Bir Şirket, Yaşadığı Veri İhlalini 2 Yıl Sonra Fark Edebildi

Amerika Birleşik Devletleri (ABD), Utah merkezli bir bilgi teknolojileri şirketi, siber saldırıya uğradığını ancak iki yıl sonra fark edebildi. Sunucularından birinin yetersiz disk alanı uyarısı vermesinin ardından durumun farkına varan şirket, büyük bir şok yaşadı.

Bu ilginç hack vakası, üst düzey pazarlama firmaları için sunucu hizmeti veren ve özel uygulamalar geliştiren Utah merkezli InfoTrax Systems’da yaşandı. 2016 yılında şirket, bir hacker'ın yaklaşık bir milyon kullanıcının kişisel bilgilerini çaldığı bir güvenlik ihlali yaşadığını açıkladı. Federal Ticaret Komisyonu (FTC), şirketin sunucularını güvence altına almadığı yönündeki ipuçlarını takiben, InfoTrax hakkında bir soruşturma başlattı.

FTC’nin raporuna göre bilgisayar korsanı, şirketin internet sitesinin ve bitişik sunucu altyapısının uzaktan kontrolünü sağlayan kötü amaçlı bir kod yüklemek için çok kritik bir güvenlik açığından yararlandı. 

FTC'ye göre hacker, Mayıs 2014 ile Mart 2016 arasında InfoTrax sunucularına neredeyse iki yıl boyunca erişim sağladı. InfoTrax ise yaşanan bu ihlalleri tespit edemedi. FTC, şirketin yetkisiz erişimi ve dosya değişikliklerini tespit etmek için uygun güvenlik sistemlerine sahip olmadığını açıkladı; ancak sunucularından birinin 7 Mart 2016 tarihinde yetersiz disk alanı uyarısı verdiği ortaya çıktı. 

Soruşturmayı genişleten FTC, hacker'ın InfoTrax sunucularından veri toplarken, diskin boş alanını dolduracak kadar büyük bir veri arşiv dosyası oluşturduğunu belirledi. Söz konusu veri dosyası, iki yıl boyunca topladığı 11.8 milyon kullanıcının kişisel bilgilerini içeriyordu. Çalınan bilgiler arasında Sosyal Güvenlik numaraları, kredi kartı ve banka hesap bilgileri ile kullanıcı adları ve şifreler gibi pek çok hassas veri bulunuyor.

Veri ihlaline InfoTrax'ın müşteri bilgilerini açık metin olarak kaydetmesinin yardımcı olduğuna karar veren FTC, Utah merkezli şirketin güvenlik ihlaline yol açan zafiyetlerini gidermesini öngören bir anlaşmaya vardığını duyurdu.