Flagstar Bank, üçüncü taraf bir satıcıyı hedef alan bir veri ihlalinin kişisel müşteri bilgilerinin açığa çıkmasıyla sonuçlandığını müşterilere bildiriyor. Flagstar, işlem gerçekleştirme ve mobil bankacılık hizmetleri için söz konusu satıcı Fiserv’i kullanıyor. fark etme Cuma günü gönderilen mesajda, Fiserv’in manşetteki kitleden etkilenen birçok kuruluştan biri olduğu belirtiliyor MOVEit dosya aktarım hilesi.
Flagstar, 2022’de New York Community Bank tarafından satın alınmadan önce, Amerika Birleşik Devletleri’ndeki en büyük bankalardan biri olarak 31 milyar doların üzerinde varlığa sahipti. Banka şu anda 800.000’den fazla müşteriyle iletişime geçerek onları üçüncü taraf satıcı Fiserv’i etkileyen ihlal konusunda uyarıyor. Bu, Flagstar’ın 2021’den bu yana uğradığı üçüncü ihlal.
“Olay, satıcımız tarafından Flagstar ve ilgili kurumlara sağladığı hizmetleri desteklemek için kullanılan bir dosya aktarım yazılımı olan MOVEit Transfer’de keşfedilen güvenlik açıklarını içeriyordu.” tüketici bildirim mektubu.
Bildiriye göre Fiserv, 27-31 Mayıs tarihleri arasında MOVEit ihlalinin kurbanı oldust 2023 yılı, MFT güvenlik açığının kamuya açıklanmasından önceydi. Bu ihlalden etkilenen diğer binlerce kuruluş gibi, Fiserv’in sistemlerine de yetkisiz kişiler tarafından erişildi ve Flagstar Bank ve müşterileriyle ilgili dosyalar ele geçirildi.
“MOVEit Transfer güvenlik kusuru bilgisayar korsanlarına verilmeye devam eden bir hediyedir. Bu kez kötü adamların isimler, adresler, telefon numaraları, vergi kayıtları ve SSN’ler de dahil olmak üzere müşteri ve çalışan bilgilerini çalmayı başardıkları görülüyor.” Pixel Privacy’nin Tüketici Gizliliği Şampiyonu Chris Hauk şöyle diyor: “Bu bankanın müşterileri (MOVEit Transfer saldırılarına maruz kalan kuruluşların müşterileri ile birlikte) tüm hesaplarını yakından takip etmek, kaçınılmaz olan ücretsiz kredi izleme olanağından yararlanmak isteyecek ve olası kimlik avı girişimlerine karşı tetikte olmak isteyecektir.”
James McQuigganGüvenlik Farkındalığı Avukatı at KnowBe4şunu ekliyor: “MOVE-IT veri ihlaline ilişkin bu anlatı, üçüncü taraf sağlayıcıların güvenlik açıklarının artçı şokları kuruluşların peşini bırakmamaya devam ederken yönetim kurullarında tekrarlanıyor. Bu olay, kuruluşlar içinde gelişmiş bir siber güvenlik çerçevesinin oluşturulmasının ve üçüncü taraf düzenlemelerinin daha geniş ağlarına genişletilmesinin gerekliliğini vurgulamaktadır.”
“Katı durum tespiti, güçlü siber güvenlik politikaları ve üçüncü taraf satıcıların gerçek zamanlı izlenmesi artık iyi bir fikir değil, bu siber ihlal riskini azaltmak için gerekli programlardır. Bu saldırı, bir kuruluşun güvenliğinin ancak üçüncü veya dördüncü tarafın en zayıf güvenlik programı kadar güçlü olduğunu gösteriyor.”
Birinci Flagstar’ı hedef alan ihlal de dosya aktarımının hacklenmesinin bir sonucuydu. Bu, Mart 2021’de Clop fidye yazılımı çetesinin bankadan SSN’ler, vergi kayıtları, adresler ve daha fazlası gibi kişisel bilgileri çalmayı başardığı zamandı.
ikinci Üç ihlalden biri Haziran 2022’de gerçekleşti ve 1,5 milyondan fazla Amerikalı müşteriyi etkiledi.
Neyse ki Flagstar ve Fiserv bu üçüncü ihlali ciddiye alıyor gibi görünüyor. Cevap olarak hemen soruşturma başlatıldı. Flagstar’ın bildiriminde şu ifadelere yer verildi: “Bunun gibi bir şeyin tekrar yaşanmasını önlemek için satıcımız, hizmet sağlayıcısı aracılığıyla tüm teknik güvenlik açıklarını düzeltti ve MOVEit yazılım sağlayıcısının yönergelerine uygun olarak sistemlere yama uyguladı.”
Ayrıca Flagstar bankası, bu ihlalden etkilenen müşterilerin Kroll aracılığıyla iki yıllık ücretsiz kimlik izleme hizmeti almalarını sağladı.
“Sektörlerdeki finansal kurum ve kuruluşlar, kritik hizmetler için genellikle üçüncü taraf sağlayıcılara güveniyor ancak bu bağımlılık, doğası gereği riskleri de beraberinde getiriyor. Kuruluşların tedarikçilerinin güvenlik duruşunu değerlendirmesi, durum tespiti yapması ve veri korumasına ilişkin sıkı sözleşme yükümlülükleri oluşturması hayati önem taşıyor.” Veri güvenliği uzmanlarıyla birlikte siber güvenlik uzmanı Erfan Shadabi, AG’yi rahatlatıyor, diyor.
“Aynı zamanda finansal kurumların da veri merkezli güvenliğe yatırım yapması gerekiyor. Veri merkezli güvenlik, yalnızca çevreyi veya erişim noktalarını değil, verinin kendisini korumaya odaklanan proaktif bir yaklaşımdır. Verilerin değerli bir varlık olduğunun bilincindedir ve ister kuruluşun ağı içinde ister üçüncü taraflarla paylaşıldığında olsun, nerede bulunursa bulunsun onu korumayı amaçlar. Böyle bir yaklaşım, üçüncü taraf bir satıcının güvenlik ihlali yaşaması durumunda bile çalınan verilerin kötü niyetli aktörler için anlaşılmaz ve kullanışsız kalmasını sağlar.”
Nihayet, Paul Bischoff, Compareitech Tüketici Gizliliği Avukatı diyor, “Flagstar Bank müşterileri, şüpheli faaliyetlere karşı kredi raporlarını ve ayrıca tanıdık olmayan işlemlere karşı hesaplarını izlemelidir. Ücretsiz kredi izleme olanağından yararlanın ve kredi raporunuza bir dolandırıcılık uyarısı ekleyin. Sosyal Güvenlik numaralarının ihlali, etkilenen tüm müşterileri kimlik hırsızlığı riskine sokar. Vergi beyanında bulunma zamanı geldiğinde, birisinin sizin adınıza vergi sahtekarlığı yapmasını önlemek için bunu mümkün olduğu kadar erken yaptığınızdan emin olun. Korkarım MOVEit ile ilgili bunun gibi son ihlalleri görmedik.”