行业新闻与博客

美国联邦贸易委员会已与一家犹他州公司及其前首席执行官达成和解协议，指控存在伪劣的安全做法导致多次黑客非法访问超过 100 万客户的个人信息。

据称，InfoTrax Systems，LC 及其创始人兼前首席执行官马克·罗林斯（Mark Rawlins）未能使用合理的，低成本的，随时可用的安全问题的保护措施来保护他们代表公司业务客户维护的个人信息。 

由于涉嫌的安全漏洞，从 2014年5月到 2016年3月，黑客入侵了 InfoTrax 的服务器以及该公司代表客户维护的网站，渗透次数超过 20 次。 

根据 FTC 的投诉，黑客访问的敏感个人信息包括消费者的社会安全号码，全名，地址，电子邮件地址，电话号码，用户名，密码以及带有过期数据和 CVV 的支付帐号  。存储的消费者数据均未加密。

还据称，从 2014年5月5日到 2016年3月7日，入侵者在公司系统中的存在仅是因为 InfoTrax 开始收到有关其中一台服务器已达到最大容量的警报而被发现的。 

FTC 在其投诉中写道：“受访者收到任何警报的唯一原因是入侵者创建了一个数据存档文件，该文件太大，以至磁盘空间不足。只有这样，受访者才开始采取措施删除该文件。来自 InfoTrax 网络的入侵者。”

2016年3月14日至 29日发生了更多黑客攻击，当时威胁行动者获得了对该公司网络的访问权限，并通过恶意软件感染了该网络，从而收获了支付卡和其他账单数据。 

根据和解条款，InfoTrax 和 Rawlins 禁止收集，出售，共享或存储个人信息，除非他们实施了解决投诉中确定的安全失败的信息安全程序。 

此外，该公司和 Rawlins 必须每两年获得对其公司信息安全计划的第三方评估。

犹他州立大学计算机科学专业的毕业生 Rawlins 于 1998年创立了 MLM 服务提供商 InfoTrax Systems。该公司的客户包括 doTerra，Xango 和 LifeVantage。

本文由机器译制：https://www.infosecurity-magazine.com/news/infotrax-settles-with-ftc/