När tredje parts tjänsteleverantörer är part i känsliga uppgifter

Entreprenörer bär mycket hattar. Förutom att marknadsföra sina produkter är de ansvariga för operativa funktioner som inventering, beställning och skydd av kunddata. Istället för att hantera allt det där fabrikatet vänder sig vissa företag till tredjepartstjänsteleverantörer för att sköta saker bakom kulisserna. Men vilka åtgärder vidtar dessa företag för att säkra den konfidentiella konsumentinformation som de har? Det är en fråga som tagits upp av FTC:s föreslagna uppgörelse med Utah-baserade InfoTrax Systems.

InfoTrax tillhandahåller verksamhetssystem och onlinedistributörsverktyg för direktförsäljningsbranschen. Marknadsförare på flera nivåer kontrakt med InfoTrax för att driva deras webbportaler. Genom dessa portaler registrerar människor sig hos MLM som distributörer, registrerar nya distributörer och lägger beställningar för sig själva och för konsumenterna som köper från dem.

Dessa transaktioner involverar stora mängder känslig information – fullständiga namn, kredit- och betalkort med utgångsdatum och tresiffriga CVV-nummer, bankkontodata, personnummer, användar-ID och lösenord, etc. Låt oss vara tydliga: Vi pratar inte om ett namn här eller ett kontonummer där. I september 2016 lagrade InfoTrax personlig information från cirka 11,8 miljoner konsumenter. Men enligt klagomålet var InfoTrax engagerad i en serie datafel som skapade sårbarheter i dess nätverk, svagheter som möjliggjorde obehörig åtkomst till konfidentiell konsumentinformation. Bland annat hävdar FTC att:

  • InfoTrax misslyckades med att utföra adekvat kodgranskning och penetrationstestning för att bedöma cyberrisker;
  • InfoTrax misslyckades med att vidta försiktighetsåtgärder för att upptäcka skadliga filuppladdningar;
  • InfoTrax misslyckades med att adekvat begränsa var på sitt nätverk tredje parter kunde ladda upp okända filer;
  • InfoTrax misslyckades med att segmentera sitt nätverk tillräckligt för att säkerställa att en kunds distributörer inte kunde komma åt en annan kunds data;
  • InfoTrax misslyckades med att implementera säkerhetsåtgärder för att upptäcka misstänkt aktivitet – till exempel hade företaget inte ett effektivt intrångsdetekteringssystem för att upptäcka tvivelaktiga frågor; använde inte verktyg för övervakning av filintegritet för att avgöra när filer hade ändrats, och övervakade inte regelbundet efter obehöriga försök att överföra känslig data från nätverket;
  • InfoTrax lagrade konfidentiell information, inklusive personnummer, kredit- och betalkortsnummer, användar-ID och lösenord i tydlig, läsbar text; och
  • InfoTrax hade inte en systematisk process för att radera konsumenters personliga information och hade inte längre något företagsbehov att behålla i sitt nätverk.

Vad som hände som ett resultat av dessa misslyckanden borde inte komma som en överraskning. Enligt klagomålet utnyttjade en inkräktare någon gång under 2014 säkerhetsbrister på InfoTrax server och en klients webbplats för att ladda upp skadlig kod som gav inkräktaren fjärråtkomst till data på InfoTrax nätverk – något som gjordes totalt 17 gånger under ett två år. period, allt utan att InfoTrax upptäckte problemet. Du kommer att vilja läsa klagomålet för detaljer, men FTC hävdar att inkräktaren använde flera sätt för att komma undan med mycket känslig finansiell information om InfoTrax kunder och slutkonsumenter.

Slutligen, den 7 mars 2016, nästan två år efter att datastölderna började, fick InfoTrax en aning om de många överträdelserna. Tipset kom i form av en varning om att en av dess servrar hade nått sin maximala kapacitet, en varning som företaget fick bara för att en inkräktare hade skapat ett dataarkiv så massivt att disken tog slut. FTC säger att först då vidtog företaget åtgärder för att ta bort inkräktaren från sitt nätverk. Men trots det fortsatte inkräktaren att ta data från InfoTrax server i några veckor till.

Klagomålet hävdar att InfoTrax underlåtenhet att använda rimlig datasäkerhet för att skydda personlig information var en orättvis praxis, i strid med FTC-lagen. Den föreslagna ordern kräver att InfoTrax och dåvarande vd Mark Rawlins implementerar ett omfattande informationssäkerhetsprogram, får utvärderingar vartannat år och certifierar efterlevnad årligen. Dessutom inför förlikningen specifika skyddsåtgärder för att åtgärda de säkerhetsbrister som påstås i klagomålet. FTC accepterar offentliga kommentarer om den föreslagna uppgörelsen.

Vilka insikter kan andra företag få ut av fallet?

Lättillgängliga säkerhetsverktyg kan minska riskerna. FTC hävdar att InfoTrax kunde ha minskat risken för känslig information genom att implementera lättillgängliga, kostnadseffektiva skyddsåtgärder. Säkerhetsmedvetna företag använder till exempel verktyg för att övervaka obehöriga in- och utgångar på sitt nätverk. Sedan finns det indatavalidering, som kan avgöra om data från potentiellt opålitliga webbplatser är korrekt konfigurerad – en försiktighetsåtgärd som kan minska risken för att skadlig kod smyger sig in i, till exempel, en databas på ditt nätverk. Dessutom kan filintegritetsverktyg upptäcka om en inkräktare har ändrat information.

Inventera data i din ägo och gör dig av med dem på ett säkert sätt när det inte längre finns ett behov av att underhålla dem. Enligt FTC var en av databaserna som inkräktaren gjorde intrång i en äldre fil som InfoTrax inte visste att den fortfarande fanns på servern. Klagomålet visar vikten av att veta vad du har och var du har det. Det illustrerar också klokheten i att säkert göra sig av med onödig information. Du behöver inte skydda det du inte längre har.

Tänk på vilken effekt säkerhetsfel har på kunder och kunder. Identitetsstöld är alltid en risk när personuppgifter kränks, men klagomålet i detta fall tillför ett mänskligt perspektiv på konsekvenserna av slapp datasäkerhet. Till exempel, när en InfoTrax-klient anlitade ett callcenter för att hjälpa till med svar på dataintrång, rapporterade konsumenter och distributörer mer än 280 fall av påstådda bedrägerier, inklusive 238 klagomål om otillåtna kreditkortsdebiteringar, 34 klagomål om nya kreditlinjer som öppnats, 15 klagomål av skattebedrägeri och 1 klagomål om missbruk av information i anställningssyfte. För tjänsteleverantörer från tredje part med känslig konsumentdata bör säkerhet som är oöverträffad vara en prioritet på första nivån.

Leave a Comment

Your email address will not be published.