Veri ihlali bildirimi, veri güvenliği, sahtekarlık yönetimi ve siber suç
Landmark yönetici uzlaşması bir düzineden fazla sigorta ve yıllık gelir taşıyıcısını etkiler
Marianne Kolbasuk McGee (Healthinfosec) •
16 Nisan 2025
Hayat sigortası ve yıllık gelir şirketlerine arka ofis idari hizmetleri sunan üçüncü taraf bir satıcı olan Landmark Admin, 1.6 milyon kişinin ve bir düzineden fazla müşterinin arka arkaya 2024 veri açığa çıkma olayından etkilenebileceğini söyledi. Hacks, çok çeşitli kişisel, finansal ve sağlık bilgilerini tehlikeye attı.
Ayrıca bakınız: Vmware karbon siyah uygulama kontrolü
Teksas merkezli firma, son ihlal raporunda olayın, tehdit aktörleri tarafından Mayıs 2024’te sistemlerine ilk yetkisiz erişimle başladığını söyledi.
Ardından, birkaç hafta sonra, bilgisayar korsanları “Landmark ortamında üçüncü taraf bir yedek cihazda bir arka kapıdan” geri döndü. Landmark ortamının kendisi “siber tehditlere karşı sertleştirilmiş Linux tabanlı bir mimari ile tasarlanmıştır.”
Her iki olay da veri açığa çıkmasına neden oldu.
Hack Detayları
Landmark başlangıçta 13 Mayıs 2024’te ağında şüpheli etkinlik tespit etti – ve daha sonra 15 Mayıs 2024’te şirket verilerin ortaya çıktığını keşfetti.
Şirket, 16 Mayıs’ta Landmark’ın ortadan kaldırılan tüm verileri kurtardığını söyledi. Firma, püskürtülmüş verilerini nasıl “kurtardığını” ve bir saldırgana fidye ödeyip ödemediğini göstermez.
Landmark, “22 Mayıs 2024’te veya yaklaşık olarak, üçüncü taraf siber güvenlik firması, temel neden ve Landmark sistemine ilk yetkisiz erişimin 13 Mayıs 2024’te VPN aracılığıyla mevcut artefaktlara ve canlı adli teniklere dayanan geçerli kimlik bilgileri kullanarak gerçekleştiğini belirledi.” Dedi.
Adli soruşturmanın kimlik bilgilerinin nasıl tehlikeye atıldığını belirleyemediğini söyledi. İhlal bildirimi, yanıtın olayın doğasını ve kapsamını belirlemek için iyileştirme, iyileşme, canlı adli tıp ve kapsamlı bir adli soruşturma içerdiğini söyledi.
Landmark, “Üçüncü taraf siber güvenlik firması, kök neden ve saldırı vektörünün hafifletildiği ve Landmark hesap yollarını değiştirdikten sonra artık var olmadığı ve Landmark’ın çevresi güvenli ve güvenli ve kötü niyetli faaliyetlerden arınmıştı.” Dedi.
“Buna göre, Landmark ağını ve uzaktan erişimini tam olarak eski haline getirdi.”
Ancak, 17 Haziran 2024’te Landmark, tehdit oyuncusunun çevresine tekrar girdiğini ve verileri söndürdüğünü keşfetti.
Landmark, “Soruşturma verilerin ortaya çıktığını bulsa da, tehdit oyuncusu Landmark’ın sistemlerine tekrar girdikten sonra hangi belirli dosyaların veya klasörlerin ortadan kaldırıldığını belirleyemedi.” Dedi.
Şirket, “önemli miktarda” dönüm noktası verilerinin kişisel olarak tanımlanabilir hiçbir bilgi içermediğini, bu nedenle “püskürtülmüş verilerin kişisel olarak tanımlanabilir herhangi bir bilgi içermemesi mümkündür. Landmark’ın pesfiltrasyonlu verilerin herhangi birinin aslında kişisel olarak tanımlanabilir bilgiler içerdiğine dair bir kanıt yoktur.”
Yükselen kurban taksitli
Olayda potansiyel olarak tehlikeye atılan veriler, bireyler arasında değişen kişisel, finansal, tıbbi ve diğer bilgilerin bir karışımını içerir.
Bu isim içerir; adres; Sosyal Güvenlik Numarası; doğum tarihi; Vergi Kimlik Numarası; ehliyet numarası ve devlet tarafından verilen kimlik kartlarının görüntüleri; pasaport numarası; finansal hesap numarası; banka hesabı ve yönlendirme numarası.
