Системы InfoTrax обнаружили серьезное нарушение данных только после того, как злоумышленникам не хватило места для хранения
Вы читаете новости о том, как хакеры атакуют различные онлайн-сервисы и ежедневно помогают себе в личной информации. Нарушения данных действительно являются частью нашей повседневной жизни, и вряд ли это изменится в ближайшее время. Это не означает, однако, что поставщики услуг должны быть менее осторожны с вашими данными. К сожалению, история нарушения данных InfoTrax Systems показывает, что это именно то, что происходит.
InfoTrax предоставляет широкий спектр ИТ-услуг и программных продуктов для компаний по всему миру. Большинство его клиентов - это компании многоуровневого маркетинга, которые обрабатывают большие объемы данных, принадлежащих конечным пользователям, но то, как разворачиваются события, является доказательством того, что поставщик ИТ не сделал достаточно для защиты всей этой информации.
Table of Contents
Как взломали InfoTrax
Все началось в мае 2014 года, когда хакер предположительно воспользовался уязвимостью на веб-сайте, управляемом одним из клиентов InfoTrax. Они запускали вредоносный код, который позволял им контролировать один из серверов InfoTrax. У них была возможность просматривать, удалять и загружать файлы, но сначала они решили не использовать никаких уловок, которые могли бы вызвать подозрения. По-видимому, в течение следующих двадцати двух месяцев они обращались к серверу в общей сложности семнадцать раз, но они не предпринимали никаких усилий для кражи или изменения какой-либо информации.
Однако 2 марта 2016 года злоумышленник начал перелистывать базы данных. Именно тогда они получили доступ к личным данным примерно 1 миллиона человек, включая имена, физические адреса и адреса электронной почты, номера социального страхования, имена пользователей и пароли. Некоторые данные принадлежали устаревшим системам и должны были быть удалены, но практика управления информацией InfoTrax была настолько плохой, что компания, очевидно, даже не знала о ее существовании.
Позже в тот же день злоумышленник открыл еще один файл журнала с сотнями других имен и адресов, номерами социального страхования, а также некоторыми данными платежных карт и банковскими счетами. 6 марта злоумышленник узнал, что он может загрузить данные для входа в виде простого текста, что даст им доступ к учетным записям конечных пользователей на веб-сайтах, принадлежащих многоуровневым маркетологам.
На протяжении всего этого InfoTrax совершенно не знал об атаке. На самом деле, если бы не любительская ошибка от имени хакера, InfoTrax, вероятно, не заметил бы этого и по сей день.
Нападающий совершает глупую ошибку
Посмотрев, сколько данных можно получить с относительной легкостью, хакер решил создать большой архив и сразу загрузить его. Однако на сервере нужно было создать резервную копию, и злоумышленник забыл проверить, сколько места осталось. Неизбежно, архив заполнил жесткий диск, и InfoTrax получил уведомление об этом. Это то, что привело к открытию атаки. Это был не конец, хотя.
Узнав обо всем этом 7 марта 2016 года, InfoTrax предпринял шаги, чтобы остановить злоумышленника, но, очевидно, меры предосторожности были недостаточно эффективными. Неделю спустя хакер внедрил вредоносный код в веб-сайт, управляемый одним из клиентов InfoTrax. С его помощью они украли информацию об оплате во время процесса проверки. 29 марта преступник использовал украденные учетные данные для загрузки другого сценария, который помог им украсть еще больше личных и финансовых данных.
InfoTrax придется столкнуться с музыкой
Кража вызвала много горя у клиентов и конечных пользователей InfoTrax. Узнав о нарушении, одна из затронутых многоуровневых маркетинговых компаний наняла сторонний колл-центр, принадлежащий AllClear ID, Inc., чтобы помочь с поддержкой клиентов после инцидента.. Согласно AllClear ID, около 300 пользователей сообщили, что их обманули из-за нарушения InfoTrax.
Неудивительно, что Федеральная торговая комиссия решила вмешаться и подать жалобу. Согласно предлагаемому соглашению, InfoTrax не будет разрешено обрабатывать какие-либо личные данные, если только он не докажет, что его механизмы безопасности достаточно сильны, чтобы предотвратить подобные инциденты в будущем. Подходит ли вам категория «слишком мало, слишком поздно», решать вам.
Даже без жалоб FTC, последствия для бизнеса InfoTrax могут быть довольно серьезными, учитывая основные ошибки управления информацией, которые компания допустила. Надеемся, что это будет урок не только для InfoTrax, но и для других поставщиков ИТ-услуг.
