這家公司的硬盤空間不夠了:原來數據早就泄露
責編:gltian |2019-11-19 13:59:32比被黑更悲劇的是什么?“未檢測到數據泄露” 才是造成公司企業損失慘重的經常性原因。
位于美國猶他州的科技公司 InfoTrax Systems 最近就給我們現身說法了此類安全過失。2014 年 5 月到 2016 年 3 月期間,該公司數據遭泄 20 多次。
頗為諷刺的是,最后是因為黑客創建的數據存檔文件過大,引發服務器最大存儲容量報警,該公司才檢測到此數據泄露事實。
InfoTrax Systems 是為多層次營銷提供后端運營系統的一家美國公司,掌握其用戶大量報酬、庫存、訂單和會計信息等敏感數據。
數據泄露據稱發生在 2014 年 5 月,黑客利用 InfoTrax 服務器及其客戶網站上的漏洞獲得了該公司服務器的遠程控制權,掌握了 100 萬消費者的敏感個人信息。
當時,美國聯邦貿易委員會 (FTC) 起訴該公司未能保護好代表其客戶維護的個人信息。
FTC 的起訴書顯示,成功入侵后,黑客在接下來的 21 個月里遠程訪問了該系統 17 次,均未被檢測到;并于 2016 年 3 月 2 日開始拉取消費者的個人信息。
被盜信息包含 InfoTrax 服務上 4,100 家分銷商及管理員賬戶的客戶全名、身份證號、實際地址、電子郵件地址、電話號碼、用戶名和密碼。
更糟的是,被盜數據還包含某些客戶的支付卡信息(全部或部分信用卡及借記卡號、CVV 和有效期),以及包含賬號和路由號的銀行賬戶信息。
2016 年 3 月 7 日,該公司開始收到其服務器已達最大容量的警告,原因是黑客在服務器上創建了一個關于其客戶信息的超大數據存檔文件。直至此時,該公司才發現了自身數據泄露事實。
令人驚訝的是,甚至在 InfoTrax Systems 注意到入侵之后,攻擊者還成功侵入了該公司至少兩次。
2016 年 3 月 14 日,黑客攫取了 2,300 份完整支付卡信息,包括姓名、實際地址、CVV 和有效期,以及結算流程中新提交的其他賬單數據。
然后,2016 年 3 月 29 日,黑客使用 InfoTrax 某有效分銷商賬戶的用戶 ID 及密碼上傳更多惡意代碼,以便再次通過該客戶網站收集新提交的支付卡數據。
FTC 稱,InfoTrax Systems 未能 “清查并刪除不再使用的個人信息、執行軟件代碼審查和測試其網絡、檢測惡意文件上傳、充分區隔其網絡及實現網絡安全防護以檢測其網絡上的異常活動。”
11 月 12 日,FTC 公布和解提案,要求 InfoTrax Systems 實現全面的數據安全項目,整改投訴中指出的失誤之處。
除此之外,該和解提案還要求 InfoTrax Systems 每兩年請第三方評估其信息安全項目。