Ondernemers dragen veel hoeden. Naast de marketing van hun producten zijn ze verantwoordelijk voor operationele functies zoals voorraadbeheer, bestellingen en het beschermen van klantgegevens. In plaats van al dat modewerk af te handelen, wenden sommige bedrijven zich tot externe dienstverleners om de zaken achter de schermen af te handelen. Maar welke maatregelen nemen deze bedrijven om de vertrouwelijke consumenteninformatie die zij bezitten te beschermen? Dit is een vraag die gesteld is door FTC heeft een schikking voorgesteld met het in Utah gevestigde InfoTrax Systems.
InfoTrax levert besturingssystemen en online distributietools voor de directe verkoopsector. Multilevel marketeers sluiten een contract met InfoTrax om hun webportals te beheren. Via deze portalen registreren mensen zich bij MLM’s als distributeurs, melden ze nieuwe distributeurs aan en plaatsen ze bestellingen voor zichzelf en de consumenten die bij hen kopen.
Bij dergelijke transacties zijn grote hoeveelheden gevoelige gegevens betrokken: volledige namen, creditcards en betaalkaarten met vervaldatum en driecijferige CVV-nummers, bankrekeninggegevens, burgerservicenummers, gebruikers-ID’s en wachtwoorden, enz. Laten we duidelijk zijn: we hebben het hier niet over een naam of daar over een rekeningnummer. Vanaf september 2016 bewaarde InfoTrax persoonlijke informatie van ongeveer 11,8 miljoen consumenten. Maar volgens de klacht was InfoTrax betrokken bij een reeks gegevensfouten die kwetsbaarheden in zijn netwerk veroorzaakten, zwakke punten die ongeoorloofde toegang tot gevoelige informatie van consumenten mogelijk maakten. De FTC beweert onder meer dat:
- InfoTrax slaagde er niet in adequate codebeoordeling en penetratietesten uit te voeren om cyberrisico’s te beoordelen;
- InfoTrax heeft geen voorzorgsmaatregelen genomen om kwaadaardige bestandsuploads te detecteren;
- InfoTrax slaagde er niet in om op adequate wijze te beperken waar derden op haar netwerk onbekende bestanden konden uploaden;
- InfoTrax slaagde er niet in zijn netwerk adequaat te segmenteren om ervoor te zorgen dat de distributeurs van de ene klant geen toegang hadden tot de gegevens van een andere klant;
- InfoTrax slaagde er niet in veiligheidsmaatregelen te implementeren om verdachte activiteiten op te sporen: het bedrijf beschikte bijvoorbeeld niet over een effectief inbraakdetectiesysteem om twijfelachtige vragen te detecteren; maakte geen gebruik van tools voor het monitoren van de bestandsintegriteit om te bepalen wanneer bestanden waren gewijzigd en controleerde niet regelmatig ongeoorloofde pogingen om gevoelige gegevens van zijn netwerk over te dragen;
- InfoTrax bewaarde gevoelige informatie, waaronder burgerservicenummers, creditcard- en debetkaartnummers, gebruikers-ID’s en wachtwoorden in duidelijke, leesbare tekst; EN
- InfoTrax beschikte niet over een systematisch proces voor het verwijderen van de persoonlijke gegevens van consumenten en had niet langer een zakelijke noodzaak om deze op zijn netwerk te bewaren.
Wat er als gevolg van deze mislukkingen gebeurde, hoeft geen verrassing te zijn. Volgens de klacht maakte een indringer in 2014 misbruik van beveiligingsproblemen op de server van InfoTrax en de website van een klant om kwaadaardige code te uploaden die de indringer op afstand toegang gaf tot gegevens op het netwerk van InfoTrax. Dit gebeurde in totaal 17 keer in een periode van twee jaar, allemaal zonder dat InfoTrax zich bewust werd van het probleem. Wij raden u aan de klacht voor details, maar de FTC beweert dat de indringer meerdere middelen heeft gebruikt om zeer gevoelige financiële informatie over InfoTrax-klanten en eindgebruikers te stelen.
Eindelijk, op 7 maart 2016, bijna twee jaar nadat de gegevensdiefstallen begonnen, kreeg InfoTrax een glimp van de vele inbreuken. De waarschuwing kwam in de vorm van een waarschuwing dat een van zijn servers de maximale capaciteit had bereikt, een waarschuwing die het bedrijf alleen kreeg omdat een indringer een data-archief had aangemaakt dat zo groot was dat de schijf geen ruimte meer had. De FTC zegt dat het bedrijf pas toen stappen ondernam om de indringer uit zijn netwerk te verwijderen. Desondanks bleef de indringer nog een paar weken gegevens van de InfoTrax-server stelen.
De klacht beweert dat het onvermogen van InfoTrax om redelijke gegevensbeveiliging te implementeren om persoonlijke informatie te beschermen een oneerlijke praktijk was, in strijd met de FTC Act. DE voorgestelde volgorde vereist dat InfoTrax en de toenmalige CEO Mark Rawlins een uitgebreid informatiebeveiligingsprogramma implementeren, elke twee jaar beoordelingen verkrijgen en de naleving jaarlijks certificeren. Bovendien voorziet de overeenkomst in specifieke waarborgen om de in de klacht genoemde veiligheidstekortkomingen aan te pakken. De FTC accepteert publieke opmerkingen over de voorgestelde schikking.
Welke informatie kunnen andere bedrijven uit de zaak halen?
Direct beschikbare beveiligingshulpmiddelen kunnen risico’s verminderen. De FTC stelt dat InfoTrax het risico voor gevoelige gegevens had kunnen verminderen door direct beschikbare en kosteneffectieve beschermingsmaatregelen te implementeren. Beveiligingsbewuste bedrijven gebruiken bijvoorbeeld tools om ongeoorloofd binnenkomen en verlaten van hun netwerk te monitoren. Dan is er nog de invoervalidatie, die kan bepalen of gegevens van mogelijk niet-vertrouwde sites correct zijn geconfigureerd – een voorzorgsmaatregel die het risico kan verkleinen dat kwaadaardige code infiltreert in bijvoorbeeld een netwerkdatabase. Bovendien kunnen tools voor bestandsintegriteit mogelijk detecteren of een indringer de informatie heeft gewijzigd.
Inventariseer de gegevens die u bewaart en verwijder deze op een veilige manier wanneer deze niet langer bewaard hoeven te worden. Volgens de FTC was een van de databases die door de indringer werd geschonden een oud bestand waarvan InfoTrax niet wist dat het nog op de server stond. De rapportagekosten laten zien hoe belangrijk het is om te weten wat u heeft en waar u het heeft. Het illustreert ook de wijsheid van het veilig verwijderen van onnodige informatie. Wat je niet meer hebt, hoef je niet te beschermen.
Denk eens aan de impact die beveiligingsfouten hebben op klanten en kopers. Identiteitsdiefstal is altijd een risico wanneer persoonlijke informatie wordt geschonden, maar rapportage voegt in dit geval een menselijk perspectief toe op de gevolgen van slechte gegevensbeveiliging. Toen een InfoTrax-klant bijvoorbeeld contact opnam met een callcenter om te helpen bij het reageren op het datalek, meldden consumenten en distributeurs meer dan 280 gevallen van vermoedelijke fraude, waaronder 238 klachten over ongeautoriseerde creditcardafschrijvingen, 34 klachten over nieuw geopende kredietlijnen, 15 klachten over belastingfraude en 1 klacht over misbruik van informatie voor zakelijke doeleinden. Voor externe dienstverleners met gevoelige consumentengegevens zou ongeëvenaarde beveiliging een topprioriteit moeten zijn.
