InfoTrax Systems descubrió una violación masiva de datos solo después de que los atacantes se quedaron sin espacio de almacenamiento
Lees noticias sobre cómo los piratas informáticos atacan varios servicios en línea y se ayudan a sí mismos con tu información personal todos los días. Las violaciones de datos son de hecho parte de nuestra vida cotidiana, y es poco probable que esto cambie en el corto plazo. Sin embargo, esto no significa que los proveedores de servicios deban tener menos cuidado con sus datos. Desafortunadamente, la historia de la violación de datos de InfoTrax Systems muestra que esto es exactamente lo que está sucediendo.
InfoTrax ofrece una gama de servicios de TI y productos de software a empresas de todo el mundo. La mayoría de sus clientes son empresas de marketing de varios niveles que manejan grandes cantidades de datos que pertenecen a los usuarios finales, pero la forma en que se desarrollaron los eventos es una prueba de que el proveedor de TI no estaba haciendo lo suficiente para proteger toda esa información.
Table of Contents
Cómo fue pirateado InfoTrax
Todo comenzó en mayo de 2014 cuando un pirata informático supuestamente explotó una vulnerabilidad en un sitio web operado por uno de los clientes de InfoTrax. Ejecutaron código malicioso, lo que les permitió tomar el control de uno de los servidores de InfoTrax. Tenían la capacidad de mirar, eliminar y cargar archivos, pero al principio, decidieron no hacer ningún truco que pudiera levantar sospechas. Aparentemente, durante los siguientes veintidós meses, accedieron al servidor un total de diecisiete veces, pero no hicieron ningún esfuerzo por robar o alterar ninguna información.
Sin embargo, el 2 de marzo de 2016, el atacante comenzó a hurgar en las bases de datos. Fue entonces cuando tuvieron acceso a los datos personales de alrededor de 1 millón de personas, incluidos nombres, direcciones físicas y de correo electrónico, números de seguridad social, nombres de usuario y contraseñas. Algunos de los datos pertenecían a sistemas heredados y deberían haberse eliminado, pero las prácticas de gestión de la información de InfoTrax eran tan malas que, al parecer, la empresa ni siquiera sabía de su existencia.
Más tarde ese día, el intruso abrió otro archivo de registro con cientos de nombres y direcciones más, números de Seguro Social y algunos detalles de la tarjeta de pago e información de la cuenta bancaria. El 6 de marzo, el atacante descubrió que pueden descargar datos de inicio de sesión de texto sin formato, lo que les daría acceso a las cuentas de los usuarios finales en sitios web propiedad de vendedores de varios niveles.
A lo largo de todo esto, InfoTrax desconocía completamente el ataque. De hecho, si no fuera por un error de aficionado en nombre del pirata informático, InfoTrax probablemente lo habría ignorado hasta el día de hoy.
El atacante comete un error tonto
Habiendo visto cuántos datos se pueden obtener con relativa facilidad, el pirata informático decidió crear un gran archivo y descargarlos de una vez. Sin embargo, la copia de seguridad debía crearse en el servidor, y el atacante olvidó verificar cuánto espacio de almacenamiento queda. Inevitablemente, el archivo llenó el disco duro e InfoTrax recibió una notificación al respecto. Esto es lo que condujo al descubrimiento del ataque. Sin embargo, no fue el final.
Al enterarse de todo el asunto el 7 de marzo de 2016, InfoTrax tomó medidas para detener al intruso, pero aparentemente, las precauciones no fueron lo suficientemente efectivas. Una semana después, el pirata informático inyectó código malicioso en un sitio web operado por uno de los clientes de InfoTrax. Con él, robaron información de pago durante el proceso de pago. El 29 de marzo, el criminal utilizó credenciales de inicio de sesión robadas para cargar otro script, lo que les ayudó a robar aún más datos personales y financieros.
InfoTrax tendrá que enfrentar la música
El robo ha causado bastante dolor a los clientes y usuarios finales de InfoTrax. Al enterarse de la violación, una de las compañías de marketing multinivel afectadas contrató a un centro de llamadas de terceros propiedad de AllClear ID, Inc. para ayudar con la atención al cliente a raíz del incidente.. Según AllClear ID, cerca de 300 usuarios informaron haber sido defraudados de alguna manera debido a la violación de InfoTrax.
No es sorprendente que la Comisión Federal de Comercio decidiera intervenir y presentar una queja. Según un acuerdo propuesto, InfoTrax no podrá procesar ningún dato personal a menos que demuestre que sus mecanismos de seguridad son lo suficientemente fuertes como para evitar que ocurran incidentes similares en el futuro. Si usted cae dentro de la categoría "muy poco, muy tarde", es decisión suya.
Incluso sin la queja de la FTC, las consecuencias para el negocio de InfoTrax pueden ser bastante serias considerando los errores básicos de gestión de la información que la compañía ha cometido. Con suerte, esta será una lección no solo para InfoTrax sino también para otros proveedores de servicios de TI.
