美国联邦贸易委员会(Federal Trade Commission)起诉一家IT提供商，称其未能在22个月的时间里侦测到20次黑客入侵，从而让黑客得以获取100万消费者的数据。只有当黑客把提供商的存储系统弄爆时，提供商才发现了漏洞。

 

FTC的律师在一份起诉书中称，总部位于犹他州的InfoTrax系统在2014年5月首次遭到攻击，沐鸣开户测速当时一名黑客利用了该公司网络中的漏洞，远程控制了其服务器。起诉书称，在接下来的21个月里，黑客利用这一控制访问了该系统17次而未被发现。然后在2016年3月2日，入侵者获取了大约100万消费者的个人信息。这些数据包括InfoTrax服务账户的全名、社会安全号码、物理地址、电子邮件地址、电话号码、用户名和密码。

 

入侵者当天晚些时候进入了该网站，并于3月6日再次入侵，窃取了4100个用户名、明文存储的密码，以及数百个姓名、地址、社会安全号码和支付卡数据。

 

诉状称，InfoTrax员工直到2016年3月7日才发现这个漏洞，当时他们收到警报，称公司的一台服务器已经达到了最大存储容量。该警报是入侵者创建一个数据存档文件的结果，该文件已经变得如此之大，以致于硬盘空间不足。联邦贸易委员会的律师说，直到那时，InfoTrax才开始采取措施保护其网络。

 

联邦贸易委员会称，即便是在信息泄露事件曝光之后，InfoTrax网络也至少被入侵了两次。一周后，一个入侵者使用恶意代码通过InfoTrax客户的网站收集数据，该网站收集了2300多个唯一的、完整的支付卡号码，包括姓名、物理地址、cvv和到期日期。然后在3月29日，一个入侵者使用InfoTrax客户端的用户ID和密码上传了更多恶意代码。入侵者使用访问权限收集新提交的支付卡数据。

 

联邦贸易委员会的律师在起诉书中写道，InfoTrax“未能为分销商和最终消费者的个人信息提供合理的安全保障，已经或可能会以欺诈、身份盗窃、金钱损失和补救时间的形式对消费者造成实质性损害”。他们表示，InfoTrax的一名客户保留了一个呼叫中心，请求帮助处理违约响应，该中心收到了238多起未经授权的支付卡收费投诉、34起新增信用额度投诉、15起税务欺诈投诉，以及一起滥用信息用于就业的投诉。

 

FTC指控InfoTrax的具体故障不包括:

 

盘点并删除不再需要的个人数据

 

对软件进行代码审查，对网络进行安全测试

 

检测恶意文件上传

 

充分分割其网络

 

实施保安措施，以侦测其网络上的可疑活动

 

联邦贸易委员会在一份声明中表示，沐鸣开户测速作为和解方案的一部分，InfoTrax将被禁止收集、出售、共享或存储个人信息，除非该公司实施一项安全计划，纠正投诉中发现的问题。InfoTrax还将被要求每两年获得第三方对其安全性的评估。