Ayrıca bireylerin tıbbi bilgileri de potansiyel olarak tehlikeye atılmıştı; Sağlık Sigortası Politika Numarası; yaşam ve yıllık gelir politikası bilgileri; Hayat Sigortası Politikası Başvurusu; ve sigorta avantajı ödeme tutarı ve alacaklı.
Landmark ilk olarak Hack’i Haziran 2024’te Maine Başsavcısı da dahil olmak üzere devlet düzenleyicilerine bildirdi, ancak o zamandan beri daha sonra etkilenen birey sayısıyla birden fazla güncellenmiş rapor sundu.
Şirketin en son raporu, 11 Nisan’da Maine Başsavcısı’na başvurdu. Bireysel ihlal mağdur sayısının Ekim 2024’te bildirilen 806.519’dan, şirketin önceki son dosyalaması olan 806.519’dan yaklaşık 1.6 milyona iki katına çıktığını belirtti.
Landmark’ın üçüncü taraf yönetimi olarak hareket ettiği olaydan etkilenen sigorta taşıyıcıları şunları içerir: Pan-Amerikan Hayat Sigortası A.Ş., Truspire Emekli Sigorta A.Ş., Brentwood Tennessee’nin Continental Life Insurance Co., Accendo Insurance Co., Tier One Insurance Co.
Ayrıca Liberty Bankers Insurance Group ve American Monumental Life Insurance Co., Pelerin Hayat Sigortası A.Ş., American Fayda Life Insurance Co., Liberty Bankers Life Insurance Co., Continental Mutual Insurance Co. ve Capital Life Insurance Co.
Güvenlik Geliştirmeleri
İhlal bildiriminde, şirketin gelecekteki benzer olayları önlemeye yardımcı olmak için saldırıdan bu yana veri güvenliğini desteklemek için attığı ayrıntılı adımlar.
“Özellikle, Landmark satın alınan sunucular ve sunucu sertleşmesinden sonra, en son ürün yazılımı ile yeni bir güvenlik duvarı kullandı, yeni bir İnternet servis sağlayıcısı tarafından atanan yeni harici IP adresi aldı.”
Şirket ayrıca yeni etki alanı denetleyicilerini yeni hesap adlandırma kuralları ve zorla yeni şifreler, tüm sabit sürücüler üzerinde etkinleştirilen, ağdaki tüm yazıcıları yeniden taklit ettiğini, tüm ağ anahtarlarını yeniden taklit ettiğini ve en son firmware’e güncellendiğini ve en son firmware ile tüm IoT cihazlarını yeniden tasarladığını ve güncellediğini söyledi.
Landmark ayrıca tüm personele ek güvenlik eğitimi sağladığını, sistemlerine tüm erişim noktalarını kısıtladığını, ek izleme ve koruma yazılımı için yönetilen bir servis sağlayıcısına girdiğini söyledi. Landmark ayrıca “hem kullanıcı hem de yönetici girişleri için” tüm cihazlar için çok faktörlü kimlik doğrulama gerektirir.
Landmark olayı kolluk kuvvetlerine bildirdi, ancak bireylere ihlal bildiriminin “herhangi bir kolluk soruşturması nedeniyle ertelenmediğini” de sözlerine ekledi.
17 Haziran saldırısından sonra, “Landmark, operasyonları için etkilenen sisteme erişimi asla eski haline getirmedi ve bunun yerine, önceki sistemden tamamen bağlantısı kesilmiş yeni bir sistem oluşturdu. Üçüncü taraf siber güvenlik firması gözetim kurdu ve dönüm noktası BT satıcısı, yeni sistemde kötü niyetli bir faaliyet olmamasını sağlamak için yeni sistemde izledi.”
Devlet düzenleyicilerine yapılan ihlal raporlarında Landmark’ı temsil eden bir avukat, bilgi güvenliği medya grubunun arka arkaya olaylarla ilgili ek ayrıntılar talebine hemen yanıt vermedi, Landmark’ın saldırganlarına fidye ödeyip ödemediği de dahil.
Landmark, Hacking bölümünü içeren bir Teksas federal mahkemesinde konsolide önerilen sınıf eylem davalarıyla karşı karşıya.
Yaklaşık bir düzine federal dava içeren konsolide dava, şirketin mülkiyeti, velayetinde ve kontrolündeki kişisel olarak tanımlanabilir bilgileri koruma ihmali de dahil olmak üzere, dönüm noktasına göre bir başarısızlık listesi olduğunu iddia ediyor.
Dava, finansal hasarlar ve dönüm noktası için veri güvenliği uygulamalarını “gelecekteki ihlallere karşı makul bir şekilde korumak için” iyileştirmek için bir ihtiyati tedbir almayı istiyor.