Dolandırıcılık Yönetimi ve Siber Suç , Genel Veri Koruma Yönetmeliği (GDPR), Olay ve İhlal Müdahalesi
Yerel Makam, Aksine Teminatlara Rağmen Hassas Verilerin Açıklandığını Buluyor
Mathew J. Schwartz (euroinfosec) •
24 Mayıs 2023
İngiliz dış kaynak devi Capita’daki ayrı siber güvenlik olaylarına bağlı veri ihlali bildirimleri, milyarlarca poundluk şirketin ne kadar veri açığa çıkardığı konusunda kesin bir kontrole sahip olmadığına dair artan işaretler arasında gelmeye devam ediyor.
Ayrıca bakınız: 2022 Unit 42 Fidye Yazılımı Tehdit Raporu
350 kadar emeklilik fonu ve çok sayıda yerel yönetim, Capita’nın müşterilerin veya konut sakinlerinin kişisel tanımlanabilir bilgilerinin kontrolünü kaybettiğini ve potansiyel olarak bu kişileri dolandırıcılara karşı daha yüksek risk altında bıraktığını bildiren kuruluşlar arasında yer alıyor.
Capita’nın ilk siber güvenlik olayı, 31 Mart’ta tespit ettiği bir bilgisayar korsanlığı saldırısıydı. Şirket, saldırıyı “öncelikle dahili uygulamalara erişimi etkileyen bir siber olay” olarak nitelendirdi ve hiçbir verinin çalınmış gibi görünmediğini bildirdi. Daha sonra bir fidye yazılımı grubu hak talebinde bulundu ve şirket, hassas verilerin çalındığını ve daha fazla ayrıntı sunmadan “müşteri, tedarikçi veya iş arkadaşı verilerini içerebileceğini” gecikmeli olarak doğruladı.
Şirket, bir bilgisayar korsanlığı olayının ciddiyetini ölçmek için etkilenen “sunucu mülkünün” uydurma bir ölçüsünü ortaya koyarak, saldırının ciddiyetini en aza indirmek amacıyla kurumsal çift konuşmaya başvurdu (bkz:: Temel Veri İhlaliyle İlgili Sorular Devam Ediyor Sevgili Kişim).
Capita, İngiltere hükümet sözleşmelerinde 8 milyar dolardan fazla tutar. Müşteriler arasında Ulusal Sağlık Hizmeti, İngiltere ordusu, Royal Bank of Scotland ve toplu olarak milyonlarca kişiye ait verileri işleyen telekomünikasyon devleri O2 ve Vodafone yer alıyor.
İkinci olay, yarım terabayttan fazla veri içeren güvenli olmayan bir Amazon Web Services klasörünü içeriyordu. İngiliz güvenlik araştırmacısı Kevin Beaumont, 24 Nisan’da AWS verilerinin açığa çıkmasını bulduğunu ve Capita’ya bildirdiğini söyledi. Kova internete açıktı ve 2016’dan beri bir parolayla korumasızdı, dedi ve 3.000 dosyaya yayılmış 655 gigabayt veriyi riske attı .
Capita, TechCrunch’a, açığa çıkan AWS paketinin “standart endüstri uygulamasına uygun olarak yazılım sürümleriyle birlikte rutin olarak yayınlanan sürüm notları ve kullanıcı kılavuzları” içerdiğini söyledi. Capita, kişisel verilerin ifşa edilen bilgi türleri arasında yer aldığını belirtmedi. Kovanın artık güvende olduğunu söylüyordu.
İngiliz yerel yönetimleri farklılık göstermeye başlar. Adur & Worthing Konseyleri Salı günü yaptığı açıklamada, Capita’nın AWS ihlalinin sakinleri için “kişisel verileri içermediğine” dair güvencelerine inanmadıklarını söyledi.
Ortaklaşa yürütülen güney İngiltere hükümetleri, “İç soruşturmamız, Capita’nın dahil olduğunu söylediği dosyaların her birinin incelenmesini içeriyordu” dedi. “Maalesef bu, bu dosyaların aslında yaklaşık 100 Adur ve Worthing sakinine ait bazı kişisel verileri içerdiğini ortaya çıkardı”, ancak “bu aşamada sakinlerimiz için riskin asgari düzeyde göründüğünü düşünüyoruz” dediler.
Capita büyüklüğündeki bir BT danışmanlığı, kişisel verilerin açığa çıktığını nasıl fark edemedi? Şirket, yorum talebine yanıt vermedi.
AWS ihlalinden etkilenen diğer yerel makamlar arasında, Capita’yı finansal hizmetler sözleşmesiyle ilgili olarak “kişisel verilerin güvenli olmayan şekilde saklanması” ile suçlayan Colchester Belediye Meclisi yer alıyor. Financial Times’ın bildirdiğine göre, Coventry, Rochford District ve South Staffordshire dahil olmak üzere en az dört belediye daha AWS verilerinin açığa çıkmasından etkilendi.
