İspanyol enerji sağlayıcısı Endesa ve düzenlemeye tabi elektrik operatörü Energía XXI, şirketin iç sistemlerine yetkisiz erişim tespit ettikten sonra müşterilere bildirimde bulunmaya başladı ve bunun sonucunda kişisel ve sözleşmeyle ilgili veriler açığa çıktı. Şirket tarafından kamuya açıklanan Endesa veri ihlali olayı, Endesa’nın ticari platformuna bağlı müşterileri etkiliyor ve şu anda soruşturma altında.
İspanya’nın en büyük elektrik hizmetleri şirketi ve Enel Grubu’nun bir yan kuruluşu olan Endesa, İspanya ve Portekiz’deki milyonlarca müşteriye elektrik ve gaz hizmetleri sağlıyor. Toplamda şirket yaklaşık 22 milyon müşteriye hizmet verdiğini bildiriyor.
Endesa veri ihlali özellikle İspanya’nın düzenlenmiş enerji piyasasında faaliyet gösteren Energía XXI’nin müşterilerini etkiliyor.
Ticari Platformda Yetkisiz Erişim Tespit Edildi
Endesa’ya göre güvenlik olayı, ticari platformuna yetkisiz ve gayri meşru erişimi içeriyordu ve saldırganların enerji sözleşmelerine bağlı hassas müşteri bilgilerini görüntülemesine olanak tanıyordu. Etkilenen müşterilere gönderilen bir bildirimde şirket, Endesa veri ihlalini kabul ederek şunları belirtti:
“Bu şirket tarafından uygulanan güvenlik önlemlerine rağmen, sizinki de dahil olmak üzere müşterilerimizin enerji sözleşmeleriyle ilgili bazı kişisel verilerine yetkisiz ve yasa dışı erişime dair kanıtlar tespit ettik.”
Şirket, hesap şifrelerinin ele geçirilmediğini ancak olay sırasında potansiyel olarak diğer veri kategorilerine erişildiğini açıkladı.
Endesa Veri İhlalinde Potansiyel Olarak Açığa Çıkan Veri Türleri
Devam eden soruşturmaya dayanarak Endesa, saldırganların aşağıdaki bilgilere erişmiş veya bunları sızdırmış olabileceğini doğruladı:
- Temel tanımlama verileri
- İletişim bilgileri
- Ulusal kimlik kartı numaraları
- Sözleşmeyle ilgili veriler
- IBAN’lar dahil olası ödeme ayrıntıları
Açığa çıkan verilerin kapsamına rağmen Endesa, oturum açma kimlik bilgilerinin güvende kaldığını ve doğrudan hesap ele geçirme olasılığını azalttığını vurguladı.
Endesa Olay Müdahale Tedbirlerini Etkinleştiriyor
Endesa veri ihlalinin tespit edilmesinin ardından şirket, olayı kontrol altına almak ve azaltmak için yerleşik güvenlik yanıt protokollerini etkinleştirdi. Endesa, yaptığı resmi açıklamada, alınan tedbirleri şöyle detaylandırdı:
“Endesa Energía olayın farkına varır varmaz, olayı kontrol altına almak, etkilerini azaltmak ve tekrarını önlemek için gerekli tüm teknik ve organizasyonel önlemlerin yanı sıra yerleşik güvenlik protokolleri ve prosedürleri etkinleştirildi.”
Bu eylemler arasında, güvenliği ihlal edilmiş dahili hesapların engellenmesi, günlük kayıtlarının analiz edilmesi, etkilenen müşterilere bildirimde bulunulması ve daha fazla şüpheli etkinliğin tespit edilmesi için gelişmiş izlemenin uygulanması yer alıyordu. Şirket, operasyonların ve hizmetlerin etkilenmediğini doğruladı.
Soruşturma Devam Ederken Yetkililere Bildirildi
İlgili mevzuat uyarınca gerekli olduğu üzere Endesa, olayla ilgili ilk değerlendirmeyi yaptıktan sonra İspanyol Veri Koruma Ajansı’na ve diğer ilgili makamlara bilgi verdi. Şirket, ihlalin nedenini ve etkisini tam olarak anlamak için hem iç ekipleri hem de dış tedarikçileri kapsayan soruşturmanın devam ettiğini belirtti.
Müşteri endişelerine değinen Endesa şunları kaydetti:
“Bu iletişimin tarihi itibariyle, olaydan etkilenen verilerin hileli olarak kullanıldığına dair herhangi bir kanıt bulunmuyor, bu da haklarınız ve özgürlükleriniz üzerinde yüksek riskli bir etkinin gerçekleşmesi ihtimalini ortadan kaldırıyor.”
Müşteriler Potansiyel Kimlik Avı ve Kimliğe Bürünme Riskleri Konusunda Uyarıldı
Şu ana kadar herhangi bir veri kötüye kullanımı tespit edilmemiş olsa da Endesa, ifşa edilen bilgilerle ilişkili potansiyel riskleri kabul etti. Müşterilerden kimlik kimliğine bürünme, verilerin kötüye kullanılması, kimlik avı girişimleri ve spam kampanyalarına karşı dikkatli olmaları istendi.
Şirket, etkilenen kişilere şüpheli iletişimleri çağrı merkezine bildirmelerini ve kişisel veya hassas bilgileri bilinmeyen taraflarla paylaşmaktan kaçınmalarını tavsiye etti. Müşterilerin ayrıca dolandırıcılık faaliyeti şüphesi durumunda kolluk kuvvetlerine başvurmaları teşvik edildi.
Cyber Express Ekibi, olay ve etkisi hakkında daha fazla açıklama almak amacıyla Energía XXI ve Endesa ile temasa geçti. Ancak, yayınlandığı sırada her iki taraftan da ek bir yanıt alınmamıştı.