该公司在黑客耗尽服务器存储空间后才发现了长达数年的漏洞

还有什么比被黑客攻击更糟糕的呢？

正是“未能检测到入侵”总是给组织造成巨大损失。

犹他州科技公司InfoTrax系统这是此类安全失误的最新例子，从2014年5月到2016年3月，该公司被破解了20多次。

具有讽刺意味的是，该公司在收到警报后才发现了漏洞，即由于黑客创建的数据存档文件，其服务器已达到最大存储容量。

InfoTrax Systems是一家总部位于犹他州的美国公司，为多层次营销人员提供后端操作系统，其中还包括大量关于用户薪酬、库存、订单和会计的敏感数据。

据报道，该漏洞发生在2014年5月，当时黑客利用InfoTrax服务器及其客户网站中的漏洞对其服务器进行远程控制，使他能够访问100万消费者的敏感个人信息。

当时，美国联邦贸易委员会（FTC）起诉该公司未能保护该公司代表其客户保存的个人信息。

根据联邦贸易委员会的投诉，黑客在接下来的21个月里远程访问了该系统17次，没有被发现，然后在2016年3月2日开始提取消费者的个人信息。

被盗信息包括客户全名、社会安全号码、实际地址、电子邮件地址、电话号码、用户名以及InfoTrax服务上4100个分销商和管理员帐户的密码。
更糟的是什么？泄露的数据还包括一些客户的支付卡信息（全部或部分信用卡和借记卡号码、CVV和到期日期），以及银行账户信息，包括账户和路由号码。

该公司于2016年3月7日发现了漏洞，当时该公司开始收到警报，称其一台服务器已达到最大容量，这是由于黑客在其客户身上创建了一个海量数据存档文件。

令人惊讶的是，即使在InfoTrax Systems意识到入侵后，入侵者仍成功入侵了该公司至少两次。
2016年3月14日，黑客获取了超过2300个独特的完整支付卡号—；包括姓名、实际地址、CVV和有效期—；以及分销商在结账过程中新提交的其他账单数据。

2016年3月29日，黑客再次使用一个有效的InfoTrax分销商帐户的用户ID和密码上传更多恶意代码，以再次从该客户的网站收集新提交的支付卡数据。

据FTC称，InfoTrax系统未能“清点和删除不再需要的个人信息，对其软件进行代码审查并测试其网络，检测恶意文件上传，充分划分其网络，并实施网络安全防护措施以检测其网络上的异常活动。”

周二，联邦贸易委员会发布了一份新闻稿，宣布了一项拟议的解决方案，要求InfoTrax Systems实施一项全面的数据安全治理计划，以纠正投诉中发现的故障。

除此之外，拟议的解决方案还要求InfoTrax Systems每两年获得一次对其信息安全计划的第三方评估。