Ondernemers dragen veel hoeden. Naast de marketing van hun producten zijn ze verantwoordelijk voor operationele functies zoals voorraadbeheer, bestellingen en de bescherming van klantgegevens. In plaats van al dat modewerk te beheren, wenden sommige bedrijven zich tot externe dienstverleners om de zaken achter de schermen te regelen. Maar welke stappen ondernemen deze bedrijven om de vertrouwelijke consumenteninformatie die zij bezitten veilig te stellen? Dat is een kwestie die door de FTC’s voorgestelde schikking met het in Utah gevestigde InfoTrax Systems.
InfoTrax levert operationele systemen en online distributeurstools voor de directe verkoopsector. Multi-level marketeers sluiten een contract met InfoTrax om hun webportals te beheren. Via deze portalen registreren mensen zich bij MLM’s als distributeurs, melden nieuwe distributeurs aan en plaatsen bestellingen voor zichzelf en voor de consumenten die bij hen kopen.
Bij deze transacties zijn grote hoeveelheden gevoelige gegevens betrokken: volledige namen, creditcards en betaalkaarten met vervaldatums en driecijferige CVV-nummers, bankrekeninggegevens, burgerservicenummers, gebruikers-ID’s en wachtwoorden, enz. Laten we duidelijk zijn: we hebben het hier niet over een naam of een rekeningnummer daar. In september 2016 bewaarde InfoTrax persoonlijke informatie van ongeveer 11,8 miljoen consumenten. Maar volgens de klacht was InfoTrax betrokken bij een reeks gegevensfouten die kwetsbaarheden in zijn netwerk veroorzaakten, zwakke punten die ongeoorloofde toegang tot vertrouwelijke consumenteninformatie mogelijk maakten. De FTC beweert onder meer dat:
- InfoTrax slaagde er niet in adequate codebeoordeling en penetratietesten uit te voeren om cyberrisico’s te beoordelen;
- InfoTrax heeft geen voorzorgsmaatregelen genomen om kwaadaardige bestandsuploads te detecteren;
- InfoTrax slaagde er niet in om op adequate wijze te beperken waar derden op haar netwerk onbekende bestanden konden uploaden;
- InfoTrax slaagde er niet in zijn netwerk adequaat te segmenteren om ervoor te zorgen dat de distributeurs van de ene klant geen toegang hadden tot de gegevens van een andere klant;
- InfoTrax slaagde er niet in veiligheidsmaatregelen te implementeren om verdachte activiteiten te detecteren – het bedrijf beschikte bijvoorbeeld niet over een effectief inbraakdetectiesysteem om twijfelachtige vragen op te sporen; maakte geen gebruik van tools voor het monitoren van de bestandsintegriteit om te bepalen wanneer bestanden waren gewijzigd, en controleerde niet regelmatig op ongeoorloofde pogingen om gevoelige gegevens van het netwerk over te dragen;
- InfoTrax heeft vertrouwelijke informatie opgeslagen, waaronder burgerservicenummers, creditcard- en debetkaartnummers, gebruikers-ID’s en wachtwoorden in duidelijke, leesbare tekst; En
- InfoTrax beschikte niet over een systematisch proces voor het verwijderen van de persoonlijke gegevens van consumenten en had niet langer een zakelijke noodzaak om deze op zijn netwerk te bewaren.
Wat er als gevolg van deze mislukkingen is gebeurd, mag geen verrassing zijn. Volgens de klacht misbruikte een indringer ergens in 2014 beveiligingsproblemen op de server van InfoTrax en de website van een klant om kwaadaardige code te uploaden die de indringer op afstand toegang gaf tot gegevens op het netwerk van InfoTrax – iets wat in een periode van twee jaar in totaal 17 keer werd gedaan, allemaal zonder dat InfoTrax het probleem had opgemerkt. Je wilt de klacht voor details, maar de FTC beweert dat de indringer meerdere middelen heeft gebruikt om met zeer gevoelige financiële informatie over de klanten en eindgebruikers van InfoTrax aan de haal te gaan.
Eindelijk kreeg InfoTrax op 7 maart 2016, bijna twee jaar nadat de gegevensdiefstallen begonnen, een vermoeden van de vele inbreuken. De tip kwam in de vorm van een waarschuwing dat een van zijn servers de maximale capaciteit had bereikt, een waarschuwing die het bedrijf alleen ontving omdat een indringer een gegevensarchief had aangelegd dat zo groot was dat de schijf geen ruimte meer had. De FTC zegt dat het bedrijf pas toen stappen ondernam om de indringer uit zijn netwerk te verwijderen. Maar toch bleef de indringer nog een paar weken gegevens van de InfoTrax-server verzamelen.
De klacht beweert dat het onvermogen van InfoTrax om redelijke gegevensbeveiliging toe te passen om persoonlijke informatie te beschermen een oneerlijke praktijk was, in strijd met de FTC Act. De voorgestelde volgorde vereist dat InfoTrax en de toenmalige CEO Mark Rawlins een uitgebreid informatiebeveiligingsprogramma implementeren, om de twee jaar beoordelingen krijgen en de naleving jaarlijks certificeren. Bovendien voorziet de schikking in specifieke waarborgen om de in de klacht genoemde veiligheidstekortkomingen aan te pakken. De FTC accepteert publieke opmerkingen over de voorgestelde schikking.
Welke inzichten kunnen andere bedrijven uit deze case halen?
Direct beschikbare beveiligingshulpmiddelen kunnen risico’s verminderen. De FTC beweert dat InfoTrax het risico voor gevoelige gegevens had kunnen verminderen door direct beschikbare, kosteneffectieve beschermingsmaatregelen te implementeren. Beveiligingsbewuste bedrijven gebruiken bijvoorbeeld tools om ongeoorloofde in- en uitgangen op hun netwerk te controleren. Dan is er nog de invoervalidatie, die kan bepalen of gegevens van mogelijk niet-vertrouwde sites correct zijn geconfigureerd – een voorzorgsmaatregel die het risico kan verkleinen dat kwaadaardige code bijvoorbeeld een database op uw netwerk binnensluipt. Bovendien kunnen tools voor bestandsintegriteit mogelijk detecteren of een indringer informatie heeft gewijzigd.
Inventariseer de gegevens die u in uw bezit heeft en verwijder deze op een veilige manier als u ze niet langer hoeft te onderhouden. Volgens de FTC was een van de databases die de indringer had gehackt een oud bestand waarvan InfoTrax niet wist dat het nog op de server stond. De aantijging van de klacht toont aan hoe belangrijk het is om te weten wat u heeft en waar u het heeft. Het illustreert ook de wijsheid van het veilig verwijderen van onnodige informatie. Wat je niet meer hebt, hoef je niet te beschermen.
Denk aan de impact die beveiligingsfouten hebben op klanten en klanten. Identiteitsdiefstal is altijd een risico wanneer persoonlijke informatie wordt geschonden, maar de klacht voegt in dit geval een menselijk perspectief toe op de gevolgen van lakse gegevensbeveiliging. Toen een klant van InfoTrax bijvoorbeeld een callcenter inhuurde om te helpen bij het reageren op datalekken, meldden consumenten en distributeurs meer dan 280 gevallen van vermeende fraude, waaronder 238 klachten over ongeautoriseerde creditcardkosten, 34 klachten over geopende kredietlijnen, 15 klachten over belastingfraude en 1 klacht over misbruik van informatie voor arbeidsdoeleinden. Voor externe dienstverleners met gevoelige consumentengegevens zou ongeëvenaarde beveiliging een prioriteit op het eerste niveau moeten zijn.
