InfoTrax Systemsは、攻撃者がストレージスペースを使い果たした後にのみ大量のデータ侵害を発見しました
ハッカーがさまざまなオンラインサービスを攻撃し、個人情報を毎日手伝う方法についてのニュースを読みます。データ侵害は実際に私たちの日常生活の一部であり、これはすぐに変わることはほとんどありません。ただし、これは、サービスプロバイダーがデータにそれほど注意を払う必要があるという意味ではありません。残念ながら、InfoTrax Systemsのデータ侵害の物語は、これがまさに起こっていることを示しています。
InfoTraxは、世界中の企業にさまざまなITサービスとソフトウェア製品を提供しています。顧客のほとんどは、エンドユーザーに属する大量のデータを扱うマルチレベルマーケティング企業ですが、イベントの展開方法は、ITベンダーがすべての情報を保護するのに十分ではなかったことを証明しています。
Table of Contents
InfoTraxがハッキングされた方法
ハッカーがInfoTraxの顧客の1人が運営するWebサイトの脆弱性を悪用したとされる2014年5月にすべてが始まりました。彼らは悪意のあるコードを実行し、InfoTraxのサーバーの1つを制御できるようにしました。彼らはファイルを見て、削除して、アップロードする能力を持っていましたが、最初は、疑念を引き起こす可能性のあるトリックを引っ張らないことに決めました。どうやら、次の22か月で、サーバーに合計17回アクセスしましたが、情報を盗んだり変更したりする努力はしませんでした。
ただし、2016年3月2日、攻撃者はデータベースを突破し始めました。名前、物理アドレス、メールアドレス、社会保障番号、ユーザー名、パスワードなど、約100万人の個人情報にアクセスできるようになりました。一部のデータはレガシーシステムに属していたため削除する必要がありましたが、InfoTraxの情報管理慣行は非常に悪かったため、会社はその存在についても知らなかったようです。
その日遅く、侵入者は、さらに数百の名前と住所、社会保障番号、および支払いカードの詳細と銀行口座情報を含む別のログファイルを開きました。 3月6日、攻撃者はプレーンテキストのログインデータをダウンロードできることを発見しました。これにより、マルチレベルのマーケティング担当者が所有するWebサイト上のエンドユーザーのアカウントにアクセスできます。
これらすべてを通して、InfoTraxは攻撃を完全に認識していませんでした。実際、ハッカーに代わってアマチュアの間違いがなかったとしたら、InfoTraxはおそらく今日までそれを忘れていたでしょう。
攻撃者は愚かな間違いを犯す
ハッカーは、比較的簡単にどれだけのデータを取得できるかを見て、その大きなアーカイブを作成して、一度にすべてをダウンロードすることにしました。ただし、サーバー上にバックアップを作成する必要があり、攻撃者は残っているストレージ容量を確認するのを忘れていました。必然的に、アーカイブがハードドライブをいっぱいにし、InfoTraxがそのことについて通知を受け取りました。これが攻撃の発見につながったものです。しかし、それは終わりではありませんでした。
2016年3月7日にすべてを知ると、InfoTraxは侵入者を止めるための措置を講じましたが、どうやら予防策は十分に効果的ではなかったようです。 1週間後、ハッカーはInfoTraxの顧客の1人が運営するWebサイトに悪意のあるコードを挿入しました。それにより、彼らはチェックアウトプロセス中に支払い情報を盗みました。 3月29日、犯罪者は盗まれたログイン資格情報を使用して別のスクリプトをアップロードしました。これにより、さらに個人情報や財務データを盗むことができました。
InfoTraxは音楽に直面する必要があります
盗難は、InfoTraxの顧客とエンドユーザーに非常に多くの悲しみを引き起こしました。侵害について知った影響を受けたマルチレベルマーケティング会社の1つは、AllClear ID、Inc.が所有するサードパーティのコールセンターを雇い、事件後の顧客サポートを支援しました。. AllClear IDによると、InfoTraxの侵害により何らかの形で詐欺を受けていると300人近くのユーザーが報告しています。
当然のことながら、連邦取引委員会は苦情を申し立てることを決定しました。 提案された和解によれば、InfoTraxは、そのセキュリティメカニズムが同様の事件が将来起こるのを防ぐのに十分強いことを証明しない限り、個人データを処理することを許可されません。これが「少なすぎる、遅すぎる」カテゴリに該当するかどうかは、あなたが決める必要があります。
FTCの苦情がなくても、InfoTraxビジネスの結果は、会社が行った基本的な情報管理のミスを考えると、非常に深刻なものになり得ます。うまくいけば、これがInfoTraxだけでなく、他のITサービスプロバイダーにとっても教訓になることを願っています。