比被黑更悲剧的是什么?“未检测到数据泄露” 才是造成公司企业损失惨重的经常性原因。

位于美国犹他州的科技公司 InfoTrax Systems 最近就给我们现身说法了此类安全过失。2014 年 5 月到 2016 年 3 月期间,该公司数据遭泄 20 多次。

颇为讽刺的是,最后是因为黑客创建的数据存档文件过大,引发服务器最大存储容量报警,该公司才检测到此数据泄露事实。

InfoTrax Systems 是为多层次营销提供后端运营系统的一家美国公司,掌握其用户大量报酬、库存、订单和会计信息等敏感数据。

数据泄露据称发生在 2014 年 5 月,黑客利用 InfoTrax 服务器及其客户网站上的漏洞获得了该公司服务器的远程控制权,掌握了 100 万消费者的敏感个人信息。

当时,美国联邦贸易委员会 (FTC) 起诉该公司未能保护好代表其客户维护的个人信息。

FTC 的起诉书显示,成功入侵后,黑客在接下来的 21 个月里远程访问了该系统 17 次,均未被检测到;并于 2016 年 3 月 2 日开始拉取消费者的个人信息。

被盗信息包含 InfoTrax 服务上 4,100 家分销商及管理员账户的客户全名、身份证号、实际地址、电子邮件地址、电话号码、用户名和密码。

更糟的是,被盗数据还包含某些客户的支付卡信息(全部或部分信用卡及借记卡号、CVV 和有效期),以及包含账号和路由号的银行账户信息。

2016 年 3 月 7 日,该公司开始收到其服务器已达最大容量的警告,原因是黑客在服务器上创建了一个关于其客户信息的超大数据存档文件。直至此时,该公司才发现了自身数据泄露事实。

令人惊讶的是,甚至在 InfoTrax Systems 注意到入侵之后,攻击者还成功侵入了该公司至少两次。

2016 年 3 月 14 日,黑客攫取了 2,300 份完整支付卡信息,包括姓名、实际地址、CVV 和有效期,以及结算流程中新提交的其他账单数据。

然后,2016 年 3 月 29 日,黑客使用 InfoTrax 某有效分销商账户的用户 ID 及密码上传更多恶意代码,以便再次通过该客户网站收集新提交的支付卡数据。

FTC 称,InfoTrax Systems 未能 “清查并删除不再使用的个人信息、执行软件代码审查和测试其网络、检测恶意文件上传、充分区隔其网络及实现网络安全防护以检测其网络上的异常活动。”

11 月 12 日,FTC 公布和解提案,要求 InfoTrax Systems 实现全面的数据安全项目,整改投诉中指出的失误之处。

除此之外,该和解提案还要求 InfoTrax Systems 每两年请第三方评估其信息安全项目。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。