Dalış Özeti:
- Bankanın dış hukuk danışmanının Maine Başsavcılığı’na sunduğu bir ihlal bildirim mektubuna göre, Infosys McCamish Systems’te Kasım 2023’te gerçekleşen bir “siber güvenlik olayı” Bank of America müşteri verilerini açığa çıkardı.
- Müşterilerin adı ve soyadı, adresleri, iş e-posta adresleri, doğum tarihleri ve Sosyal Güvenlik numaraları ele geçirilen bilgiler arasında olabilir. Bank of America, “hangi kişisel bilgilere erişildiğini kesin olarak belirlememizin pek mümkün olmadığını” söyledi.
- Bank of America mektubunda, bir tehdit grubunun 3 Kasım civarında IMS sistemlerini tehlikeye atarak bazı IMS uygulamalarını çevrimdışına aldığını belirtti. Bank of America olaydan 57.028 müşterinin etkilendiğini söyledi.
Dalış Bilgisi:
IMS, Bank of America’yı veri ihlali konusunda 24 Kasım’da bilgilendirdi. Bir Bank of America sözcüsü Banking Dive’a şunları söyledi: “[y]iletişime geçmelisiniz Infosys McCamish. Yorum yapmayı reddediyoruz.”
IMS, ertelenmiş ücret planları için hizmet sağlar. Şirket, güvenlik olayının ardından kurtarma planını araştırmak ve yardımcı olmak için üçüncü taraf bir adli tıp firmasını görevlendirdi. Bildirimde, firmanın “IMS ortamında tehdit aktörlerinin sürekli erişimine, araçlarına veya kalıcılığına ilişkin herhangi bir kanıt” bulamadığını belirtildi.
LockBit, IMS saldırısının sorumluluğunu üstlendi 4 Kasım’da 2.000’den fazla sistemin şifrelendiği söylendi.
Bank of America müşterileri, geçen yıl üçüncü taraf sağlayıcılardan birinin dahil olduğu başka bir olayda güvenlik ihlaline uğradı. Yetkisiz bir aktör, geçen Şubat ayında ulusal alacak hesapları yönetim şirketi NCB Management Services’in sistemlerine erişerek yaklaşık 500.000 Bank of America müşterisinin kredi kartı hesap bilgilerini açığa çıkardı.
Siber saldırılar uzun zamandır finansal kurumları etkilemiş ve bu durum Federal Mevduat Sigorta Şirketi, Döviz Denetleme Ofisi ve Federal Rezerv’in bankalardan olayları 36 saat içinde ana düzenleyicilerine bildirmelerini talep etmesine yol açmıştır. deteOlayın iş hayatını veya finans sektörünün istikrarını bozabileceğine inandı.
Federal Ticaret Komisyonu, bankacılık dışı finans kuruluşlarına, en az 500 tüketiciyi etkileyen bir ihlalin tespit edilmesinden sonra en geç 30 gün içinde veri ihlallerini ve diğer siber güvenlikle ilgili olayları bildirmeleri çağrısında bulundu.
Synopsys Software Integrity Group çalışanlarından Ray Kelly, Banking Dive’a e-posta yoluyla “Üçüncü taraf ihlalleri kuruluşların başına bela olmaya devam ediyor” dedi. “Kuruluşlar arasında güven zincirinin sağlanması basit bir iş olmasa da tüketicilerin özel bilgilerinin korunması açısından hayati önem taşıyor.”