InfoTrax Systems a découvert une violation massive de données uniquement après que les attaquants eurent épuisé leur espace de stockage
Vous lisez des nouvelles sur la manière dont les pirates informatiques attaquent divers services en ligne et vous aidez-vous à votre information personnelle chaque jour. Les violations de données font en effet partie de notre vie quotidienne et il est peu probable que cela change d'ici peu. Cela ne signifie toutefois pas que les fournisseurs de services doivent être moins attentifs à vos données. Malheureusement, l'histoire de la violation de données d'InfoTrax Systems montre que c'est exactement ce qui se passe.
InfoTrax fournit une gamme de services informatiques et de logiciels aux entreprises du monde entier. La plupart de ses clients sont des entreprises de marketing multiniveaux qui gèrent de grandes quantités de données appartenant aux utilisateurs finaux, mais la façon dont les événements se sont déroulés est la preuve que le fournisseur informatique ne faisait pas assez pour protéger toutes ces informations.
Table of Contents
Comment InfoTrax a été piraté
Tout a commencé en mai 2014 lorsqu'un pirate informatique aurait exploité une vulnérabilité d'un site Web géré par l'un des clients d'InfoTrax. Ils ont exécuté un code malveillant leur permettant de prendre le contrôle de l'un des serveurs d'InfoTrax. Ils avaient la possibilité de consulter, supprimer et télécharger des fichiers, mais au début, ils ont décidé de ne faire aucune astuce susceptible de faire naître des soupçons. Apparemment, au cours des vingt-deux prochains mois, ils ont eu accès au serveur dix - sept fois au total, mais ils n'ont fait aucun effort pour voler ou modifier des informations.
Le 2 mars 2016, toutefois, l'attaquant a commencé à fouiller dans les bases de données. C'est à ce moment-là qu'ils ont eu accès aux informations personnelles d'environ 1 million de personnes, notamment leurs noms, adresses physique et email, numéros de sécurité sociale, noms d'utilisateur et mots de passe. Certaines des données appartenaient à des systèmes existants et auraient dû être supprimées, mais les pratiques de gestion de l'information d'InfoTrax étaient si mauvaises que la société ne savait apparemment même pas qu'elle existait déjà.
Plus tard dans la journée, l'intrus a ouvert un autre fichier journal contenant des centaines de noms et adresses supplémentaires, des numéros de sécurité sociale, ainsi que certains détails de carte de paiement et de compte bancaire. Le 6 mars, l'attaquant a découvert qu'il pouvait télécharger des données de connexion en texte brut, ce qui lui donnerait accès aux comptes d'utilisateurs finaux sur des sites Web appartenant à des spécialistes du marketing multiniveaux.
Pendant tout ce temps, InfoTrax était complètement inconscient de l’attaque. En fait, sans une erreur amateur de la part du pirate informatique, InfoTrax aurait probablement été inconscient à ce sujet à ce jour.
L'attaquant fait une bêtise
Après avoir vu combien de données peuvent être obtenues avec une relative facilité, le pirate informatique a décidé de créer une grande archive et de tout télécharger en même temps. La sauvegarde devait cependant être créée sur le serveur et l'attaquant a oublié de vérifier l'espace de stockage restant. Inévitablement, l'archive a rempli le disque dur et InfoTrax a reçu une notification à ce sujet. C'est ce qui a conduit à la découverte de l'attaque. Ce n'était pas la fin, cependant.
En apprenant le tout le 7 mars 2016, InfoTrax a pris des mesures pour arrêter l'intrus, mais apparemment, les précautions à prendre n'étaient pas suffisamment efficaces. Une semaine plus tard, le pirate informatique a injecté du code malveillant dans un site Web exploité par l'un des clients d'InfoTrax. Avec cela, ils ont volé les informations de paiement au cours du processus de paiement. Le 29 mars, le criminel a utilisé des identifiants de connexion volés pour télécharger un autre script, ce qui leur a permis de voler encore plus de données personnelles et financières.
InfoTrax devra faire face à la musique
Le vol a causé beaucoup de problèmes aux clients et aux utilisateurs finaux d’InfoTrax. Ayant appris l'existence de la violation, l'une des sociétés de marketing multiniveaux concernées a retenu les services d'un centre d'appels tiers, appartenant à AllClear ID, Inc., afin de fournir une assistance technique à la clientèle après l'incident.. Selon AllClear ID, près de 300 utilisateurs ont déclaré avoir été victimes d'une fraude en raison de la violation d'InfoTrax.
Sans surprise, la Federal Trade Commission a décidé d'intervenir et de déposer une plainte. Selon une proposition de règlement, InfoTrax ne sera pas autorisé à traiter des données à caractère personnel sauf si cela prouve que ses mécanismes de sécurité sont suffisamment puissants pour empêcher que de tels incidents ne se reproduisent. Que cela tombe dans la catégorie "trop peu, trop tard" est à vous de décider.
Même sans la plainte de la FTC, les conséquences pour les activités d’InfoTrax peuvent être assez graves si l’on considère les erreurs de base en matière de gestion des informations que la société a commises. Espérons que ce sera une leçon non seulement pour InfoTrax mais également pour les autres fournisseurs de services informatiques.
