InfoTrax Systems ontdekten een enorme datalek pas nadat de aanvallers de opslagruimte hadden verlaten
U leest nieuws over hoe hackers verschillende online services aanvallen en zichzelf elke dag helpen met uw persoonlijke informatie. Datalekken maken inderdaad deel uit van ons dagelijks leven en het is onwaarschijnlijk dat dit binnenkort zal veranderen. Dit betekent echter niet dat dienstverleners minder voorzichtig moeten zijn met uw gegevens. Helaas laat het verhaal van de datalek van InfoTrax Systems zien dat dit precies is wat er gebeurt.
InfoTrax biedt een scala aan IT-services en softwareproducten aan bedrijven over de hele wereld. De meeste van haar klanten zijn multi-level marketingbedrijven die omgaan met grote hoeveelheden gegevens van eindgebruikers, maar de manier waarop gebeurtenissen zich ontvouwden, is een bewijs dat de IT-leverancier niet genoeg deed om al die informatie te beschermen.
Table of Contents
Hoe InfoTrax werd gehackt
Het begon allemaal in mei 2014 toen een hacker een kwetsbaarheid zou misbruiken op een website die wordt beheerd door een klant van InfoTrax. Ze hebben schadelijke code uitgevoerd, waarmee ze de controle over een van de InfoTrax-servers kunnen overnemen. Ze hadden de mogelijkheid om bestanden te bekijken, verwijderen en uploaden, maar in eerste instantie besloten ze geen trucs uit te halen die argwaan konden wekken. Blijkbaar hebben ze de komende tweeëntwintig maanden in totaal zeventien keer toegang gehad tot de server, maar ze hebben geen moeite gedaan om informatie te stelen of te wijzigen.
Op 2 maart 2016 begon de aanvaller echter door de databases te bladeren. Toen kregen ze toegang tot de persoonlijke gegevens van ongeveer 1 miljoen mensen, inclusief namen, fysieke en e-mailadressen, sofinummers, gebruikersnamen en wachtwoorden. Sommige gegevens behoorden tot verouderde systemen en hadden moeten worden verwijderd, maar de informatiebeheerpraktijken van InfoTrax waren zo slecht, dat het bedrijf blijkbaar niet eens op de hoogte was van het bestaan ervan.
Later die dag opende de indringer nog een logboekbestand met honderden meer namen en adressen, sofinummers en enkele betaalkaartgegevens en bankrekeninggegevens. Op 6 maart kwam de aanvaller erachter dat ze inloggegevens met platte tekst konden downloaden, waarmee ze toegang konden krijgen tot de accounts van eindgebruikers op websites die eigendom zijn van multi-level marketeers.
Gedurende dit alles was InfoTrax zich totaal niet bewust van de aanval. Zonder een amateuristische fout namens de hacker zou InfoTrax zich er tot op de dag van vandaag waarschijnlijk niet van bewust zijn geweest.
De aanvaller maakt een dwaze fout
Na te hebben gezien hoeveel gegevens relatief gemakkelijk kunnen worden verkregen, besloot de hacker er een groot archief van te maken en het allemaal tegelijk te downloaden. De back-up moest echter op de server worden gemaakt en de aanvaller vergat te controleren hoeveel opslagruimte er nog over is. Het archief vulde onvermijdelijk de harde schijf en InfoTrax kreeg er een melding over. Dit leidde tot de ontdekking van de aanval. Het was echter niet het einde.
Na op 7 maart 2016 alles te weten te zijn gekomen, heeft InfoTrax stappen ondernomen om de indringer te stoppen, maar blijkbaar waren de voorzorgsmaatregelen niet effectief genoeg. Een week later heeft de hacker schadelijke code geïnjecteerd in een website die wordt beheerd door een klant van InfoTrax. Hiermee hebben ze betalingsinformatie tijdens het afrekenproces verzameld. Op 29 maart gebruikte de crimineel gestolen inloggegevens om een ander script te uploaden, waardoor ze nog meer persoonlijke en financiële gegevens konden stelen.
InfoTrax zal de muziek onder ogen moeten zien
De diefstal heeft behoorlijk wat leed veroorzaakt bij InfoTrax-klanten en eindgebruikers. Na kennis te hebben genomen van de inbreuk, heeft een van de getroffen multi-level marketingbedrijven een extern callcenter ingehuurd dat eigendom is van AllClear ID, Inc. om te helpen met de klantenondersteuning na het incident. Volgens AllClear ID hebben bijna 300 gebruikers gemeld op een of andere manier te zijn bedrogen vanwege de inbreuk op InfoTrax.
Het is niet verrassend dat de Federal Trade Commission besloot in te grijpen en een klacht in te dienen. Volgens een voorgestelde schikking zal InfoTrax geen persoonlijke gegevens mogen verwerken tenzij het bewijst dat de beveiligingsmechanismen sterk genoeg zijn om soortgelijke incidenten in de toekomst te voorkomen. Of dit onder de categorie "te weinig, te laat" valt, is aan u om te beslissen.
Zelfs zonder de FTC-klacht kunnen de gevolgen voor InfoTrax-bedrijven behoorlijk ernstig zijn, gezien de fundamentele fouten in het informatiebeheer die het bedrijf heeft gemaakt. Hopelijk is dit een les, niet alleen voor InfoTrax maar ook voor andere IT-dienstverleners.
