ABD Atlantik Devletleri Deniz Balıkçılığı Komisyonu (ASMFC) bir veri ihlali olduğunu kabul etti ve bundan etkilenen müşterileri bilgilendirmeye başladı.
ASMFC veri ihlalinin 6 Nisan 2024’te gerçekleştiği bildirildi. Komisyon, kuruluşun elektronik sistemlerini etkileyen “bir siber güvenlik olayının kurbanı” olduğunu belirtti. Veri ihlali bildirimi, ASMFC tarafından 28 Haziran’da hukuk müşavirleri aracılığıyla Maine Başsavcılığı Ofisi ile paylaşıldı.
ASMFC, bildiriminde 3.823 Maine sakini de dahil olmak üzere yaklaşık 9.895 kişinin veri ihlalinden etkilenebileceğini paylaştı. Bilgisayar korsanlarının, komisyonun mali kayıtlarıyla birlikte hassas Kişisel Tanımlayıcı Bilgiler (PII) içeren bir şirket veritabanını çaldığı iddia edildi. Veri ihlalinin nedeni “harici sistem ihlali (hackleme)” olarak bildirildi.
ASMFC Veri İhlalini Anlamak
ASMFC, Atlantik kıyısı boyunca balıkçılığın denetlenmesinde önemli bir rol oynar. 80 yıl önce kurulan balıkçılık örgütü, sitesinde misyonunun “Atlantik kıyısının deniz, kabuklu ve anadrom balıkçılığının daha iyi kullanılmasını, bu tür balıkçılığın teşviki ve korunması için ortak bir program geliştirerek ve balıkçılığın herhangi bir nedenden dolayı fiziksel israfını önleyerek teşvik etmek” olduğunu belirtmektedir.
8Base fidye yazılımı grubu, sızıntı sitesinde kuruluşu kurban olarak ilan etti ve birkaç kritik veriyi çaldığını söyledi. 8Base fidye yazılımı grubu, 15 Nisan’da resmi sızıntı sitesinde kişisel veriler, faturalar, makbuzlar, muhasebe belgeleri ve sertifikalar gibi bilgileri elde ettiğini iddia etti. Grup, kuruluşa fidyeyi ödemesi için dört günlük bir süre verdi ve fidye 19 Nisan’a kadar ödenmezse verileri yayınlayacakları konusunda uyardı.
Komisyona göre, “6 Nisan 2024’te ASMFC, kuruluşumuzun elektronik sistemlerini etkileyen bir siber güvenlik olayının kurbanı olduğunu öğrendi. ASMFC derhal kolluk kuvvetlerine haber verdi. Üçüncü taraf uzmanlardan yardım alarak sistemlerimizi güvence altına almak, operasyonları geri yüklemek ve Olayın niteliğini ve kapsamını araştırmak için derhal adımlar attık. Soruşturmamıza göre, Olayın 14 Mart 2024 civarında başladığı ve 6 Nisan 2024’te sona erdiği anlaşılıyor.”
ASMFC, hassas PII’lerin veri sızıntısının bir parçası olabileceği sonucuna vardı:
“Kapsamlı adli soruşturmamızın bir parçası olarak, kişisel olarak tanımlanabilir herhangi bir bilginin etkilenmiş olup olmadığını belirlemek için titizlikle çalıştık. Aşağıdaki bilgilerin bir kısmının veya tamamının Olay sırasında yetkisiz erişime ve edinime maruz kalmış olabileceği sonucuna vardık: ad, posta adresi, e-posta adresi, telefon numarası, Sosyal Güvenlik numarası, banka hesabı ve yönlendirme numarası, kimlik kartlarının kopyaları (ehliyet, Sosyal Güvenlik kartları, doğum belgesi ve/veya pasaport),” kuruluş bildiriminde gönderiyor.
İhlal, rutin güvenlik izlemesi sırasında keşfedildi, ancak bilgisayar korsanlarının kullandığı belirli yöntemler hala belirsizliğini koruyor. Buna karşılık, ASMFC kişisel bilgileri güvence altına almak için adımlar attı ve etkilenenlere kimlik hırsızlığı koruma hizmetleri sundu.
“Ek bir önlem olarak, IDX, A ZeroFox Company aracılığıyla ücretsiz kimlik hırsızlığı koruma hizmetlerine kaydolma şansı da sunuyoruz. IDX kimlik koruma hizmetleri, 24 ay Kredi ve CyberScan izleme, 1.000.000 $’lık sigorta geri ödeme politikası ve tamamen yönetilen kimlik hırsızlığı kurtarma hizmetlerini içerir,” komisyon tüm paydaşlarıyla paylaştı.
ASMFC mektubunda, “Lütfen şu anda bilgilerinizin kötüye kullanıldığına dair bir kanıtımız olmadığını unutmayın. Ancak, sunulan bu hizmetten tam olarak yararlanmanızı öneririz” ifadesini kullandı.