Brèche affectant 1 million a été pris seulement après que le pirate a atteint son maximum.


La Federal Trade Commission des États-Unis a poursuivi un fournisseur de TI pour avoir omis de détecter 20 intrusions de piratage informatique sur une période de 22 mois, permettant au pirate d’accéder aux données pour 1 million de consommateurs. Le fournisseur n’a découvert la brèche que lorsque le pirate a épuisé le système de stockage du fournisseur.
Basé en Utah, InfoTrax Systems a été violé pour la première fois en mai 2014, lorsqu’un pirate informatique a exploité les vulnérabilités du réseau de l’entreprise qui donnait le contrôle à distance de son serveur, les avocats de la FTC allégué dans un grief. Selon la plainte, le pirate a utilisé ce contrôle pour accéder au système sans être détecté 17 fois au cours des 21 mois suivants. Puis, le 2 mars 2016, l’intrus a accédé aux renseignements personnels d’environ 1 million de consommateurs. Les données comprenaient les noms complets, les numéros de sécurité sociale, les adresses physiques, les adresses électroniques, les numéros de téléphone, les noms d’utilisateur et les mots de passe des comptes du service InfoTrax.
L’intrus a accédé au site plus tard dans la journée et à nouveau le 6 mars, volant 4 100 noms d’utilisateur, mots de passe en texte clair et des centaines de noms, adresses, numéros de sécurité sociale et données pour les cartes de paiement.
Selon la plainte, les employés d’InfoTrax n’ont pas découvert la brèche avant le 7 mars 2016, date à laquelle ils ont été informés qu’un des serveurs de l’entreprise avait atteint sa capacité de stockage maximale. L’alerte était le résultat de la création par l’intrus d’un fichier d’archives de données qui était devenu si volumineux qu’un disque dur manquait d’espace. Ce n’est qu’à ce moment-là, selon les avocats de la FTC, qu’InfoTrax a commencé à prendre des mesures pour sécuriser son réseau.
Même après la découverte de l’infraction, le réseau InfoTrax a été compromis au moins deux fois de plus, selon la FTC. Une semaine plus tard, un intrus a utilisé un code malveillant pour recueillir des données sur le site Web d’un client d’InfoTrax qui a recueilli plus de 2 300 numéros de carte de paiement uniques et complets, dont les noms, adresses physiques, CVV et dates d’expiration. Puis, le 29 mars, un intrus a utilisé l’ID utilisateur et le mot de passe d’un client InfoTrax pour télécharger plus de code malveillant. L’intrus a utilisé l’accès pour recueillir les données des cartes de paiement nouvellement soumises.
L’incapacité d’InfoTrax à fournir une sécurité raisonnable pour les renseignements personnels des distributeurs et des consommateurs finaux a causé ou est susceptible de causer un préjudice important aux consommateurs sous forme de fraude, de vol d’identité, de perte monétaire et de temps consacré à remédier au problème, ont écrit les avocats de la FTC dans leur plainte. Ils ont indiqué qu’un centre d’appels retenu par un client d’InfoTrax pour obtenir de l’aide dans le cadre d’une intervention en cas d’atteinte à la sécurité a reçu plus de 238 plaintes concernant des frais de carte de paiement non autorisés, 34 plaintes concernant de nouvelles lignes de crédit ouvertes, 15 plaintes pour fraude fiscale et une plainte pour utilisation abusive de l’information à des fins professionnelles.
Les manquements spécifiques allégués par la FTC contre InfoTrax n’étaient pas inclus :
-
- faire l’inventaire et supprimer les données personnelles dont il n’a plus besoin
- examiner le code de ses logiciels et tester la sécurité de son réseau
- détecter les téléchargements de fichiers malveillants
- une segmentation adéquate de son réseau
- mettre en œuvre des mesures de sécurité pour détecter les activités suspectes sur son réseau
La FTC a déclaré dans un énoncé que, dans le cadre d’un règlement proposé, InfoTrax se verra interdire de recueillir, de vendre, de partager ou de stocker des renseignements personnels à moins que l’entreprise ne mette en œuvre un programme de sécurité qui corrige les lacunes identifiées dans la plainte. InfoTrax devra également faire évaluer sa sécurité par un tiers tous les deux ans.