Notícias divulgadas na imprensa e em mídias online afirmam que os hackers roubaram dados pessoais de 143 milhões de Americanos da Equifax, empresa de relatório de crédito, explorando uma falha de segurança no Apache Struts framework. O Struts é um framework MVC para a criação de páginas web Java. A Fundação Apache Software, que mantém o framework, liberou uma declaração respondendo às queixas.
Inicialmente, as notícias sugeriram que a brecha poderia ter sido uma falha desconhecida no Struts. A Equifax admitiu que o CVE-2017-5638 foi a vulnerabilidade do Struts usada no ataque, e, desde que este artigo foi publicado, a Fundação Apache também confirmou a informação.
Essa falha, que está no Multipart parser Jakarta no Apache Struts 2 da versão 2.3.x até 2.3.32 e 2.5.x até 2.5.10, foi divulgada e corrigida em março pelo time Apache Struts. Entretanto, a falha ocorreu na Equifax no meio de Maio, e permaneceu aberta até que a empresa descobriu o ocorrido, no final de Julho. Durante este tempo os hackers tiveram acesso aos dados pessoais de clientes incluindo o número de segurança social, datas de aniversários e endereços. 209.000 clientes também tiveram seus números de cartões de créditos acessados e os dados pessoais de um números desconhecidos de cidadãos do Reino Unido e Canadá também foram expostos.
Bastante presente no desenvolvimento de aplicações web Java, os números do Struts em toda a indústria permanece substancial, especialmente no legado de aplicações corporativas. O Comitê de Gerenciamento de Projeto da Fundação Apache Software respondeu às queixas na mídia, elencando vários pontos.
Primeiro, que ainda não está claro se foi ou não a falha no Struts que, de fato, causou o problema. Segundo, caso o problema tenha sido causado por alguma falha no Struts, os hackers devem ter "acessado uma versão antiga em um dos servidores da Equifax que ainda não havia sido corrigido, ou exploraram uma vulnerabilidade ainda não conhecida até o momento".
Esse comentário foi divulgado em função da especulação de que a brecha explorada pelos hackers foi a vulnerabilidade CVE-2017-9805, publicamente anunciada em 4 de setembro, um mês após a brecha na Equifax foi descoberta. A declaração vai em direção aos princípios de engenharia de software que, se seguido por qualquer um que utilize uma biblioteca aberta ou fechada de código, irá "ajudar a prevenir falhas como as que foram, infelizmente, experimentadas pela Equifax".
As ações da Equifax caíram aproximadamente 14% em Wall Street e a BBC relatou que dois comitês do congresso dos EUA vão realizar audiências para ouvir sobre a falha de segurança, enquanto procuradores gerais em Nova Iorque, Illinois, Massachusetts, Connecticut e Pensilvânia também estão abrindo investigações estaduais sobre o incidente.