De Amerikaanse toezichthouder FTC heeft een schikking met een Amerikaanse it-dienstverlener getroffen en goedgekeurd die de gegevens van 1 miljoen mensen lekte. InfoTrax is een it-dienstverlener uit Utah die software en hostingoplossingen aanbiedt.

Een aanvaller wist van mei 2014 tot en met maart 2016 via een beveiligingslek twintig keer toegang tot de server van InfoTrax te krijgen, alsmede de websites die het bedrijf voor klanten beheerde. In maart 2016 benaderde de aanvaller de gevoelige persoonlijke gegevens van een miljoen mensen. Het ging om klanten van bedrijven die InfoTrax voor hun dienstverlening gebruikten. De aanvaller kreeg toegang tot namen, adresgegevens, e-mailadressen, telefoonnummers, social security nummers, gebruikersnamen en wachtwoorden.

Het bedrijf had de inbraken van de aanvaller twee jaar lang niet door, totdat het een melding over een volgelopen server ontving. De aanvaller had een archiefbestand met gestolen data aangemaakt wat de melding veroorzaakte Volgens de FTC heeft het bedrijf verzaakt om de persoonlijke informatie van klanten en hun klanten te beschermen. Verder bleek dat InfoTrax social security nummers, creditcardgegevens, rekeninginformatie en gebruikersnamen en wachtwoorden onversleuteld op het eigen netwerk bewaarde.

De FTC en InfoTrax kwamen afgelopen november een schikking overeen, die nu door de toezichthouder is goedgekeurd. Het bedrijf mag geen persoonlijke informatie meer opslaan, verkopen en delen tenzij alle gevonden beveiligingsproblemen zijn opgelost. Tevens moet het bedrijf elke twee jaar het beveiligingsbeleid door een externe partij laten controleren. Verdere sancties zoals bijvoorbeeld een geldboete zijn niet opgelegd.