Latitude Financial adlı Avustralyalı bir banka dışı borç veren kuruluş, bu ayın başlarında sistemlerinde meydana gelen bir siber saldırının ilk inanılandan daha kapsamlı olduğunu açıkladı.
16 Mart’ta firma, yaklaşık 330.000 kişinin kişisel bilgilerinin açığa çıktığını belirten ihlalin ilk açıklamasını yaptı. Ancak, Avustralya Menkul Kıymetler Borsası’na sağladığı bir güncellemede Latitude, şimdi 8 milyona kadar kişinin kişisel bilgilerinin alınmış olabileceğini kabul etti.
Bilgisayar korsanlarının müşterilere ait isimlere, konutlara, doğum tarihlerine, telefon numaralarına, pasaport numaralarına ve bazı durumlarda aylık mali tablolara eriştikleri düşünülüyor. İşletme, yinelenen kayıtların miktarına ilişkin analizini henüz tamamlamadı ve şu anda etkilenen gerçek tüketici sayısını hesaplıyor.
İhlalin tüketiciler üzerindeki etkisinin tam olarak belirlenmesi henüz mümkün olmamakla birlikte, ciddi boyutlara ulaşacağı öngörülmektedir.
Latitude, müşterilerine kaybolan veya çalınan kimlik belgelerini değiştirme maliyetinin tazmin edileceğine dair güvence vermiştir. Doğrulamayı yayınlayan Dışişleri ve Ticaret Bakanlığı’na göre, veri hırsızlığı nedeniyle güvenliği ihlal edilen pasaportlar hala normal şekilde kullanılabilir.
ABC News tarafından yayınlanan bir makaleye göre, Latitude Financial 22 Mart’ta bazı müşterilerini e-posta yoluyla kendilerinden daha fazla kişisel bilginin çalındığına dair uyardı. İletişim, firma diğer müşterilerin bilgilerinin çalındığını keşfettikten sonra tüketicilere verildi.
E-postada şöyle yazıyordu:
Aşağıda listelenenler dahil ancak bunlarla sınırlı olmamak üzere, kişisel bilgilerinizin aşağıdaki özelliklerinin olayın bir sonucu olarak açığa çıkmış olabileceğini belirledik.
Bir fiyat teklifi talep ettiğinizde veya Latitude’a kredi başvurusunda bulunduğunuzda, kimliğinizi doğrulayabilmemiz ve talebinizi işleme koyabilmemiz için yukarıda belirtilen bilgileri sizden istedik.
Resminiz, adınız, adresiniz, doğum tarihiniz, ehliyet numaranız, kart numaranız ve son kullanma tarihiniz (varsa) dahil olmak üzere ehliyetinizin resimleri.
Başvuru sürecinde veya bir fiyat teklifi talep ettiğinizde sağladığınız ve bağlama bağlı olarak tam adınızı, adresinizi, doğum tarihinizi, e-posta adresinizi ve/veya telefon numaranızı içerebilecek kişisel bilgiler.
Latitude’daki kimlik doğrulama prosedürü, fotoğraf biçiminde sağlayabileceğiniz yüzünüzün bir resmini gerektirir.
Siber güvenlik uzmanları, Latitude’un ta 2005 yılına kadar uzanan geçmiş müşteri verilerini saklama uygulamasını onaylamadıklarını dile getirdiler. Bu tür verilerin saklanması kanunen zorunlu kılınmış olsa bile, bunun ilk etapta yapılmış olması “oldukça şaşırtıcı. Bu tür verileri uzun yıllar saklayarak, kullanıcılar dolandırıcılık ve kimliğe bürünme olasılıklarına açık bırakıldı.
Latitude İcra Kurulu Başkanı Ahmed Fahour, veri ihlali için “kayıtsız” bir özür diledi ve etkilenen tüketicilerle birlikte çalışarak onlara yönelik tehlikeyi ve yaşamlarına verilen rahatsızlığı azaltma sözü verdi.
Şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışan bilgi güvenliği uzmanı.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.