InfoTrax-systemer oppdaget et massivt datainnbrudd bare etter at angriperne løp tom for lagringsplass
Du leser nyheter om hvordan hackere angriper forskjellige online tjenester og hjelper seg til din personlige informasjon hver dag. Dataovertredelser er virkelig en del av hverdagen vår, og det vil neppe endre seg snart. Dette betyr imidlertid ikke at tjenesteleverandørene skal være mindre forsiktige med dataene dine. Dessverre viser historien om InfoTrax Systems 'datainnbrudd at dette er akkurat det som skjer.
InfoTrax leverer en rekke IT-tjenester og programvareprodukter til selskaper over hele verden. De fleste av kundene er virksomheter på flere nivåer som håndterer store datamengder som tilhører sluttbrukere, men måten hendelser utfoldet er bevis på at IT-leverandøren ikke gjorde nok for å beskytte all den informasjonen.
Table of Contents
Hvordan InfoTrax ble hacket
Det hele startet i mai 2014 da en hacker angivelig utnyttet en sårbarhet på et nettsted som drives av en av InfoTrax kunder. De kjørte ondsinnet kode, som lot dem ta kontroll over en av InfoTrax-serverne. De hadde muligheten til å se på, slette og laste opp filer, men først bestemte de seg for å ikke trekke noen triks som kunne vekke mistanke. I løpet av de neste tjueto månedene hadde de tilsynelatende tilgang til serveren totalt sytten ganger, men de gjorde ingen forsøk på å stjele eller endre informasjon.
2. mars 2016 begynte imidlertid angriperen å pirke gjennom databasene. Det var da de fikk tilgang til personopplysningene til rundt 1 million mennesker, inkludert navn, fysiske adresser og e-postadresser, personnummer, brukernavn og passord. Noen av dataene tilhørte eldre systemer og burde vært slettet, men InfoTraxs praksis for informasjonshåndtering var så dårlig at selskapet tilsynelatende ikke engang visste om eksistensen.
Senere samme dag åpnet inntrengeren en annen loggfil med hundrevis av flere navn og adresser, personnummer og litt betalingskortdetaljer og bankkontoinformasjon. 6. mars fant angriperen ut at de kan laste ned påloggingsdata for ren tekst, noe som vil gi dem tilgang til sluttbrukernes kontoer på nettsteder eid av markedsførere på flere nivåer.
Gjennom alt dette var InfoTrax helt uvitende om angrepet. Om det ikke var for en amatørmessig feil på vegne av hackeren, ville InfoTrax sannsynligvis vært glemme av det helt til i dag.
Angriperen gjør en tullete feil
Etter å ha sett hvor mye data som kan fås relativt enkelt, bestemte hackeren seg for å lage et stort arkiv med det og laste ned alt på en gang. Sikkerhetskopien måtte imidlertid opprettes på serveren, og angriperen glemte å sjekke hvor mye lagringsplass som er igjen. Uunngåelig fylte arkivet harddisken, og InfoTrax fikk et varsel om den. Det var dette som førte til oppdagelsen av angrepet. Det var imidlertid ikke slutten.
Da han lærte om det hele 7. mars 2016, tok InfoTrax skritt for å stoppe inntrengerne, men tilsynelatende var ikke effektive nok. En uke senere injiserte hackeren ondsinnet kode på et nettsted som drives av en av InfoTrax kunder. Med den hentet de betalingsinformasjon under kassen. 29. mars brukte kriminelle stjålne påloggingsinformasjon for å laste opp et nytt skript, noe som hjalp dem med å stjele enda mer personlige og økonomiske data.
InfoTrax må møte musikken
Tyveriet har forårsaket ganske mye sorg til InfoTrax-kunder og sluttbrukere. Etter å ha fått vite om bruddet, leide et av de berørte markedsføringsselskapene på flere nivåer et tredjeparts kundesenter eid av AllClear ID, Inc. for å hjelpe til med kundestøtte i kjølvannet av hendelsen. I følge AllClear ID har nærmere 300 brukere rapportert å ha blitt bedratt på noen måte på grunn av bruddet på InfoTrax.
Ikke overraskende bestemte Federal Trade Commission seg for å gå inn og sende inn en klage. I følge et foreslått oppgjør vil InfoTrax ikke få lov til å behandle noen personopplysninger med mindre det viser seg at sikkerhetsmekanismene er sterke nok til å forhindre at lignende hendelser skjer i fremtiden. Hvorvidt dette faller inn under kategorien "for lite, for sent" er det du som skal bestemme.
Selv uten FTC-klage, kan konsekvensene for InfoTrax-virksomheten være ganske alvorlige med tanke på de grunnleggende informasjonshåndteringsfeilene selskapet har gjort. Forhåpentligvis vil dette være en leksjon ikke bare for InfoTrax, men også for andre IT-tjenesteleverandører.
