×
ftc.png
Den AMERIKANSKE Federal Trade Commission har aftalt at løse to retssager mod to virksomheder, der led katastrofale hacks i 2016.
Begge fik det der svarer til en lussing på håndleddet, på trods af at have rystende sikkerhedsforanstaltninger, ikke at bruge nogen form for kryptering, og lagring af data i almindelig tekst, som til gengæld lov hackere at stjæle millioner af bruger optegnelser fra hver.
ClixSense hack
Den største af de to hacks fandt sted i September 2016, og målrettet ClixSense, en web-portal, der har betalt brugere for at gennemføre undersøgelser, set annoncer, eller udføres forskellige andre opgaver.
Per FTC, bruddet skete efter en ClixSense medarbejder hentet en ondsindet browser udvidelse på deres computer, som gav hackere en måde inde i virksomhedens netværk.
Fordi selskabet havde “undladt at gennemføre minimal data sikkerhedsforanstaltninger for en,” hackere var i stand til at hente personlige data af alle ClixSense er brugere, end 6,6 millioner i alt.
Ifølge FTC, hackere stjal fulde navn, fødselsdato, e-mail og post-adresser, brugernavne, adgangskoder, og svar på sikkerhedsmæssige spørgsmål, og endda cpr-numre til nogle af webstedets brugere.
De hackere, der ikke er blevet identificeret, selv den dag i dag, der er uploadet på 2,7 millioner plader på Pastebin, hvor alle kan hente data, og sætte resten til salg på the dark web.
Men domstolen dokumenter afsløre detaljer om ClixSense er hack, der har ikke været offentliggjort før. Ifølge retsdokumenter, hackere løb amok inde i virksomhedens netværk, få adgang til dokumenter, e-mail-konti, og de legitimationsoplysninger, der er gemt på medarbejdernes bærbare computere; ændring af medarbejdernes passwords, omdirigering af e-mail-meddelelser til flere netværk og cloud-konti, og selv at ændre DNS-registreringer til at pege selskabets hjemmeside for en voksen-tema-hjemmeside.
På trods af selskabets åbenlyse sikkerhedsmæssige mangler og skader forbrugerne, FTC har ikke slå hårdt ned på den virksomhed, som ikke selv på det mest grundlæggende opgaver for at sikre sin infrastruktur.
Per forliget, ClixSense og selskabets administrerende DIREKTØR, James Grago, må ikke fremsætte urigtige påstande om sikkerhed og privatlivets fred af deres service, og skal indhente uafhængig toårige sårbarhedsvurderinger.
i-Dressup.com hack
FTC også underskrevet en lignende, men bare en tad lidt hårdere løsning, med et andet selskab, jeg-Kjole, der løb en nu hedengangne eponyme hjemmeside for børn.
Dette selskab lavede præcis samme fejl, som ClixSense gjort –lagring af personlige oplysninger i klar tekst uden kryptering– og har lidt samme skæbne, to uger efter ClixSense.
En hacker overtrådt jeg-Dressup ‘ s hjemmeside ved hjælp af en SQL-injection fejl, downloadet alle virksomhedens database, som han senere uploadet online.
I alt 2,1 millioner bruger optegnelser blev lagt online, 245,000, som hørte til børn under 13 år, på den tid af hack.
Og for at gøre ondt værre, hack også afsløret, at jeg-Dressup var ikke efter OS, Children ‘ s Online Privacy Protection Act, og havde indsamling af data om børn, uden tilladelse fra forældre.
Selskabet indgik den samme ikke-skade-gjort aftale med FTC, som ClixSense, men også indvilget i at betale en ekstra $35.000 i civile sanktioner for COPPA krænkelser.
Mere data, brud dækning:
Indisk govt agentur venstre nærmere oplysninger om millioner af gravide kvinder udsat onlineMailgun hacket en del af det massive angreb på WordPress sitesMicrosoft afslører brud på sikkerheden, som påvirkede nogle af Outlook accountsBodybuilding.com afslører brud på sikkerheden
Facebook indrømmer, at lagring af alm passwords for millioner af Instagram usersSource kode Iranske cyber-spionage værktøjer lækket på TelegramFacebook adgangskoder af de hundreder af millioner sad udsat i almindelig tekst CNET
Facebook data privacy skandale: Et cheat sheet TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre