Az InfoTrax Systems hatalmas adatsértést fedezett fel, miután a támadók elfogytak a tárhely
Ön olvassa a híreket arról, hogy a hackerek hogyan támadják meg az online szolgáltatásokat, és mindennap segítséget nyújtanak maguknak a személyes adatokhoz. Az adatok megsértése valóban része mindennapi életünknek, és ez valószínűleg nem változtat hamarosan. Ez azonban nem azt jelenti, hogy a szolgáltatóknak kevésbé óvatosaknak kell lenniük az adataival kapcsolatban. Sajnos az InfoTrax Systems adatsértésének története azt mutatja, hogy pontosan ez történik.
Az InfoTrax informatikai szolgáltatásokat és szoftvertermékeket kínál a világ minden táján működő cégek számára. Az ügyfelek többsége többszintű marketing vállalkozások, amelyek nagy mennyiségű adatot kezelnek, amely a végfelhasználókhoz tartozik, de az események kibontakozása annak bizonyítéka, hogy az informatikai szolgáltató nem tett eleget az összes információ védelmének.
Table of Contents
Hogyan történt az InfoTrax csapkodása
Az egész 2014 májusában kezdődött, amikor egy hacker állítólagosan kihasználta a sebezhetőséget egy weboldalon, amelyet az InfoTrax egyik ügyfele üzemeltet. Rossz kódot futtattak, amely lehetővé tette számukra, hogy átvegyék az irányítást az InfoTrax egyik szervere felett. Képesek voltak fájlokat megnézni, törölni és feltölteni, de először úgy döntöttek, hogy nem vonnak be olyan trükköt, amely gyanút hozhatna fel. Nyilvánvaló, hogy a következő huszonkét hónapban összesen tizenhét alkalommal léptek fel a szerverre, de nem tettek erőfeszítéseket semmilyen információ ellopására vagy megváltoztatására.
2016. március 2-án azonban a támadó az adatbázisok között kezdte megcsapolni. Ekkor hozzáfértek hozzávetőlegesen egymillió ember személyes adataihoz, beleértve a neveket, a fizikai és az e-mail címeket, a társadalombiztosítási számokat, a felhasználóneveket és a jelszavakat. Az adatok egy része a régi rendszerekhez tartozott, és törölni kellett volna őket, de az InfoTrax információkezelési gyakorlata annyira rossz volt, hogy a vállalat nyilvánvalóan még a létezéséről sem tudott.
Ugyanazon a napon később a betolakodó újabb naplófájlt nyitott több száz névvel és címmel, társadalombiztosítási számokkal, valamint néhány fizetési kártya adattal és bankszámla adattal. Március 6-án a támadó rájött, hogy letölthetnek egyszerű szöveges bejelentkezési adatokat, amelyek hozzáférést biztosítanak számukra a végfelhasználói fiókokhoz a többszintű marketingszakemberek tulajdonában lévő webhelyeken.
Mindezek mellett az InfoTrax teljesen tudatában volt a támadásnak. Valójában, ha nem a amatőr hibája lenne a hackerek nevében, az InfoTrax valószínűleg elfelejtette volna ma.
A támadó ostoba hibát követ el
Miután meglátta, mennyi adat nyerhető viszonylag könnyedén, a hacker úgy döntött, hogy nagy archívumot hoz létre és egyszerre tölti le. A biztonsági másolatot azonban a szerveren kellett létrehozni, és a támadó elfelejtette ellenőrizni, mennyi tárhely van hátra. Elkerülhetetlenül az archívum kitöltette a merevlemezt, és az InfoTrax értesítést kapott erről. Ez vezetett a támadás felfedezéséhez. Ennek ellenére nem volt a vége.
Miután 2016. március 7-én megismerte az egészet, az InfoTrax lépéseket tett a betolakodó személyek megállítására, ám nyilvánvalóan az elővigyázatossági intézkedések nem voltak elég hatékonyak. Egy héttel később a hackert rosszindulatú kódot adott be az InfoTrax egyik ügyfelének üzemeltetett webhelyére. Ezzel a fizetési információkat letöltötték a fizetési folyamat során. Március 29-én a bűncselekmény ellopott bejelentkezési adatait használta egy újabb forgatókönyv feltöltéséhez, amely még több személyes és pénzügyi adatot lophatott nekik.
Az InfoTraxnek szembe kell néznie a zenével
A lopás nagyon sok bánatot okozott az InfoTrax ügyfeleinek és a végfelhasználóknak. Miután megtudta a jogsértést, az egyik érintett többszintű marketingcég bérelt egy harmadik fél telefonos központját, amely az AllClear ID, Inc. tulajdonában van, hogy segítsék az ügyfélszolgálatot az esemény nyomán.. Az AllClear ID szerint közel 300 felhasználó számolt be arról, hogy valamilyen módon hamisítják az InfoTrax megsértése miatt.
Nem meglepő módon a Szövetségi Kereskedelmi Bizottság úgy döntött, hogy lép fel és panaszt nyújt be. A javasolt egyezség szerint az InfoTrax semmilyen személyes adatot nem dolgozhat fel, hacsak nem bizonyítja, hogy biztonsági mechanizmusai elég erősek a hasonló események jövőbeni megelőzésének megakadályozására. Ön dönti el, hogy ez a "túl kevés, túl késő" kategóriába tartozik-e.
Még az FTC panasz nélkül is, az InfoTrax-üzletág következményei meglehetősen súlyosak lehetnek, figyelembe véve a társaság által elkövetett alapvető információkezelési hibákat. Remélhetőleg ez nem csak az InfoTrax számára, hanem más informatikai szolgáltatók számára is lecke lesz.
