<div dir="ltr">I actually tried helping coordinate one of the new bugs that someone found and wanted to report to Equifax. Unfortunately, before they had time to even look up from their current conflagration, eyebrows still singed, a reporter published it.<div><br></div><div>At this instant, even one bug report, while completely helpful in the micro-sense, is process-wise another tax on the resources they have working on the big breach. It still has to go into the queue of their existing technical debt in a long mission of what they are already clearly struggling with. </div><div><br></div><div>Not to say don't report it - definitely do and I can help if that's the issue. But that is very different than recommending a bug bounty to them right now.</div><div><br></div><div>But a homeowner currently putting out a fire on their house shouldn't be simultaneously setting up a bug bounty program to pay for folks to point out that each blade of dry grass on their lawn is also flammable and could cause another fire.</div><div><br></div><div>-K8e</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Sep 27, 2017 at 11:06 AM, Kristian Erik Hermansen <span dir="ltr"><<a href="mailto:kristian.hermansen@gmail.com" target="_blank">kristian.hermansen@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto">But clearly Equifax didn't know ALL public facing attack surfaces controlled by Equifax which were affected by that vulnerability. A bug bounty likely would have surfaced those missing attack surfaces. Internal folks always make assumptions about their own network, which is biased and almost never reality.<div dir="auto"><br></div><div dir="auto">From the Equifax blog post:<br><div dir="auto"><ul type="disc" style="font-family:"times new roman";font-size:medium"><li>Based on the company's investigation, Equifax believes the unauthorized accesses to certain files containing personal information occurred from May 13 through July 30, 2017.</li><li>The particular vulnerability in Apache Struts was identified and disclosed by U.S. CERT in early March 2017.</li><li>Equifax's Security organization was aware of this vulnerability at that time, and took efforts to identify and to patch any vulnerable systems in the company's IT infrastructure.</li><li>While Equifax fully understands the intense focus on patching efforts, the company's review of the facts is still ongoing. The company will release additional information when available.</li></ul></div><div dir="auto">There is also no mention of the other International systems that had "admin/admin" as the portal credentials to some customer data.</div><div dir="auto"><br></div><div dir="auto">Just like when Yahoo was affected by HeartBleed in 2014 and went on to write a blog post about "all systems being fully patched and heartbleed no longer being on the Yahoo network" (months later) I disclosed numerous additional systems that Yahoo operated that were still unpatched and leaking private data. It's hard to identify ALL attack surfaces. And even if Equifax thought they were well patched, maybe they forgot to reload the application / libraries or reboot the systems.</div><div dir="auto"><br></div><div dir="auto">Anyone that has run a full entity Internet facing penetration test knows that there is the list that you get from the client that they THINK is the attack surface...and that list is almost always incomplete. It's the duty of a pentester to fill in those gaps, validate if the list is complete, and suggest additional targets for inclusion if appropriate. External attackers don't have that internal organizational bias and that's why you should consult wide external expertise for something so important.</div><div dir="auto"><br></div><div dir="auto">I still stand by the claimed benefits of such a bug bounty system. It's clear that Equifax hadn't patched enough systems quickly enough...well into March and beyond. What if I told you Equifax still has at least one publicly facing system still vulnerable to that March Struts bug? Would that change your mind?</div></div></div>
<br>______________________________<wbr>_________________<br>
Dailydave mailing list<br>
<a href="mailto:Dailydave@lists.immunityinc.com">Dailydave@lists.immunityinc.<wbr>com</a><br>
<a href="https://lists.immunityinc.com/mailman/listinfo/dailydave" rel="noreferrer" target="_blank">https://lists.immunityinc.com/<wbr>mailman/listinfo/dailydave</a><br>
<br></blockquote></div><br></div>