Οι επιχειρήσεις φορούν πολλά καπέλα. Εκτός από την εμπορία των προϊόντων τους, είναι υπεύθυνοι για την προστασία των λειτουργικών λειτουργιών, όπως τα αποθέματα, η παραγγελία και τα δεδομένα των πελατών. Αντί να χειρίζονται όλους αυτούς τους στρατιωτικούς, ορισμένες επιχειρήσεις στρέφονται σε τρίτους παρόχους υπηρεσιών για να τρέξουν τα πράγματα πίσω από τις κουρτίνες. Αλλά ποια μέτρα λαμβάνουν αυτές οι εταιρείες για να εξασφαλίσουν μυστικές πληροφορίες καταναλωτών στην κατοχή τους; Αυτό έχει αυξηθεί από τον προτεινόμενο διακανονισμό της FTC με το σύστημα Infoticus που βασίζεται στη Γιούτα.
Το Infootrakes παρέχει άμεσα το σύστημα λειτουργιών και τα ηλεκτρονικά εργαλεία διανομέα για τη βιομηχανία πώλησης. Οι έμποροι πολλαπλών επιπέδων με την Infotics για τη λειτουργία τους μερίδων στο διαδίκτυο. Μέσα από αυτές τις πύλες, οι άνθρωποι εγγράφονται ως διανομείς με MLM, εγγραφούν νέοι διανομείς και διατάζουν για τον εαυτό τους και τους αγοραστές τους.
Αυτές οι συναλλαγές περιλαμβάνουν μεγάλες ποσότητες ευαίσθητων δεδομένων. Τα πλήρη ονόματα, οι πιστωτικές και χρεωστικές κάρτες περιλαμβάνουν ημερομηνίες λήξης και τρεις ψηφιακούς αριθμούς CVV, δεδομένα τραπεζικού λογαριασμού, αριθμούς κοινωνικής ασφάλισης, αναγνωριστικό χρήστη και κωδικούς πρόσβασης κ.λπ. Ας είμαστε σαφείς: Δεν μιλάμε για ένα όνομα ή έναν αριθμό λογαριασμού εδώ. Από τον Σεπτέμβριο του 2016, η Infotics αποθηκεύει προσωπικές πληροφορίες από περίπου 11,8 εκατομμύρια χρήστες. Ωστόσο, σύμφωνα με την καταγγελία, η Infotics ασχολείται με μια σειρά στατιστικών στοιχείων που δημιούργησαν αδυναμίες στο δίκτυό της, από αδυναμίες που επιτρέπουν μη εξουσιοδοτημένη πρόσβαση σε μυστικές πληροφορίες καταναλωτών. Εκτός από άλλα πράγματα, η FTC ισχυρίστηκε ότι:
- Οι Infoxic Codes απέτυχαν να αξιολογήσουν τις απειλές στον κυβερνοχώρο και να αποτύχουν να εξετάσουν τη διείσδυση.
- Η εμπιστοσύνη απέτυχε να λάβει προληπτικά μέτρα για την ανίχνευση κακόβουλων μεταφορτών αρχείων.
- Η εμπιστοσύνη απέτυχε να το περιορίσει σε λογικό βαθμό όπου ένα τρίτο μέρος στο δίκτυό του θα μπορούσε να μεταφορτώσει άγνωστα αρχεία.
- Η εμπιστοσύνη απέτυχε να διανείμει σωστά το δίκτυό τους για να διασφαλίσει ότι οι κατανομές ενός πελάτη δεν μπορούν να έχουν πρόσβαση στα δεδομένα άλλων πελατών.
- Η Infoxic απέτυχε να εφαρμόσει μέτρα ασφαλείας για την ανίχνευση ύποπτης δραστηριότητας – για παράδειγμα, η εταιρεία δεν είχε αποτελεσματικό σύστημα παρέμβασης για να βρει απαράδεκτες ερωτήσεις. Μετά την αλλαγή των αρχείων, τα εργαλεία παρακολούθησης ενσωμάτωσης αρχείων δεν χρησιμοποίησαν και δεν παρακολούθησαν τακτικά τις μη εξουσιοδοτημένες προσπάθειες για τη μετάδοση ευαίσθητων δεδομένων από το δίκτυο.
- Η Infotics αποθηκεύει εμπιστευτικές πληροφορίες, συμπεριλαμβανομένων των αριθμών κοινωνικής ασφάλισης, των αριθμών πιστωτικών και χρεωστικών καρτών, των αναγνωριστικών χρήστη και των κωδικών πρόσβασης σαφείς, αναγνώσιμες κείμενο. Και
- Η Infotics δεν είχε συστηματική διαδικασία για τη διαγραφή των προσωπικών πληροφοριών των καταναλωτών.
Αυτό που συνέβη ως αποτέλεσμα αυτών των αποτυχιών δεν πρέπει να προκαλεί έκπληξη. Σύμφωνα με την καταγγελία, το 2014, ένας ενθουσιώδης εκμεταλλεύτηκε τους κινδύνους ασφαλείας για τον διακομιστή Infoticus και τον ιστότοπο ενός πελάτη, ο οποίος ανέβασε έναν κακόβουλο κώδικα που παρείχε απομακρυσμένη πρόσβαση στο δίκτυο Inferrows, το οποίο ήταν συνολικά 17 φορές, χωρίς συνολικά 17 φορές. Θα θέλατε να διαβάσετε την καταγγελία για τις λεπτομέρειες, αλλά η FTC ισχυρίστηκε ότι οι διεισθέοι χρησιμοποίησαν διάφορες πηγές με εξαιρετικά ευαίσθητες οικονομικές πληροφορίες σχετικά με τους πελάτες εμπλοκής και το κλείσιμο των χρηστών.
