Systemy InfoTrax odkryły ogromne naruszenie danych dopiero po tym, jak atakujący zabrakło miejsca na dane
Czytasz wiadomości o tym, w jaki sposób hakerzy atakują różne usługi online i codziennie pomagają sobie w twoich danych osobowych. Naruszenie danych jest rzeczywiście częścią naszego codziennego życia i jest mało prawdopodobne, aby zmieniło się to w najbliższym czasie. Nie oznacza to jednak, że usługodawcy powinni być mniej ostrożni z danymi. Niestety, historia naruszenia bezpieczeństwa InfoTrax Systems pokazuje, że właśnie tak się dzieje.
InfoTrax zapewnia szereg usług IT i oprogramowania dla firm na całym świecie. Większość klientów to firmy zajmujące się marketingiem wielopoziomowym, które przetwarzają duże ilości danych należących do użytkowników końcowych, ale sposób, w jaki wydarzenia się rozwijały, jest dowodem na to, że dostawca IT nie zrobił wystarczająco dużo, aby chronić wszystkie te informacje.
Table of Contents
Jak włamano się do InfoTrax
Wszystko zaczęło się w maju 2014 r., Kiedy haker rzekomo wykorzystał lukę na stronie internetowej obsługiwanej przez jednego z klientów InfoTrax. Uruchomili złośliwy kod, który pozwolił im przejąć kontrolę nad jednym z serwerów InfoTrax. Mieli możliwość przeglądania, usuwania i przesyłania plików, ale na początku postanowili nie robić żadnych sztuczek, które mogłyby wzbudzić podejrzenia. Najwyraźniej w ciągu następnych dwudziestu dwóch miesięcy uzyskali dostęp do serwera w sumie siedemnaście razy, ale nie starali się ukraść ani zmienić żadnych informacji.
Jednak 2 marca 2016 r. Atakujący zaczął przeszukiwać bazy danych. Wtedy uzyskali dostęp do danych osobowych około 1 miliona osób, w tym nazwisk, adresów fizycznych i e-mail, numerów ubezpieczenia społecznego, nazw użytkowników i haseł. Niektóre dane należały do starszych systemów i powinny były zostać usunięte, ale praktyki zarządzania informacjami InfoTrax były tak złe, że firma najwyraźniej nawet nie wiedziała o ich istnieniu.
Później tego samego dnia intruz otworzył kolejny plik dziennika zawierający setki innych nazwisk i adresów, numery ubezpieczenia społecznego oraz niektóre dane karty płatniczej i informacje o koncie bankowym. 6 marca atakujący odkrył, że może pobierać dane logowania w postaci zwykłego tekstu, co zapewniłoby im dostęp do kont użytkowników końcowych na stronach internetowych należących do sprzedawców wielopoziomowych.
Przez cały ten czas InfoTrax był całkowicie nieświadomy ataku. W rzeczywistości, gdyby nie amatorski błąd w imieniu hakera, InfoTrax prawdopodobnie nie byłby tego świadomy do dziś.
Atakujący popełnia głupi błąd
Widząc, ile danych można uzyskać ze względną łatwością, haker postanowił utworzyć duże archiwum i pobrać je jednocześnie. Kopia zapasowa musiała zostać jednak utworzona na serwerze, a osoba atakująca zapomniała sprawdzić, ile pozostało wolnego miejsca. Nieuchronnie archiwum zapełniło dysk twardy, a InfoTrax otrzymał powiadomienie o tym. To właśnie doprowadziło do odkrycia ataku. Ale to nie koniec.
Po zapoznaniu się z tym wszystkim 7 marca 2016 r. InfoTrax podjął kroki w celu powstrzymania intruza, ale najwyraźniej środki ostrożności nie były wystarczająco skuteczne. Tydzień później haker wstrzyknął złośliwy kod na stronę internetową obsługiwaną przez jednego z klientów InfoTrax. Dzięki temu ukradli informacje o płatnościach podczas realizacji transakcji. 29 marca przestępca wykorzystał skradzione dane logowania do przesłania kolejnego skryptu, który pomógł mu ukraść jeszcze więcej danych osobowych i finansowych.
InfoTrax będzie musiał zmierzyć się z muzyką
Kradzież spowodowała sporo smutku dla klientów InfoTrax i użytkowników końcowych. Dowiedziawszy się o naruszeniu, jedna z dotkniętych nim wielopoziomowych firm marketingowych wynajęła zewnętrzne centrum telefoniczne należące do AllClear ID, Inc., aby pomóc w obsłudze klienta po incydencie. Według AllClear ID blisko 300 użytkowników zgłosiło oszustwo w jakiś sposób z powodu naruszenia InfoTrax.
Nic dziwnego, że Federalna Komisja Handlu postanowiła wkroczyć i złożyć skargę. Według proponowanej ugody InfoTrax nie będzie mógł przetwarzać żadnych danych osobowych, chyba że udowodni, że jego mechanizmy bezpieczeństwa są wystarczająco silne, aby zapobiec podobnym incydentom w przyszłości. To, czy należy to do kategorii „za mało, za późno”, należy do ciebie.
Nawet bez skargi FTC konsekwencje dla biznesu InfoTrax mogą być dość poważne, biorąc pod uwagę popełnione przez firmę podstawowe błędy w zarządzaniu informacjami. Mamy nadzieję, że będzie to lekcja nie tylko dla InfoTrax, ale także dla innych dostawców usług IT.
