't even involved or have any influence
    over a lot of things.Not to mention that the idea of taking a
    massive pay cut and having to move to DC holds no appeal to me.
 
sputknick - 28 minutes ago
#2 is the most disturbing to me, simply because it's SO SIMPLE.
Know your environment, patch it. My guess would be the reason their
security scanners didn't alert to the missing patch was that they
scanner had not been updated. Again, SO SIMPLE, get updated
definitions anytime you scan.#4 I'm fine with, the CEO meeting on
IT security quarterly sounds adequate to me. His involvement in IT
security should not extend beyond ensuring policy is in place and
being acted on. Quarterly is more than adequate to ensure this is
being done.
 
  TallGuyShort - 15 minutes ago
  Agreed on #2. Quarterly meetings with CEO about security don't
  seem so bad in the general case (although in Equifax's case,
  security is a way bigger deal), but that shouldn't be all. Only 1
  person knew about the patch? Even a medium-size enterprise where
  security is even a moderate concern should have more people than
  that focused on security 100% of the time.
 
danjoc - 24 minutes ago
"The company announced Monday that the total number of people
impacted by its breach is not 143 million?the amount it first
disclosed?but in fact 145.5 million. Its ability to casually
misplace 2.5 million lives upended by the breach is alarming"I
can't really take the author too seriously after reading that.
 
  pc2g4d - 22 minutes ago
  Why not?
 
    vintageseltzer - 7 minutes ago
    It's purposefully alarmist. "[Equifax] casually misplace[d] 2.5
    million lives" sounds much more dramatic than "Equifax revised
    their estimate of the number of affected customers by +1.7%."
 
    rawrmaan - 18 minutes ago
    It's kind of a ridiculous statement. A counting error is
    nowhere near is shocking as the initial breach, especially
    considering it happened after the breach.
 
      GuB-42 - 4 minutes ago
      It is bad because not only they let someone in but they don't
      know what he did despite having recorded everything (or so
      they said). It means that maybe more is to come.