Amikor a külső szolgáltatók az érzékeny adatok felei
A vállalkozók sok kalapot viselnek. A termékeik marketingje mellett felelősek az olyan üzemeltetési funkciókért, mint a leltár, a rendelés és az ügyféladatok biztonsága. Egyes vállalkozások ahelyett, hogy kezelnék ezt a kalappalotát, külső szolgáltatókhoz fordulnak, hogy a színfalak mögött irányítsák a dolgokat. De milyen lépéseket tesznek ezek a cégek a birtokukban lévő bizalmas fogyasztói információk védelme érdekében? Ezt a problémát az FTC utahi székhelyű Infotrax Systems-szel javasolt megegyezése veti fel.
Az Infotrax operációs rendszereket és online forgalmazói eszközöket biztosít a közvetlen értékesítési ágazat számára. A többszintű marketingszakemberek az Infotrax-szal szerződnek webportáljaik működtetésére. Ezeken a portálokon az emberek az MLM-eknél terjesztőként regisztrálnak, új terjesztőket regisztrálnak, és rendeléseket adnak le maguknak és a tőlük vásárló fogyasztóknak.
Ezek a tranzakciók hatalmas mennyiségű érzékeny adatot tartalmaznak – teljes név, lejárati dátummal és háromjegyű CVV-számmal ellátott hitel- és betéti kártyák, bankszámlaadatok, társadalombiztosítási számok, felhasználói azonosítók és jelszavak stb. Tisztázzuk: itt nem nevekről vagy számlaszámokról beszélünk. 2016 szeptemberében az Infotrax körülbelül 11,8 millió fogyasztó személyes adatait tárolta. A panasz szerint azonban az Infotraxnak nem sikerült kivédenie egy sor adatszivárgást, ami sérülékenységeket hozott létre a hálózatán, olyan sebezhetőségeket, amelyek lehetővé tették a bizalmas fogyasztói információkhoz való jogosulatlan hozzáférést. Az FTC többek között azt állítja, hogy:
- Az Infotrax nem végzett megfelelő kódellenőrzést és penetrációs tesztet a kiberkockázatok felmérésére;
- Az InfoTrax nem tett óvintézkedéseket a rosszindulatú fájlfeltöltések észlelésére;
- Az Infotrax nem tudta megfelelően korlátozni, hogy harmadik felek hol tölthetnek fel ismeretlen fájlokat a hálózatára;
- Az Infotrax nem szegmentálta megfelelően hálózatát annak érdekében, hogy az egyik ügyfél forgalmazói ne férhessenek hozzá egy másik ügyfél adataihoz;
- Az Infotrax nem vezetett be biztonsági intézkedéseket a gyanús tevékenységek észlelésére – például a cég nem rendelkezett hatékony behatolásérzékelő rendszerrel a gyanús lekérdezések észlelésére; nem használt fájlok integritását figyelő eszközöket a fájlok módosításának meghatározására, és nem figyelte rendszeresen az érzékeny adatok hálózatáról való illetéktelen átvitelére irányuló kísérleteket;
- Az InfoTrax tiszta, olvasható szövegben tárolja a bizalmas információkat, beleértve a társadalombiztosítási számokat, a hitel- és bankkártyaszámokat, a felhasználói azonosítókat és jelszavakat; És
- Az Infotrax nem rendelkezett szisztematikus eljárással a fogyasztók személyes adatainak eltávolítására, mivel már nem volt üzleti igény arra, hogy ezeket a hálózatán tárolja.
Ami e kudarcok eredményeként történt, nem lehet meglepő. A panasz szerint valamikor 2014-ben egy behatoló az Infotrax szerverein és egy ügyfél weboldalán lévő biztonsági réseket kihasználva rosszindulatú kódot töltött fel, távoli hozzáférést biztosítva a betolakodónak az Infotrax hálózatán található adatokhoz – ez két év alatt összesen 17 alkalommal történt meg, de az Infotrax nem észlelte a problémát. A részletekért érdemes elolvasni a panaszt, de az FTC azt állítja, hogy a behatoló többféle módszert is alkalmazott, hogy rendkívül érzékeny pénzügyi információkat szerezzen az Infotrax ügyfeleiről és végfelhasználóiról.
