รายงานข้อมูลรั่วไหลจากบริษัท Equifax กลายเป็นประเด็นใหญ่ของวงการความปลอดภัยและความเป็นส่วนตัวของข้อมูลส่วนบุคคล ล่าสุดทาง Apache ออกมาตอบโต้ข่าวจากเว็บ Quartz ที่จับวันที่รายงานการรั่วไหล (8 กันยายน) ไปชนกับการแก้ช่องโหว่ของ Struts ล่าสุดเมื่อวันที่ 6 กันยายน โดยระบุว่าเป็นการใช้ช่องโหว่ก่อนมีการรายงานออกมา

ทาง Apache ระบุว่ารายงานนี้คลาดเคลื่อน เพราะทาง Equifax ออกมายอมรับตรวจพบการบุกรุกตั้งแต่วันที่ 29 กรกฎาคม และตรวจย้อนไปได้ว่าการบุกรุกอาจจะเริ่มตั้งแต่กลางเดือนพฤษภาคม โดยระบุว่าเป็นช่องโหว่ Struts แต่ไม่ได้ระบุว่าเป็นช่องโหว่ใด

กรรมการบริหารโครงการ Apache Struts ย้ำว่าช่องโหว่ที่อยู่ในโค้ดมาแล้ว 9 ปี กับช่องโหว่ที่มีอายุ 9 ปีนั้นต่างกันอย่างมาก โดยช่องโหว่ที่พบมาแล้วนานๆ จะทำให้สงสัยได้ว่าทำไมทีมงานจึงไม่รีบแก้ไข แต่ช่องโหว่ของ Struts มีการแก้ไขอย่างรวดเร็ว

ในการชี้แจงครั้งนี้ทางโครงการยังแนะนำแนวทางความปลอดภัย 5 ประการ

1. ติดตามว่าใช้ไลบรารีหรือเฟรมเวิร์คอะไรในโครงการบ้าง และติดตามข่าวว่ามีช่องโหว่ใดที่ได้รับผลกระทบ
2. สร้างกระบวนการทำงานที่สามารถอัพเดตซอฟต์แวร์เหล่านั้นได้อย่างทันท่วงที โดยแนะนำว่าควรเป็นระดับวัน ไม่ใช่สัปดาห์หรือเดือน
3. ซอฟต์แวร์ซับซ้อนสูงทุกตัวมีช่องโหว่ อย่าอนุมานว่าซอฟต์แวร์จะสมบูรณ์
4. แบ่งชั้นความปลอดภัย ซอฟต์แวร์ที่เชื่อมต่อกับโลกภายนอกไม่ควรเข้าถึงข้อมูลภายในได้ทุกอย่าง
5. มอนิเตอร์การเข้าถึงอย่างผิดปกติ

ที่มา - Apache Blog