Es la «falla en la detección de intrusiones» lo que siempre resulta en grandes pérdidas para las organizaciones.

La empresa de tecnología con sede en Utah InfoTrax Systems es el último ejemplo de este error de seguridad, ya que la empresa fue violada más de 20 veces desde mayo de 2014 hasta marzo de 2016.

Lo irónico es que la empresa detectó la violación solo después de recibir una alerta de que su los servidores habían alcanzado la capacidad máxima de almacenamiento debido a un archivo de datos creado por el hacker.

InfoTrax Systems es una compañía estadounidense con sede en Utah que proporciona sistemas de operaciones de back-end a los vendedores de varios niveles, que también incluye una gran cantidad de datos confidenciales sobre la compensación, inventario, pedidos y contabilidad de sus usuarios.

Según los informes, la violación se produjo en mayo de 2014 cuando el pirata informático explotó las vulnerabilidades en el servidor de InfoTrax y el sitio web de su cliente para obtener control remoto sobre su servidor, lo que le permitió obtener acceso a información personal confidencial para 1 millón de consumidores.

En ese momento, la Comisión Federal de Comercio de los Estados Unidos (FTC) demandó a la compañía por no salvaguardar la información personal que la compañía mantenía en nombre de sus clientes.

De acuerdo con la queja de la FTC, el pirata informático accedió de forma remota al sistema 17 veces durante los siguientes 21 meses sin ser detectado y luego comenzó a extraer la información personal de los consumidores el 2 de marzo de 2016.

La información robada incluía los nombres completos de los clientes, números de seguro social, direcciones físicas, direcciones de correo electrónico , números de teléfono, nombres de usuario y contraseñas para las cuentas de distribuidor y administrador 4100 en el servicio InfoTrax.

hackear

¿Qué es aún peor? Los datos filtrados también incluían información de la tarjeta de pago de algunos clientes (números de tarjeta de crédito y débito completos o parciales, CVV y fechas de vencimiento), así como información de la cuenta bancaria, incluidos los números de cuenta y ruta.

La compañía descubrió la violación el 7 de marzo de 2016, cuando comenzó a recibir alertas de que uno de sus servidores había alcanzado su capacidad máxima, debido a un archivo de datos masivo que el pirata informático creó en sus clientes.

Sorprendentemente, el intruso logró violar la empresa al menos dos veces más, incluso después de que InfoTrax Systems se dio cuenta de la intrusión.

El 14 de marzo de 2016, el pirata informático cosechó más de 2300 números únicos y completos de tarjetas de pago, incluidos nombres, direcciones físicas, CVV y fechas de vencimiento, y otros datos de facturación recientemente enviados por los distribuidores durante el proceso de pago.

Por otra parte, el 29 de marzo de 2016, el pirata informático usó el ID de usuario y la contraseña de una cuenta de distribuidor válida de InfoTrax para cargar más código malicioso para recopilar nuevamente los datos de la tarjeta de pago recién enviada desde el sitio web de ese cliente.

Según la FTC, InfoTrax Systems no logró «inventariar y eliminar información personal que ya no es necesaria, realizar revisiones de código de su software y probar su red, detectar cargas de archivos maliciosos, segmentar adecuadamente su red e implementar salvaguardas de ciberseguridad para detectar actividades inusuales en su red «.

El martes, la FTC publicó un comunicado de prensa , anunciando un acuerdo propuesto, que requiere que InfoTrax Systems implemente un programa integral de seguridad de datos que corrija las fallas identificadas en la queja.

Además de esto, el acuerdo propuesto también requiere que InfoTrax Systems obtenga evaluaciones de terceros de su programa de seguridad de la información cada dos años.

Fuente: thehackernews.com

Compartir