La Comisión Federal de Comercio de EE. UU. demandó a un proveedor de TI por no detectar 20 intrusiones de piratería durante un período de 22 meses, lo que permitió al pirata informático acceder a los datos de 1 millón de consumidores. El proveedor solo descubrió la brecha cuando el hacker llenó al máximo el sistema de almacenamiento del proveedor.
InfoTrax Systems, con sede en Utah, fue violado por primera vez en mayo de 2023, cuando un pirata informático aprovechó las vulnerabilidades en la red de la empresa que otorgaba control remoto sobre su servidor, alegaron los abogados de la FTC en una denuncia. Según la denuncia, el hacker usó ese control para acceder al sistema sin ser detectado 17 veces durante los siguientes 21 meses. Luego, el 2 de marzo de 2023, el intruso accedió a la información personal de aproximadamente 1 millón de consumidores. Los datos incluían nombres completos, números de seguro social, direcciones físicas, direcciones de correo electrónico, números de teléfono y nombres de usuario y contraseñas para cuentas en el servicio InfoTrax.
El intruso accedió al sitio más tarde ese día y nuevamente el 6 de marzo, robó 4100 nombres de usuario, contraseñas almacenadas en texto claro y cientos de nombres, direcciones, números de seguro social y datos de tarjetas de pago.
La denuncia dice que los empleados de InfoTrax no descubrieron la infracción hasta el 7 de marzo de 2023, cuando recibieron alertas de que uno de los servidores de la empresa había alcanzado su capacidad máxima de almacenamiento. La alerta fue el resultado de que el intruso creó un archivo de datos que había crecido tanto que el disco duro se quedó sin espacio. Fue solo entonces, dijeron los abogados de la FTC, que InfoTrax comenzó a tomar medidas para asegurar su red.
Incluso después de que salió a la luz la violación, la red InfoTrax se vio comprometida al menos dos veces más, alegó la FTC. Una semana después, un intruso usó un código malicioso para recopilar datos a través del sitio web de un cliente de InfoTrax que recopiló más de 2300 números de tarjetas de pago únicos y completos, incluidos nombres, direcciones físicas, CVV y fechas de vencimiento. Luego, el 29 de marzo, un intruso usó la identificación de usuario y la contraseña de un cliente de InfoTrax para cargar más código malicioso. El intruso usó el acceso para recopilar datos de tarjetas de pago recién enviados.
El hecho de que InfoTrax «no brinde una seguridad razonable para la información personal de los distribuidores y los consumidores finales ha causado o es probable que cause un daño sustancial a los consumidores en forma de fraude, robo de identidad, pérdida monetaria y tiempo dedicado a solucionar el problema», escribieron los abogados de la FTC. en la denuncia. Dijeron que un centro de llamadas contratado por un cliente de InfoTrax que buscaba ayuda con la respuesta de incumplimiento recibió más de 238 quejas de cargos de tarjeta de pago no autorizados, 34 quejas de nuevas líneas de crédito abiertas, 15 quejas de fraude fiscal y una queja de uso indebido de información para el empleo. propósitos
Las fallas específicas alegadas por la FTC contra InfoTrax no incluyeron:
- hacer un inventario y eliminar los datos personales que ya no se necesitan
- realizar una revisión del código de su software y probar la seguridad de su red
- detectar cargas de archivos maliciosos
- segmentando adecuadamente su red
- implementar medidas de seguridad para detectar actividades sospechosas en su red
La FTC dijo en un comunicado que, como parte de un acuerdo propuesto, InfoTrax no podrá recopilar, vender, compartir o almacenar información personal a menos que la empresa implemente un programa de seguridad que corrija las fallas identificadas en la denuncia. InfoTrax también deberá obtener evaluaciones de su seguridad por parte de terceros cada dos años.
