American Express, müşterilerine bir mektup yazarak, çeşitli satıcılara üçüncü şahısların sistemlerine izinsiz erişim sağladığını bildirdikten sonra hesap bilgilerinin ihlal edilmiş olabileceği konusunda onları uyardı.
Ayrıntılar, ABD'nin Massachusetts eyaletindeki düzenleyicilere gönderilen bir mektubun ardından ortaya çıktı. Kredi kartı devi, müşterilerine kendi sistemlerine erişilmediğini ve mektubun tedbir amaçlı olduğunu söyledi.
Başkan yardımcısı Anneke Covell müşterilere yazdığı bir mektupta şunları söyledi: “Çok sayıda tüccarın hizmet verdiği üçüncü taraf bir hizmet sağlayıcının, sistemine yetkisiz erişim yaşadığını öğrendik.
Covell, “American Express'in sahip olduğu veya kontrol ettiği sistemlerin bu olay nedeniyle tehlikeye girmediğini belirtmek önemlidir ve bu bildirimi size ihtiyati tedbir olarak sunuyoruz” diye ekledi.
American Express, müşterilerine kart hesap numaralarının, adlarının ve son kullanma tarihleri de dahil olmak üzere diğer bilgilerin ele geçirilmiş olabileceğini söyledi.
Şirket, hesapları dolandırıcılığa karşı izlediğini ve etkilenen müşterilere “dolandırıcılık suçlamalarından” sorumlu olmayacaklarını söyledi. Potansiyel olarak etkilenen müşteri sayısı hakkında ayrıntılı bilgi verilmedi. Müşterileri, potansiyel dolandırıcılık faaliyetlerine karşı hesaplarını incelemeleri konusunda uyardı.
Birleşik Krallık finansal hizmetler sektöründen isminin gizli kalmasını isteyen bir BT güvenlik uzmanı, Computer Weekly'ye üçüncü şahıslar aracılığıyla yapılan ihlallerin “birbirine bağlı bir sektörün tehlikelerinden” biri olduğunu söyledi.
“Bu, finansal hizmetler sektörünün her yerinde olan bir şey çünkü bu, birbiriyle bağlantılı bir sektör. Bu, birbirleri arasında para taşıyan bağlantılı şirketlerin oluşturduğu bir ekosistemdir ve veriler paylaşılır. Bu şirketlerin hiçbiri kendi başına çalışamaz; hepsinin çeşitli sistem sağlayıcıları var” dediler.
Uzman, bilgisayar korsanlarının bu ekosistemdeki en zayıf halkaları hedef aldığını da sözlerine ekledi: “Bir üçüncü taraf tedarikçinin kendi üçüncü taraf tedarikçileri olacak. Bir form hiyerarşisi vardır ve bilgisayar korsanları, 10 adım gerideki yönetim sistemi gibi zayıf halkaları ararlar.
“American Express gibi büyük markalardan uzaklaştıkça bilgisayar korsanları, birbirine bağlı üçüncü tarafların daha zayıf sistemlerini bulmaya çalışıyor. Küçük ve zararsız görünen bir şey olabilir ancak bilgisayar korsanları bu şekilde daha önemli sistemlere girebilir.”
Siber istihbarat platformu SecurityScorecard'ın son rakamları, üçüncü bir taraftan kaynaklanan kayıtlı tüm siber güvenlik ihlallerinin yaklaşık dörtte üçünün, kurbanın yazılım ve teknoloji tedarik zincirindeki diğer kuruluşların saldırıya uğramasından sonra meydana geldiğini ortaya çıkardı.
Veriler, üçüncü taraf ihlallerinin SecurityScorecard tarafından 2023'te kaydedilen tüm ihlallerin yaklaşık %29'unu oluşturduğunu gösteriyor; ancak saldırı vektörlerinin önemli ölçüde eksik raporlanması göz önüne alındığında, bu büyük olasılıkla gerçek sayının önemli ölçüde eksik beyanı.
SecurityScorecard tehdit araştırmaları ve istihbaratından sorumlu kıdemli başkan yardımcısı Ryan Sherstobitoff, “Tedarikçi ekosistemi, fidye yazılımı grupları için son derece arzu edilen bir hedeftir” dedi. “Üçüncü taraf ihlal mağdurları genellikle bir fidye yazılımı notu alana kadar olayın farkına varmazlar, bu da saldırganların tespit edilmeden yüzlerce şirkete sızmasına zaman tanır.”