„InfoTrax“ sistemos aptiko didžiulį duomenų pažeidimą tik po to, kai užpuolikai baigėsi saugyklos vieta
Jūs skaitote naujienas apie tai, kaip įsilaužėliai užpuola įvairias internetines paslaugas ir kiekvieną dieną padeda sau asmeninę informaciją. Duomenų pažeidimai iš tikrųjų yra mūsų kasdienio gyvenimo dalis, ir greičiausiai tai greitai nepasikeis. Tačiau tai nereiškia, kad paslaugų teikėjai turėtų būti mažiau atsargūs su jūsų duomenimis. Deja, „InfoTrax Systems“ duomenų pažeidimo istorija rodo, kad būtent tai ir vyksta.
„InfoTrax“ teikia IT paslaugų ir programinės įrangos produktų asortimentą įmonėms visame pasaulyje. Daugelis jos klientų yra daugiapakopės rinkodaros įmonės, valdančios didelius duomenų kiekius, priklausančius galutiniams vartotojams, tačiau tai, kaip vyko įvykiai, yra įrodymas, kad IT tiekėjas nepakankamai stengėsi apsaugoti visą tą informaciją.
Table of Contents
Kaip „InfoTrax“ įsilaužė
Viskas prasidėjo 2014 m. Gegužės mėn., Kai įsilaužėlis tariamai išnaudojo pažeidžiamumą svetainėje, kurį valdo vienas iš „InfoTrax“ klientų. Jie paleido kenkėjišką kodą, kuris leido jiems valdyti vieną iš „InfoTrax“ serverių. Jie turėjo galimybę pažiūrėti, ištrinti ir įkelti failus, tačiau iš pradžių nusprendė netraukti jokių gudrybių, kurios galėtų sukelti įtarimą. Matyt, per artimiausius dvidešimt du mėnesius jie prie serverio prisijungė iš viso septyniolika kartų, tačiau jie nesistengė pavogti ar pakeisti jokios informacijos.
Tačiau 2016 m. Kovo 2 d. Užpuolikas pradėjo slapstytis duomenų bazėse. Tada jie gavo prieigą prie maždaug 1 milijono žmonių asmeninės informacijos, įskaitant vardus, fizinius ir el. Pašto adresus, socialinės apsaugos numerius, vartotojo vardus ir slaptažodžius. Dalis duomenų priklausė senosioms sistemoms ir turėjo būti ištrinti, tačiau „InfoTrax“ informacijos valdymo praktika buvo tokia bloga, kad įmonė, matyt, net nežinojo apie savo egzistavimą.
Vėliau tą dieną įsibrovėlis atidarė kitą žurnalo failą su dar šimtais vardų ir adresų, socialinio draudimo numeriais ir kai kuriomis mokėjimo kortelių informacija bei banko sąskaitos informacija. Kovo 6 d. Užpuolikas sužinojo, kad jie gali atsisiųsti paprasto teksto prisijungimo duomenis, kurie jiems suteiktų prieigą prie galutinių vartotojų paskyrų svetainėse, priklausančiose daugiapakopiams rinkodaros specialistams.
Visą tai „InfoTrax“ visiškai nežinojo apie išpuolį. Tiesą sakant, jei tai nebūtų padaryta mėgėjiška klaida įsilaužėlio vardu, „InfoTrax“ greičiausiai apie tai būtų nutylėjusi iki šios dienos.
Puolėjas daro kvaila klaidą
Pamatęs, kiek duomenų galima palyginti nesunkiai gauti, įsilaužėlis nusprendė sukurti didelį jo archyvą ir atsisiųsti jį iškart. Tačiau atsarginę kopiją reikėjo sukurti serveryje, o užpuolikas pamiršo patikrinti, kiek liko atminties. Neišvengiamai archyvas užpildė kietąjį diską, o „InfoTrax“ gavo pranešimą apie tai. Būtent tai paskatino išpuolio atradimą. Vis dėlto tai nebuvo pabaiga.
Sužinojusi apie visa tai, 2016 m. Kovo 7 d., „InfoTrax“ ėmėsi veiksmų, kad sustabdytų įsibrovėlį, tačiau, matyt, atsargumo priemonės nebuvo pakankamai veiksmingos. Po savaitės įsilaužėlis įsileido kenksmingą kodą į svetainę, kurią valdo vienas iš „InfoTrax“ klientų. Jie pasinaudojo mokėjimo informacija mokėjimo sąskaitos metu. Kovo 29 d. Nusikaltėlis panaudojo pavogtus prisijungimo duomenis, norėdamas įkelti dar vieną scenarijų, kuris padėjo jiems pavogti dar daugiau asmeninių ir finansinių duomenų.
„InfoTrax“ turės susidurti su muzika
Vagystė sukėlė gana daug sielvarto „InfoTrax“ klientams ir galutiniams vartotojams. Sužinojusi apie pažeidimą, viena iš paveiktų daugiapakopių rinkodaros kompanijų pasamdė trečiųjų šalių skambučių centrą, priklausantį „AllClear ID, Inc.“, kad padėtų klientams palaikyti įvykus incidentui.. „AllClear ID“ duomenimis, beveik 300 vartotojų pranešė, kad dėl „InfoTrax“ pažeidimo jie buvo apgauti.
Nenuostabu, kad Federalinė prekybos komisija nusprendė įstoti ir pateikti skundą. Remiantis siūlomu susitarimu, „InfoTrax“ nebus leidžiama tvarkyti jokių asmens duomenų, nebent ji įrodytų, kad jos saugumo mechanizmai yra pakankamai stiprūs, kad ateityje būtų išvengta panašių incidentų. Jūs turite nuspręsti, ar tai patenka į kategoriją „per mažai, per vėlu“.
Net negavus FPK skundo, „InfoTrax“ verslui padariniai gali būti gana rimti, atsižvelgiant į pagrindines bendrovės padarytas informacijos valdymo klaidas. Tikimės, kad tai bus pamoka ne tik „InfoTrax“, bet ir kitiems IT paslaugų teikėjams.