Végül 2016. március 7-én, közel két évvel az adatszivárgás kezdete után az Infotrax több incidensről szerzett tudomást. Az értesítés egy figyelmeztetés formájában érkezett, miszerint az egyik szervere elérte a maximális kapacitását, a cég csak azért kapott figyelmeztetést, mert egy behatoló olyan nagyra tette az adatgyűjtést, hogy elfogyott a lemezterület. Az FTC azt állítja, hogy a cég csak ezután tett lépéseket a behatoló eltávolítására a hálózatából. A betolakodó azonban még néhány hétig folytatta az adatok beszerzését az Infotrax szervereiről.
A panasz azt állítja, hogy az FTC-törvényt sértő tisztességtelen gyakorlat volt, hogy az Infotrax nem hajtotta végre a megfelelő adatvédelmet a személyes adatok védelme érdekében. A javasolt megrendelés értelmében az Infotraxnak és Mark Rollins akkori vezérigazgatónak átfogó információbiztonsági programot kell végrehajtania, minden második évben értékelést kell kapnia, és évente igazolnia kell a megfelelőséget. Ezenkívül az egyezség konkrét biztosítékokat tesz a panaszban állítólagos biztonsági hiányosságok orvoslására. Az FTC elfogadja az egyezségi javaslattal kapcsolatos lakossági észrevételeket.
Milyen meglátásokat meríthetnek más cégek ebből az esetből?
A könnyen elérhető biztonsági berendezések csökkenthetik a kockázatokat. Az FTC azt állítja, hogy az Infotrax csökkenthette volna az érzékeny adatok kockázatát a könnyen elérhető, költséghatékony védelmi intézkedések bevezetésével. A biztonságtudatos vállalatok például eszközöket használnak a hálózataikon történő illetéktelen be- és kilépések figyelésére. Ezután következik a bemeneti ellenőrzés, amely meghatározhatja, hogy a potenciálisan nem megbízható webhelyekről származó adatok megfelelően vannak-e konfigurálva – ez az óvintézkedés csökkentheti annak kockázatát, hogy rosszindulatú kód besurranjon a hálózat adatbázisába. Ezenkívül a fájlintegritási eszközök képesek lehetnek észlelni, hogy egy behatoló megváltoztatta-e az információt.
Leltározza a birtokában lévő adatokat, és biztonságosan ártalmatlanítsa azokat, amikor nincs szükség a megőrzésükre. Az FTC szerint a behatoló által feltört egyik adatbázis egy olyan örökölt fájl volt, amelyről az Infotrax nem tudta, hogy még mindig a szerverein található. A panasztétel rámutat annak fontosságára, hogy tudjuk, mi van és hol. Azt is mutatja, milyen bölcs dolog a szükségtelen információk biztonságos megsemmisítése. Nem kell megvédened azt, ami már nincs meg.
Vegye figyelembe, hogy a biztonsági hibák milyen hatással lehetnek az ügyfelekre és a fogyasztókra. A személyazonosság-lopás mindig kockázatot jelent a személyes adatok megsértése esetén, de a panasz ebben az esetben humanista perspektívát ad a laza adatbiztonság következményeihez. Például, amikor egy Infotrax-ügyfél telefonos központot bérelt fel az adatvédelmi incidensre való reagálás érdekében, a fogyasztók és a forgalmazók több mint 280 állítólagos csalásról számoltak be, köztük 238 panaszt jogosulatlan hitelkártya-terhelésekkel kapcsolatban, 34 panaszt új hitelkeretekkel kapcsolatban, 15 panaszt adócsalásról és 1 panaszt az információkkal való visszaélésről. Az érzékeny fogyasztói adatokkal rendelkező külső szolgáltatók számára a másodlagos biztonságnak első szintű prioritást kell élveznie.
Megjelenési Dátum: 2019-11-12 17:02:37
Forráslink: www.ftc.gov
