Bu enteresan hack olayı, üst seviye pazarlama firmaları için sunucu hizmeti veren ve özel uygulamalar geliştiren Utah merkezli InfoTrax Systems’da yaşandı. 2016 yılında şirket, bir hacker'ın yaklaşık bir milyon kullanıcının şahsî bilgilerini çaldığı bir güvenlik ihlali yaşadığını açıkladı. Federal Ticaret Komitesi (FTC), şirketin sunucularını teminat altına almadığı istikametindeki ipuçlarını takiben, InfoTrax hakkında bir soruşturma başlattı.
FTC’nin raporuna nazaran bilgisayar korsanı, şirketin internet sitesinin ve bitişik sunucu altyapısının uzaktan denetimini sağlayan makûs gayeli bir kod yüklemek için çok kritik bir güvenlik açığından yararlandı.
FTC'ye nazaran hacker, Mayıs 2014 ile Mart 2016 ortasında InfoTrax sunucularına neredeyse iki yıl boyunca erişim sağladı. InfoTrax ise yaşanan bu ihlalleri tespit edemedi. FTC, şirketin yetkisiz erişimi ve evrak değişikliklerini tespit etmek için uygun güvenlik sistemlerine sahip olmadığını açıkladı; lakin sunucularından birinin 7 Mart 2016 tarihinde yetersiz disk alanı uyarısı verdiği ortaya çıktı.
Soruşturmayı genişleten FTC, hacker'ın InfoTrax sunucularından bilgi toplarken, diskin boş alanını dolduracak kadar büyük bir data arşiv dosyası oluşturduğunu belirledi. Kelam konusu bilgi belgesi, iki yıl boyunca topladığı 11.8 milyon kullanıcının şahsî bilgilerini içeriyordu. Çalınan bilgiler ortasında Toplumsal Güvenlik numaraları, kredi kartı ve banka hesap bilgileri ile kullanıcı isimleri ve şifreler üzere pek çok hassas bilgi bulunuyor.
Veri ihlaline InfoTrax'ın müşteri bilgilerini açık metin olarak kaydetmesinin yardımcı olduğuna karar veren FTC, Utah merkezli şirketin güvenlik ihlaline yol açan zafiyetlerini gidermesini öngören bir muahedeye vardığını duyurdu.
