Os sistemas InfoTrax descobriram uma violação maciça de dados somente após os invasores ficarem sem espaço de armazenamento
Você lê notícias sobre como os hackers atacam vários serviços online e se ajudam com suas informações pessoais todos os dias. As violações de dados fazem parte de nossas vidas cotidianas e é improvável que isso mude tão cedo. Isso não significa, no entanto, que os provedores de serviços sejam menos cuidadosos com seus dados. Infelizmente, a história da violação de dados da InfoTrax Systems mostra que é exatamente isso que está acontecendo.
A InfoTrax fornece uma gama de serviços de TI e produtos de software para empresas de todo o mundo. A maioria de seus clientes são empresas de marketing multinível que lidam com grandes quantidades de dados pertencentes a usuários finais, mas a maneira como os eventos se desenrolam é prova de que o fornecedor de TI não estava fazendo o suficiente para proteger todas essas informações.
Índice
Como o InfoTrax foi hackeado
Tudo começou em maio de 2014, quando um hacker supostamente explorou uma vulnerabilidade em um site operado por um dos clientes da InfoTrax. Eles executavam código malicioso, que lhes permitia controlar um dos servidores da InfoTrax. Eles tinham a capacidade de examinar, excluir e fazer upload de arquivos, mas, a princípio, decidiram não fazer truques que pudessem levantar suspeitas. Aparentemente, nos vinte e dois meses seguintes, eles acessaram o servidor dezessete vezes, mas não fizeram nenhum esforço para roubar ou alterar qualquer informação.
Em 2 de março de 2016, no entanto, o atacante começou a vasculhar os bancos de dados. Foi quando eles tiveram acesso aos detalhes pessoais de cerca de 1 milhão de pessoas, incluindo nomes, endereços físicos e de e-mail, números de seguridade social, nomes de usuário e senhas. Alguns dos dados pertenciam a sistemas legados e deveriam ter sido excluídos, mas as práticas de gerenciamento de informações da InfoTrax eram tão ruins que a empresa aparentemente nem sabia sobre sua existência.
Mais tarde naquele dia, o invasor abriu outro arquivo de log com centenas de nomes e endereços, números do Seguro Social e alguns detalhes do cartão de pagamento e informações da conta bancária. Em 6 de março, o invasor descobriu que pode baixar dados de login em texto sem formatação, o que lhes daria acesso às contas dos usuários finais em sites pertencentes a profissionais de marketing multinível.
Durante tudo isso, o InfoTrax não teve conhecimento do ataque. De fato, se não fosse por um erro amador em nome do hacker, o InfoTrax provavelmente estaria inconsciente disso até hoje.
O atacante comete um erro bobo
Depois de ver quantos dados podem ser obtidos com relativa facilidade, o hacker decidiu criar um grande arquivo e fazer o download de todos de uma vez. No entanto, o backup precisava ser criado no servidor e o invasor esqueceu de verificar quanto espaço de armazenamento resta. Inevitavelmente, o arquivo encheu o disco rígido e o InfoTrax recebeu uma notificação sobre isso. Foi isso que levou à descoberta do ataque. Não foi o fim, no entanto.
Ao saber sobre tudo isso em 7 de março de 2016, o InfoTrax tomou medidas para impedir o invasor, mas aparentemente as precauções não foram eficazes o suficiente. Uma semana depois, o hacker injetou código malicioso em um site operado por um dos clientes da InfoTrax. Com isso, eles roubaram informações de pagamento durante o processo de pagamento. Em 29 de março, o criminoso usou credenciais de login roubadas para enviar outro script, o que os ajudou a roubar ainda mais dados pessoais e financeiros.
InfoTrax terá que enfrentar a música
O roubo causou muita dor aos clientes e usuários finais do InfoTrax. Tendo aprendido sobre a violação, uma das empresas de marketing multinível afetadas contratou um call center de propriedade da AllClear ID, Inc. para ajudar no suporte ao cliente após o incidente. De acordo com o AllClear ID, cerca de 300 usuários relataram ter sido fraudados de alguma forma por causa da violação do InfoTrax.
Não é de surpreender que a Federal Trade Commission decidiu intervir e registrar uma queixa. De acordo com um acordo proposto, o InfoTrax não poderá processar nenhum dado pessoal, a menos que prove que seus mecanismos de segurança são fortes o suficiente para impedir que incidentes semelhantes ocorram no futuro. Se você se enquadra na categoria "muito pouco, muito tarde" é para você decidir.
Mesmo sem a reclamação da FTC, as consequências para os negócios da InfoTrax podem ser bastante sérias, considerando os erros básicos de gerenciamento de informações que a empresa cometeu. Felizmente, essa será uma lição não apenas para o InfoTrax, mas também para outros provedores de serviços de TI.
