image

Bedrijf ontdekt datalek door aanvaller die server laat vollopen

woensdag 13 november 2019, 14:48 door Redactie, 3 reacties

Een Amerikaans techbedrijf heeft door een aanvaller die de server liet vollopen een datalek met de gegevens van een miljoen mensen ontdekt, alsmede dat de aanvaller al twee jaar lang toegang had. InfoTrax is een it-dienstverlener uit Utah die software en hostingoplossingen aanbiedt.

Een aanvaller wist van mei 2014 tot en met maart 2016 via een beveiligingslek twintig keer toegang tot de server van InfoTrax te krijgen, alsmede de websites die het bedrijf voor klanten beheerde. In maart 2016 benaderde de aanvaller de gevoelige persoonlijke gegevens van een miljoen mensen. Het ging om klanten van bedrijven die InfoTrax voor hun dienstverlening gebruikten. De aanvaller kreeg toegang tot namen, adresgegevens, e-mailadressen, telefoonnummers, social security nummers, gebruikersnamen en wachtwoorden.

Het bedrijf had de inbraken van de aanvaller twee jaar lang niet door, totdat het een melding over een volgelopen server ontving. De aanvaller had een archiefbestand met gestolen data aangemaakt wat de melding veroorzaakte Volgens de Amerikaanse toezichthouder FTC heeft het bedrijf verzaakt om de persoonlijke informatie van klanten en hun klanten te beschermen. Verder bleek dat InfoTrax social security nummers, creditcardgegevens, rekeninginformatie en gebruikersnamen en wachtwoorden onversleuteld op het eigen netwerk bewaarde.

InfoTrax heeft nu een schikking met de FTC gesloten. Zo mag het bedrijf geen persoonlijke informatie meer opslaan, verkopen en delen tenzij alle gevonden beveiligingsproblemen zijn opgelost. Tevens moet het bedrijf elke twee jaar het beveiligingsbeleid door een externe partij laten controleren. InfoTrax laat in een verklaring weten dat de security en privacy van klanten de hoogste prioriteit hebben.

Image

Reacties (3)
13-11-2019, 16:08 door Anoniem
Tja, Is het niet raar dat veel bedrijven die onvoorzichtig omgaan met persoonsgegevens en vulnerability management zeggen dat "privacy" en "security" zeer belangrijk zijn van zodra blijkt dat ze het niet op orde hebben?
15-11-2019, 04:59 door Anoniem
'Security is heel belangrijk' lijkt inderdaad de standaard reactie van bedrijven die het niet op orde hadden. De vraag is natuurlijk hoe je je dan kan onderscheiden en kan laten zien dat je het wel goed doet.

In dat opzicht is de introductie van deze blog post ook veelzeggend:
https://techblog.topdesk.com/security/we-take-your-security-seriously-part1/
15-11-2019, 20:20 door botbot
"Een aanvaller wist van mei 2014 tot en met maart 2016 via een beveiligingslek twintig keer toegang tot de server van InfoTrax te krijgen, alsmede de websites die het bedrijf voor klanten beheerde."

Mmm wat ik hier lees is dus: "van mei 2014 tot en met maart 2016 stond het systeem wagenwijd open en heeft in ieder geval 1 maar waarschijnlijk meerdere aanvallers toegang gekregen tot het systeem met de data van alle klanten"
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.