InfoTrax Systems entdeckte eine massive Datenverletzung, nachdem die Angreifer keinen Speicherplatz mehr hatten
Sie lesen Nachrichten darüber, wie Hacker verschiedene Onlinedienste angreifen, und greifen täglich auf Ihre persönlichen Informationen zu. Datenschutzverletzungen gehören in der Tat zu unserem Alltag, und es ist unwahrscheinlich, dass sich dies bald ändern wird. Dies bedeutet jedoch nicht, dass Dienstanbieter weniger vorsichtig mit Ihren Daten umgehen sollten. Leider zeigt die Geschichte der Datenverletzung von InfoTrax Systems, dass genau dies geschieht.
InfoTrax bietet Unternehmen auf der ganzen Welt eine Reihe von IT-Diensten und Softwareprodukten. Die meisten seiner Kunden sind Multi-Level-Marketing-Unternehmen, die mit großen Datenmengen der Endbenutzer umgehen. Die Art und Weise, wie sich Ereignisse abspielten, ist jedoch ein Beweis dafür, dass der IT-Anbieter nicht genug unternommen hat, um all diese Informationen zu schützen.
Table of Contents
Wie InfoTrax gehackt wurde
Alles begann im Mai 2014, als ein Hacker angeblich eine Sicherheitslücke in einer Website ausnutzte, die von einem Kunden von InfoTrax betrieben wurde. Sie haben bösartigen Code ausgeführt, mit dem sie die Kontrolle über einen der InfoTrax-Server übernehmen konnten. Sie hatten die Möglichkeit, Dateien anzusehen, zu löschen und hochzuladen, entschieden sich jedoch zunächst, keine Tricks auszuprobieren, die Verdacht erregen könnten. Anscheinend haben sie in den nächsten zweiundzwanzig Monaten insgesamt siebzehn Mal auf den Server zugegriffen, aber sie haben keine Anstrengungen unternommen, um Informationen zu stehlen oder zu ändern.
Am 2. März 2016 begann der Angreifer jedoch, durch die Datenbanken zu stöbern. Zu diesem Zeitpunkt erhielten sie Zugang zu den persönlichen Daten von rund 1 Million Menschen, einschließlich Namen, physischen und E-Mail-Adressen, Sozialversicherungsnummern, Benutzernamen und Passwörtern. Einige der Daten gehörten zu Legacy-Systemen und hätten gelöscht werden müssen, aber die Informationsmanagement-Praktiken von InfoTrax waren so schlecht, dass das Unternehmen anscheinend nicht einmal über seine Existenz Bescheid wusste.
Später am selben Tag öffnete der Eindringling eine weitere Protokolldatei mit Hunderten weiteren Namen und Adressen, Sozialversicherungsnummern sowie Angaben zu Zahlungskarten und Bankkonten. Am 6. März stellte der Angreifer fest, dass er Klartext-Anmeldedaten herunterladen kann, mit denen er auf Websites von Multi-Level-Marketern auf die Konten der Endbenutzer zugreifen kann.
Währenddessen war sich InfoTrax des Angriffs überhaupt nicht bewusst. Wäre es nicht für den Hacker ein amateurhafter Fehler gewesen, hätte InfoTrax ihn wahrscheinlich bis heute nicht bemerkt.
Der Angreifer macht einen dummen Fehler
Nachdem der Hacker gesehen hatte, wie viele Daten relativ einfach abgerufen werden können, entschloss er sich, ein großes Archiv davon zu erstellen und alles auf einmal herunterzuladen. Die Sicherung musste jedoch auf dem Server erstellt werden, und der Angreifer vergaß zu prüfen, wie viel Speicherplatz noch verfügbar ist. Das Archiv füllte unweigerlich die Festplatte, und InfoTrax wurde darüber benachrichtigt. Dies führte zur Entdeckung des Angriffs. Es war jedoch nicht das Ende.
Als InfoTrax am 7. März 2016 von der ganzen Sache erfuhr, unternahm es Schritte, um den Eindringling zu stoppen, aber anscheinend waren die Vorsichtsmaßnahmen nicht effektiv genug. Eine Woche später fügte der Hacker bösartigen Code in eine Website ein, die von einem Kunden von InfoTrax betrieben wurde. Damit haben sie die Zahlungsinformationen während des Bestellvorgangs gestohlen. Am 29. März nutzte der Kriminelle die gestohlenen Anmeldeinformationen, um ein weiteres Skript hochzuladen, mit dem er noch mehr persönliche und finanzielle Daten stehlen konnte.
InfoTrax muss sich der Musik stellen
Der Diebstahl hat InfoTrax-Kunden und Endbenutzern viel Leid bereitet. Als eines der betroffenen Multi-Level-Marketing-Unternehmen von der Sicherheitsverletzung erfuhr, beauftragte es ein Callcenter eines Drittanbieters von AllClear ID, Inc., um den Kundendienst nach dem Vorfall zu unterstützen. Laut AllClear ID haben fast 300 Benutzer gemeldet, dass sie auf irgendeine Weise wegen der Verletzung von InfoTrax betrogen wurden.
Es überrascht nicht, dass die Federal Trade Commission beschlossen hat, eine Beschwerde einzureichen. Gemäß einer vorgeschlagenen Regelung darf InfoTrax keine personenbezogenen Daten verarbeiten, es sei denn, dies belegt, dass die Sicherheitsmechanismen stark genug sind, um ähnliche Vorfälle in Zukunft zu verhindern. Ob dies unter die Kategorie "zu wenig, zu spät" fällt, können Sie selbst entscheiden.
Auch ohne die FTC-Beschwerde können die Konsequenzen für das InfoTrax-Geschäft angesichts der grundlegenden Informationsverwaltungsfehler, die das Unternehmen begangen hat, sehr schwerwiegend sein. Hoffentlich wird dies nicht nur für InfoTrax, sondern auch für andere IT-Dienstleister eine Lehre sein.
