¿Qué podría ser incluso peor que ser hackeado?
Es la «falla en la detección de intrusiones» lo que siempre resulta en grandes pérdidas para las organizaciones.
Empresa de tecnología con sede en Utah Sistemas InfoTrax es el último ejemplo de un error de seguridad de este tipo, ya que la empresa fue violada más de 20 veces desde mayo de 2014 hasta marzo de 2016.
Lo irónico es que la empresa detectó la brecha solo después de recibir una alerta de que sus servidores habían alcanzado la capacidad máxima de almacenamiento debido a un archivo de datos que creó el hacker.
InfoTrax Systems es una empresa estadounidense con sede en Utah que proporciona sistemas de operaciones back-end a especialistas en marketing multinivel, que también incluye una gran cantidad de datos confidenciales sobre la compensación, el inventario, los pedidos y la contabilidad de sus usuarios.
Según se informa, la violación ocurrió en mayo de 2014 cuando el hacker explotó las vulnerabilidades en el servidor de InfoTrax y el sitio web de su cliente para obtener el control remoto de su servidor, lo que le permitió obtener acceso a información personal confidencial de 1 millón de consumidores.
En ese momento, la Comisión Federal de Comercio de los Estados Unidos (FTC) demandó a la empresa por no proteger la información personal que la empresa mantenía en nombre de sus clientes.
Según la denuncia de la FTC, el pirata informático accedió de forma remota al sistema 17 veces durante los siguientes 21 meses sin ser detectado y luego comenzó a extraer la información personal de los consumidores el 2 de marzo de 2016.
La información robada incluía los nombres completos de los clientes, números de seguro social, direcciones físicas, direcciones de correo electrónico, números de teléfono, nombres de usuario y contraseñas para las cuentas de administrador y distribuidor 4100 en el servicio InfoTrax.
¿Qué es aún peor? Los datos filtrados también incluían la información de la tarjeta de pago de algunos clientes (números de tarjetas de crédito y débito completos o parciales, CVV y fechas de vencimiento), así como información de la cuenta bancaria, incluidos los números de cuenta y de ruta.
La empresa descubrió la brecha el 7 de marzo de 2016, cuando comenzó a recibir alertas de que uno de sus servidores había alcanzado su capacidad máxima, lo que se debió a un archivo de datos masivo que el pirata informático creó en sus clientes.
Sorprendentemente, el intruso logró entrar en la empresa al menos dos veces más, incluso después de que InfoTrax Systems se percatara de la intrusión.
El 14 de marzo de 2016, el pirata informático obtuvo más de 2300 números de tarjetas de pago únicos y completos, incluidos nombres, direcciones físicas, CVV y fechas de vencimiento, y otros datos de facturación enviados recientemente por los distribuidores durante el proceso de pago.
Por otra parte, el 29 de marzo de 2016, el pirata informático usó la identificación de usuario y la contraseña de una cuenta de distribuidor de InfoTrax válida para cargar más código malicioso para recopilar nuevamente los datos de la tarjeta de pago enviada desde el sitio web de ese cliente.
Según la FTC, InfoTrax Systems no pudo «inventariar y eliminar la información personal que ya no es necesaria, realizar una revisión del código de su software y probar su red, detectar cargas de archivos maliciosos, segmentar adecuadamente su red e implementar medidas de seguridad cibernética para detectar actividades inusuales». en su red».
El martes, la FTC publicó un comunicado de prensa, anunciando un acuerdo propuesto, que requiere que InfoTrax Systems implemente un programa integral de seguridad de datos que corrija las fallas identificadas en la denuncia.
Además de esto, el acuerdo propuesto también requiere que InfoTrax Systems obtenga evaluaciones de terceros de su programa de seguridad de la información cada dos años.