Bir AWS klasörünü herkese açık olarak ifşa etmek, güvenlik açısından hayır-hayırdır. AWS klasörleri varsayılan olarak parola korumalıdır, yani Capita için paketi kullanıma sunan kişi çok önemli güvenlik denetimini devre dışı bırakmıştır.
Adur & Worthing Konseyleri, “Hem veri ihlalinin kendisinden hem de Capita’nın keşfettikleri şey hakkında bize hızlı ve doğru bilgi sağlayamamasından son derece mutsuzuz.” Dedi. Konuyu, ülkenin gizlilik yasalarını uygulayan İngiltere’nin Bilgi Komiserliği Ofisine havale ettiler.
‘Fidye yazılımı’ Deme
Hangi Capita müşterilerinin hangi ihlalin kurbanı olduğunu takip etmek zordur. Görünen fidye yazılımı saldırısı için, Capita 20 Nisan’da izinsiz girişin “Capita tarafından kesintiye uğratıldığı” 22 Mart’tan 31 Mart’a kadar sürdüğünü bildirdi.
8 Nisan’da fidye yazılımı grubu Black Basta saldırının sorumluluğunu üstlendi ve çalınan veri örneklerini yayınladı. Grup, belirsiz nedenlerle bilgileri veri sızıntısı sitesinden hızla kaldırdı, ancak bu, suçluların özel kullanım için ödeme yapması veya kurbanın fidye ödemesi ile bağlantılı olabilir.
Şimdiye kadar İngiltere’nin en büyük emeklilik fonu olan Universities Superannuation Scheme, saldırıda 470.000 kişinin adının, doğum tarihlerinin, Ulusal Sigorta Numaralarının, USS üye numaralarının ve emeklilik verilerinin çalındığını söylüyor. USS, kurbanlara 12 aylık kimlik hırsızlığı izleme teklif etti.
Diğer kuruluşların emeklilik fonları, etkilenen kişi sayısının süpermarket ve perakende devi Marks and Spencer Group için 100.000, şu anda emeklilik sigortası uzmanı Rothesay tarafından yürütülen Telent’in GEC planının 50.000 üyesi veya eski üyesi ve ABD’de 32.000 kişi ile mağdur olduğunu bildirdi. dev Diageo’yu içer.
Capita, açığa çıkan verilerin güvenliği konusunda belirsiz güvenceler verdi, ancak fidye ödeyip ödemediğini söylemeyi reddetti. Şirket, saldırıyı tanımlarken henüz “fidye yazılımı” kelimesini kullanmadı.
Etkilenen bireyler Capita’dan daha iyisini hak ediyor. ABD Federal Ticaret Komisyonu’nun ihlal edilen işletmelere tavsiye ettiği gibi: Nasıl olduğu ve hangi bilgilerin açığa çıktığı da dahil olmak üzere “uzlaşma hakkında bildiklerinizi açıkça tanımlayın”. Ayrıca, “ifşa edilen bilgilerin türü göz önüne alındığında” insanlara kendilerini en iyi nasıl koruyacaklarını söyleyin.
Capita, bu önlemlere göre başarısız oldu, en azından 10 Mayıs’ta “bazı verilerin sunucu varlığının %0,1’inden daha azından çalındığını” bildirerek, ki bu saçma bir ölçüm. Daha açık bir ifadeyle Capita, temizleme maliyetlerinin 25 milyon dolara ulaşabileceğini söyledi.
Kurumsal özürler usule yönelik olsa da, Capita’nın bugüne kadar bariz fidye yazılımı saldırısıyla ilgili üç “siber olay güncellemesi”, etkilenen müşteriler veya onların müşterileri için pişmanlık ifade etmiyor.
Merkezi Londra’da bulunan Capita, FTC’ye değil, Birleşik Krallık Genel Veri Koruma Yönetmeliğini uygulayan ICO’ya cevap verir. Capita, etkilenen müşterileri İngiliz yasalarının gerektirdiği şekilde hack saldırısı ve AWS’ye maruz kalma hakkında bilgilendirdiğini söylüyor. Bu müşterilerin artık kullanıcılarını veya müşterilerini – yani etkilenen bireyleri – doğrudan bilgilendirmesi gerekiyor.
Adı kelimenin tam anlamıyla birey anlamına gelen ve başkalarının “daha iyi sonuçlar elde etmesine” yardımcı olma becerisini ilan eden bir şirket için, Capita’nın son ihlallerinin bireyler üzerindeki etkisini tam olarak anlayamaması – veya iletişim kuramaması – kesinlikle ironik görünüyor.
Muhtemelen müşterileri bu tür bir dış kaynak kullanımı için ödeme yapmayı beklemiyordu.