InfoTrax-systemer opdagede en massiv dataovertrædelse først, efter at angriberen løb tør for lagerplads

InfoTrax Systems Data Breach

Du læser nyheder om, hvordan hackere angriber forskellige onlinetjenester og hjælper sig selv til dine personlige oplysninger hver dag. Dataovertrædelser er faktisk en del af vores hverdag, og det er usandsynligt, at det snart vil ændre sig. Dette betyder dog ikke, at tjenesteudbydere skal være mindre forsigtige med dine data. Desværre viser historien om InfoTrax Systems 'dataovertrædelse, at det er nøjagtigt, hvad der sker.

InfoTrax leverer en række it-tjenester og softwareprodukter til virksomheder over hele verden. De fleste af dets kunder er virksomheder på flere niveauer, der håndterer store mængder data, der hører til slutbrugerne, men den måde, hvor begivenheder er udfoldet, er et bevis på, at IT-leverandøren ikke gjorde nok for at beskytte alle disse oplysninger.

Hvordan InfoTrax blev hacket

Det hele startede i maj 2014, da en hacker angiveligt udnyttede en sårbarhed på et websted, der drives af en af InfoTraxs kunder. De kørte ondsindet kode, som lod dem tage kontrol over en af InfoTrax's servere. De havde evnen til at se på, slette og uploade filer, men i første omgang besluttede de ikke at trække nogen tricks, der kunne rejse mistanke. I de næste toogtyve måneder fik de tilsyneladende adgang til serveren i alt sytten gange, men de gjorde ingen forsøg på at stjæle eller ændre nogen information.

Den 2. marts 2016 begyndte angriberen imidlertid at pirke gennem databaserne. Det var da de fik adgang til de personlige detaljer for omkring 1 million mennesker, inklusive navne, fysiske og e-mail-adresser, Social Security Numbers, brugernavne og adgangskoder. Nogle af dataene tilhørte ældre systemer og burde have været slettet, men InfoTrax's informationshåndteringspraksis var så dårlige, at virksomheden tilsyneladende ikke engang vidste om dens eksistens.

Senere samme dag åbnede den ubudne gæst en anden logfil med hundreder af flere navne og adresser, Social Security Numbers og nogle betalingskortoplysninger og bankkontooplysninger. Den 6. marts fandt angriberen ud af, at de kan downloade login-data til almindelig tekst, hvilket ville give dem adgang til slutbrugeres konti på websteder, der ejes af marketingfolk på flere niveauer.

I løbet af alt dette var InfoTrax helt uvidende om angrebet. I virkeligheden, var det ikke for en amatørmæssig fejl på hackernes vegne, ville InfoTrax sandsynligvis have været uvidende om det indtil i dag.

Angriberen begår en fjollet fejl

Efter at have set, hvor meget data der kan fås relativt let, besluttede hackeren at oprette et stort arkiv med det og downloade det hele på én gang. Backupen skulle dog oprettes på serveren, og angriberen glemte at kontrollere, hvor meget lagerplads der er tilbage. Uundgåeligt udfyldte arkivet harddisken, og InfoTrax fik en anmeldelse om det. Det var, hvad der førte til opdagelsen af angrebet. Det var dog ikke slutningen.

Da han lærte om det hele den 7. marts 2016, tog InfoTrax skridt til at stoppe den ubudne gæst, men tilsyneladende var forholdsreglerne ikke effektive nok. En uge senere injicerede hacker ondsindet kode på et websted, der drives af en af InfoTraxs kunder. Med det hentede de betalingsoplysninger under kassen. Den 29. marts brugte den kriminelle stjålne loginoplysninger til at uploade et andet script, hvilket hjalp dem med at stjæle endnu mere personlige og økonomiske data.

InfoTrax bliver nødt til at møde musikken

Tyveriet har skabt en hel del sorg til InfoTrax-kunder og slutbrugere. Efter at have fået at vide om overtrædelsen, hyrede et af de berørte multi-level marketingfirmaer et tredjeparts callcenter ejet af AllClear ID, Inc. til at hjælpe med kundesupporten i kølvandet på hændelsen. Ifølge AllClear ID har næsten 300 brugere rapporteret at være bedraget på en eller anden måde på grund af InfoTrax-overtrædelsen.

Ikke overraskende besluttede Federal Trade Commission at træde ind og indgive en klage. Ifølge en foreslået afvikling vil InfoTrax ikke have tilladelse til at behandle personlige data, medmindre de beviser, at dens sikkerhedsmekanismer er stærke nok til at forhindre lignende hændelser i fremtiden. Hvorvidt dette falder ind under kategorien "for lidt, for sent" skal du beslutte.

Selv uden FTC-klagen kan konsekvenserne for InfoTrax-forretningen være ret alvorlige i betragtning af de grundlæggende fejl i forvaltningen af oplysninger, som virksomheden har begået. Forhåbentlig vil dette være en lektion ikke kun for InfoTrax men også for andre it-tjenesteudbydere.

November 14, 2019
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.