Bank of America, müşterilerini, bir fidye yazılımı saldırısı nedeniyle hassas verilerinin sızdırılması konusunda uyardı. çevreyi ihlal etti geçen sonbaharda teknoloji ortağı Infosys McCamish Systems’de (IMS) yer aldı. Bu, üçüncü taraf sistemlerdeki verilere ve ortamlara erişimi güvence altına almanın önemini bir kez daha vurgulayan bir olaydır.
Bir rapora göre, “yetkisiz bir üçüncü tarafın IMS sistemlerine erişmesi ve belirli IMS uygulamalarının kullanılamamasıyla sonuçlanması” sonucunda meydana gelen ihlalden en az 57.028 müşteri etkilendi. veri ihlali açıklama formu Maine’de IMS tarafından dosyalanmış ve ayrı mektup (PDF) Bank of America adına etkilenen müşterilere gönderildi. Finans kurumu dünya çapında 35’ten fazla ülkede yaklaşık 69 milyon müşteriye hizmet veriyor.
Form ve mektup, ihlalin gerçekleştiği zamana ilişkin farklı zaman çizelgeleri sunar. Açıklama firması olayın 29 Ekim’de meydana geldiğini ve IMS’in bunu ertesi gün keşfettiğini iddia ediyor. Mektupta olayın “3 Kasım’da veya civarında” meydana geldiği belirtiliyor.
Ancak saldırı, sigorta süreç yönetimi çözümleri ve hizmetleri sunan IMS’in teknoloji ortamındaki bazı tanımlanmamış sistemlerin kullanılamaz hale gelmesine neden oldu. Saldırı ayrıca, şirketin hizmet sağladığı Bank of America ertelenmiş tazminat planlarından alınan, kişilerin adlarının veya diğer kişisel tanımlayıcıların Sosyal Güvenlik numaralarıyla birleşimi dahil olmak üzere hassas verileri de açığa çıkardı.
Ancak IMS, “bu olay sonucunda hangi kişisel bilgilere erişildiğini kesin olarak belirlememizin pek olası olmadığını” ancak bu bilgilerin yalnızca kişilerin adlarını ve SSN’lerini değil aynı zamanda adreslerini, iş yerlerini de “içermiş olabileceğini” belirtti. e-posta adresleri, doğum tarihleri ve diğer hesap bilgileri.
LockBit Sorumluluk Alır
Birkaç gün sonra 4 Kasım’da LockBit fidye yazılımı çetesi Bir saldırıda tehdit aktörü tarafından şifrelenen 2.000’den fazla IMS sistemine ait olduğu iddia edilen çalıntı verilerin Dark Web sitesinde satışına yönelik bir reklam yayınladı. ekran görüntüsü @DarkWebInformer tarafından X’te (eski adıyla Twitter) gönderildi ve işaretlendi yayınlanmış bir rapor. Gönderide şirketin sızdırılan verileri yayınlamadan önce fidye ödemesi için son tarihin 9 Kasım olduğu belirtiliyordu. Şu anda bunun olup olmadığı ya da fidyenin ödenip ödenmediği belli değil.
IMS, 24 Kasım’da Bank of America’ya, bankanın sunduğu ertelenmiş tazminat planlarına ilişkin verilerin tehlikeye girmiş olabileceğini ancak Bank of America sistemlerinin bu ihlalden etkilenmediğini bildirdi.
IMS, müşterilere yazdığı mektupta, “kötü niyetli faaliyetleri kontrol altına almak ve düzeltmek, sistemleri yeniden inşa etmek ve müdahale yeteneklerini geliştirmek dahil” olaya yanıt olarak şirketin kurtarma planını araştırmak ve ona yardımcı olmak için üçüncü taraf bir adli tıp firmasını görevlendirdi.
IMS’e göre “Bugüne kadar IMS, IMS ortamında tehdit aktörlerinin erişiminin, araçlarının veya kalıcılığının devam ettiğine dair hiçbir kanıt bulamadı.”
Bank of America, ihlalde açığa çıkan herhangi bir verinin kötüye kullanıldığının farkında olmadığını söyledi. Buna rağmen banka, etkilenen müşterilere, verilerini korumalarına yardımcı olmak için Experian IdentityWorks tarafından sağlanan kimlik hırsızlığı koruma hizmetine iki yıllık ücretsiz üyelik sağlıyor.
13 Şubat’taki olayla ilgili yorum taleplerine ne IMS ne de Bank of America hemen yanıt verdi.
Üçüncü Taraf Siber Riskini Yönetmek
Bir şirketin verilerine o şirketin ortağı veya müşterisi aracılığıyla erişme kuruluşlar için artık çok yaygın hale geldive güvenlik uzmanları ve teknoloji sağlayıcıları, bu üçüncü taraf teşhirine yönelik çeşitli öneri ve çözümler sundular; risk yönetimi Ve risk değerlendirmesi stratejiler — bu tehditleri azaltmak için.
Ancak sorun devam ediyor ve Apona Security ürün başkanı Roger Neal, “tipik bir organizasyonun her türlü riske karşı tamamen koruma sağlayan dijital ortamının karmaşıklığının neredeyse imkansız olduğunu” gösteriyor., Dark Reading’e bir e-postada.
Kuruluşların yalnızca risk yönetimi veya değerlendirme çözümlerini dikkate almadığını, aynı zamanda yazılım malzeme listesi (SBOM) Tüm üçüncü taraf satıcılardan güvenlik açıklarını daha iyi değerlendirip yönetmelerini ve böylece bir saldırı gerçekleşmeden önce kontrolü ele almalarını sağlar.
Neal, “İhlalin ayrıntıları henüz tam olarak açıklanmamış olsa da, savunmasız bileşenlerin erken tespitinin bu olayı hafifletmiş veya önlemiş olması mümkündür” diye belirtiyor.
Bu tür ihlallere karşı korunmaya yönelik bir başka potansiyel stratejinin de “üçüncü taraf hizmetlerinin şirket içinde barındırılmasını gerektirmek, böylece hassas müşteri bilgilerine erişim üzerinde daha fazla kontrol sağlamak” olabileceğini ekliyor.