Det var en två månader gammal bugg som gav hackarna en fri väg in på kreditupplysingsföretaget Equifax, erkänner nu bolaget.

Hackarna ska ha fått med sig personuppgifter tillhörande 143 miljoner kunder, samt kreditkortsuppgifter och annan känslig information tillhörande hundratusentals personer. Dataintrånget ska ha skett i maj, och blev allmänt känt förra veckan när Equifax gick ut med informationen.

Bolaget uppger att hackarna utnyttjade en bugg i Java-ramverket Apache Struts (CVE-2017-5638) som används för att bygga webbapplikationer. Pinsamt nog för Equifax släpptes en uppdatering som täppte till säkerhetshålet hela två månader innan intrånget skedde.

Läs också: Hackare har infiltrerat elnätet i flera länder – "kan ta kontroll bara de vill"

Orsaken till att nästan halva USA:s vuxna befolkning fått se sina personuppgifter läckta verkar alltså vara att Equifax varit dåliga på att uppdatera sina system.

Buggen ska ha utnyttjats flitigt av hackare, men inte varit helt lätt att åtgärda, skriver Arstechnica. För att täppa till säkerhetshålet krävdes det att man byggde om alla webbapplikationer som körde gamla versioner av Struts för att kunna implementera den nya.

Hanteringen av intrånget har varit minst sagt katastrofalt. Inte nog med att Equifax dolde intrånget i månader – de fick själva reda på det i juli – tre av bolagets toppchefer sålde aktier för drygt 14 miljoner kronor dagarna innan de gick ut med nyheten om läckan.

Efter beskedet har aktien rasat, och uppemot 40 amerikanska delstater har gemensamt inlett en undersökning kring Equifax hantering av dataläckan, rapporterar Reuters.

Samtidigt fortsätter Equifax att skakas av nya skandaler, den här gången i Argentina.

Läs också: Yahoo kan tvingas inför domstol efter dataintrånget

Här skyddades kundernas personuppgifter av den kanska sämsta säkerhetsåtgärder någonsin. Den webbapplikation där Equifax-anställda kunde hämta kreditrapporter hade "admin" både som användarnamn och lösenord, avslöjar journalisten Brian Krebs som driver sajten Krebs on security

På insidan av systemet lagrades också inloggningsuppgifter tillhörande alla Equifax-anställda i Argentina. Däribland lösenorden, som fanns att plocka fram i klartext ur sajtens html-kod. Vilket kanske är okej, med tanke på att alla hade sitt efternamn som lösenord.