Zdroj: Ars Technica
Podľa sťažnosti americkej FTC (Federal Trade Commission), firma InfoTrax Systems zo štátu Utah mala v priebehu takmer 2 rokov 17 prienikov do svojej siete, ktoré neboli zistené. To umožňovalo kriminálnikom prístup k údajom 1 milióna zákazníkov.
Prvý prienik bol ešte v máji 2014, keď útočník využil zraniteľnosť v sieti firmy. Počas nasledujúcich 21 mesiacov pristúpili do systémov firmy 17x bez toho, aby o tom firma vedela. V marci 2016 útočníci začali pristupovať k osobným údajom, ktoré obsahovali plné mená, SSN, fyzické adresy, adresy emailov, tel. čísla, loginy a heslá v čitateľnej podobe pre prístup do InfoTrax Systems a dokonca čísla platobných kariet aj s CVV.
Firma prišla na prienik len preto, lebo útočník pri vytváraní archívu ukradnutých dát zaplnil diskový priestor servera. Aj po zistení prieniku sa podarilo útočníkovi preniknúť do siete a ukradnúť dáta ešte dvakrát. FTC vyčíta firme nasledujúce pochybenia:
- Chýbajúci proces na inventarizáciu a mazanie osobných údajov zákazníkov, ktoré už nie sú potrebné.
- Chýbajúce posúdenie rizika pri práci s osobnými údajmi, kontrola kódu alebo pravidelné pentesty.
- Chýbajúca kontrola vstupov a nahratia škodlivého kódu.
- Chýbajúca limitácia odkiaľ je možné nahrávať neznáme súbory do ich systému.
- Chýbajúca segmentácia medzi systémami zákazníkov.
- Chýbajúce opatrenia v oblasti zisťovania anomálií a prevencii škodlivej komunikácie.
- Skladovanie citlivých údajov v čitateľnej podobe.
Na základe zistení musí firma zaviesť požadované bezpečnostné opatrenia a nezávislá firma ich musí overiť každé dva roky.
Obrázok: InfoTrax Systems
