被骇超过20次却不知不觉的InfoTrax与FTC和解

专门提供直销后端操作解决方案的InfoTrax，在两年内曾被骇客入侵超过20次却不知不觉，因而在本周与美国联邦交易委员会（Federal Trade Commission，FTC）达成和解，承诺将采取必要的安全措施，同时接受第三方的评估，若再犯则每次最高可被判罚4.2万美元。

FTC指控位于美国犹他州的InfoTrax不但没有定期清点或删除不必要的客户资讯，也未审核该公司软件或网站的安全性，亦没能侦测到骇客上传的恶意档案或是企业网络上的不寻常活动，此外，InfoTrax还以明文储存客户资讯，包括社会安全码、支付卡资讯、银行账号资讯，以及使用者名称与密码。

这使得InfoTrax在2014年5月到2016年3月间，被骇客入侵超过20次而不知不觉，估计骇客总计存取了该公司超过100万客户的个人资料。

至于骇客的行动之所以曝光，是因为InfoTraxs在2017年3月时收到一台服务器的通知，指称该服务器即将达到容量的限制，结果是因为骇客在该服务器上建立了一个资料封存档案，由于资料量太大，让服务器硬盘即将不堪负荷，才使得InfoTraxs认知到已被骇客入侵。

FTC消费者保护局主任Andrew Smith表示，像是InfoTrax这类的服务供应商并不会因为所服务的对象是其它企业而非一般消费者，就能免疫于FTC的调查，每家企业都有责任保护客户的个人资讯，特别是诸如社交安全码等机密资讯。

总之，现在InfoTrax同意部署适当的资讯安全机制，也将解决FTC所提出的各种安全问题，同时每两年就必须接受第三方的评估，以确保客户资讯的安全无虞。