Τέλος, στις 7 Μαρτίου 2016, σχεδόν δύο χρόνια μετά την έναρξη της κλοπής των δεδομένων, η ενίσχυση έλαβε μελάνι πολυάριθμων παραβιάσεων. Η χειρονομία ήρθε με τη μορφή προειδοποίησης ότι ένας από τους διακομιστή του είχε φτάσει στη μέγιστη χωρητικότητα του, μια προειδοποίηση μόνο και μόνο επειδή μια είσοδος στο αρχείο δεδομένων που ο δίσκος εξαντλήθηκε από το διάστημα. Μόνο τότε η εταιρεία έλαβε μέτρα για να αφαιρέσει το δίκτυο από το δίκτυό της, λέει η FTC. Ωστόσο, η παγίδα συνέχισε να λαμβάνει δεδομένα από τον διακομιστή Infotroxy για μερικές ακόμη εβδομάδες.
Η καταγγελία ισχυρίζεται ότι η αποτυχία να χρησιμοποιήσει την κατάλληλη ασφάλεια δεδομένων για την προστασία των προσωπικών πληροφοριών της Infotics παραβιάζοντας τον νόμο FTC ήταν μια αθέμιτη διαδικασία. Η προτεινόμενη εντολή απαιτεί την ενίσχυση και τον CEO του χρόνου Mark Rawlins για να εφαρμόσει ένα ολοκληρωμένο πρόγραμμα ασφάλειας πληροφοριών, να λάβει κάθε χρόνο αναθεώρηση και να επιβεβαιώσει την ετήσια συμμόρφωση. Επιπλέον, η καταγγελία διακανονισμού φέρεται να έχει συγκεκριμένες ρυθμίσεις ασφαλείας για να ξεπεράσει τις ελλείψεις ασφαλείας. Η FTC δέχεται δημόσια σχόλια σχετικά με τον προτεινόμενο διακανονισμό.
Ποιες άλλες εταιρείες μπορούν να πάρουν από αυτό το θέμα;
Τα εύκολα διαθέσιμα προστατευτικά εργαλεία μπορούν να μειώσουν τους κινδύνους. Η FTC ισχυρίστηκε ότι η Infotroxy μπορεί να μειώσει τον κίνδυνο ευαίσθητων δεδομένων με την εφαρμογή ενός κόστους -αποδοτικών, αποδοτικών προστατευτικών μέτρων. Για παράδειγμα, οι εταιρείες που ενημερώνονται από την ασφάλεια χρησιμοποιούν εργαλεία για την παρακολούθηση των μη εξουσιοδοτημένων καταχωρήσεων και την έξοδο στο δίκτυό τους. Στη συνέχεια, υπάρχει μια επαλήθευση της εισόδου, η οποία μπορεί να καθορίσει εάν τα δεδομένα των μη πιστών τοποθεσιών επιβεβαιώνονται σωστά – μια προφύλαξη που μπορεί να μειώσει τον κίνδυνο κακόβουλης εκτύπωσης κώδικα στη βάση δεδομένων στο δίκτυό σας. Επιπλέον, εάν ένας διεισδυτής έχει αλλάξει τις πληροφορίες, τα εργαλεία ακεραιότητας αρχείων ενδέχεται να βρουν.
Το απόθεμα χάνεται την κατοχή σας και την σπαταλάει με ασφάλεια όταν δεν χρειάζεται πλέον να διατηρηθεί. Σύμφωνα με την FTC, μία από τις παραβιάσεις της βάσης δεδομένων του ερευνητή ήταν ένα αρχείο παλαιού τύπου, οι Inferrows δεν γνώριζαν ότι ήταν ακόμα στο διακομιστή του. Η κατηγορία της καταγγελίας δείχνει τη σημασία του να γνωρίζετε τι έχετε και πού έχετε. Επίσης, απεικονίζει τη σοφία της εξασφάλισης περιττών πληροφοριών. Δεν χρειάζεται να προστατεύσετε αυτό που έχετε.
Εξετάστε τις επιπτώσεις των αποτυχιών ασφαλείας στους πελάτες και τους χρήστες. Όταν παραβιάζονται προσωπικές πληροφορίες, η κλοπή ταυτότητας αποτελεί πάντα απειλή, αλλά στην περίπτωση αυτή η καταγγελία αυξάνει την ανθρώπινη άποψη σχετικά με τα αποτελέσματα της ασφάλειας των δεδομένων. Για παράδειγμα, όταν ένας πληροφοριακός πελάτης προσέλαβε ένα τηλεφωνικό κέντρο για να βοηθήσει να απαντήσει σε παραβιάσεις δεδομένων, οι καταναλωτές και οι διανομείς ανέφεραν περισσότερα από 280 περιστατικά υποτιθέμενης απάτης, συμπεριλαμβανομένων 238 καταγγελιών μη εξουσιοδοτημένων χρεώσεων πιστωτικών καρτών, 34 καταγγελίες ψευδών καταγγελιών, 34 καταγγελίες και 34 καταγγελίες. Για τους τρίτους παρόχους υπηρεσιών με ευαίσθητα δεδομένα καταναλωτών, η ασφάλεια, η οποία δεν είναι πίσω από κανέναν, πρέπει να είναι η πρώτη προτεραιότητα.
