被駭超過20次卻不知不覺的InfoTrax與FTC和解

專門提供直銷後端操作解決方案的InfoTrax，在兩年內曾被駭客入侵超過20次卻不知不覺，因而在本周與美國聯邦交易委員會（Federal Trade Commission，FTC）達成和解，承諾將採取必要的安全措施，同時接受第三方的評估，若再犯則每次最高可被判罰4.2萬美元。

FTC指控位於美國猶他州的InfoTrax不但沒有定期清點或刪除不必要的客戶資訊，也未審核該公司軟體或網站的安全性，亦沒能偵測到駭客上傳的惡意檔案或是企業網路上的不尋常活動，此外，InfoTrax還以明文儲存客戶資訊，包括社會安全碼、支付卡資訊、銀行帳號資訊，以及使用者名稱與密碼。

這使得InfoTrax在2014年5月到2016年3月間，被駭客入侵超過20次而不知不覺，估計駭客總計存取了該公司超過100萬客戶的個人資料。

至於駭客的行動之所以曝光，是因為InfoTraxs在2017年3月時收到一台伺服器的通知，指稱該伺服器即將達到容量的限制，結果是因為駭客在該伺服器上建立了一個資料封存檔案，由於資料量太大，讓伺服器硬碟即將不堪負荷，才使得InfoTraxs認知到已被駭客入侵。

FTC消費者保護局主任Andrew Smith表示，像是InfoTrax這類的服務供應商並不會因為所服務的對象是其它企業而非一般消費者，就能免疫於FTC的調查，每家企業都有責任保護客戶的個人資訊，特別是諸如社交安全碼等機密資訊。

總之，現在InfoTrax同意部署適當的資訊安全機制，也將解決FTC所提出的各種安全問題，同時每兩年就必須接受第三方的評估，以確保客戶資訊的安全無虞。