Olay ve İhlale Müdahale, Güvenlik Operasyonları
1,3 Milyon Müşteriye İhlal Bildirildi; BlackCat Fidye Yazılımı Grubu Kredi Aldı
Mathew J. Schwartz (euroinfosec) •
10 Ocak 2024
Mortgage sektörü devi Fidelity National Financial, Kasım 2023’te meydana gelen bir bilgisayar korsanlığı olayının 1,3 milyon ABD doları tutarındaki müşteriye ait kişisel bilgilerin tehlikeye atıldığını doğruladı.
Ayrıca bakınız: Olaya Hazırlık ve Müdahalenin Kritik Doğası
Gayrimenkul tapu sigortası ve işlem hizmet sağlayıcısı Salı günü yapılan düzenleyici başvuruda, “Yetkisiz bir üçüncü tarafın belirli FNF sistemlerine eriştiğini, kendi kendine yayılmayan ve belirli verileri sızdırmayan bir tür kötü amaçlı yazılım dağıttığını belirledik” dedi.
Yatırımcılara “Şu anda olayın şirket üzerinde önemli bir etkisi olacağına inanmıyoruz” dedi. Saldırganların ne tür bilgileri çaldığı veya kullandıkları kötü amaçlı yazılım hakkında ayrıntılı bilgi verilmedi. Jacksonville, Florida şirketi 2022 gelirinin 11,4 milyar dolar olduğunu bildirdi.
Veri ihlali, Virginia Beach, Virginia merkezli tamamına sahip olunan bir yan kuruluş olan LoanCare’i etkiledi.
Hizmet olarak fidye yazılımı grubu Alphv, diğer adıyla BlackCat, sorumluluk aldı saldırı için. Birkaç hafta sonra kolluk kuvvetleri fidye yazılımı grubunun operasyonlarını kesintiye uğrattı.
LoanCare’e yönelik ilk kez 19 Kasım’da tespit edilen saldırının ardından Fidelity National Financial, “bazı sistemlerimize erişimin engellenmesi gibi sınırlama önlemleri aldığını ve bunun da işlerimizde değişen düzeylerde aksamalara yol açtığını” söyledi.
O zamanlar bir emlak komisyoncusu Real Estate News’e, ev satın alan müşterilerinin evlerini kapatmakta sorun yaşadığını ve bunun sadece LoanCare aracılığıyla olmadığını söyledi. FNF’in kendisine, Alamo Title, Chicago Title, Commonwealth Land Title ve National Title of New York dahil olmak üzere diğer bağlı kuruluşların sistemlerini de geçici olarak kapattığını söylediğini söyledi.
LoanCare, yakın zamanda ciddi bir hack saldırısına ve veri ihlaline maruz kalan tek ipotek sektörü şirketi değil. Geçtiğimiz Ekim ayında, Teksas merkezli ipotek kredisi veren Bay Cooper’a yönelik bir hack saldırısı, firmanın mevcut ve eski müşterilerinin her birini kapsayan 14,7 milyon kişiye ait bilgilerin çalınmasına yol açtı.
Şirket ilk olarak Pazartesi günü yaptığı açıklamada, Perşembe günü bilgisayar korsanlarının banka dışı ipotek kredisi devi LoanDepot’un ağına sızdığını ve verilere erişip bunları şifrelediğini söyledi. Aynı gün yayınlanan son ihlal güncellemesinde müşterilere “Bazı sistemleri çevrimdışına aldık ve normal iş operasyonlarını mümkün olduğu kadar hızlı bir şekilde geri yüklemek için özenle çalışıyoruz” dedi.
LoanCare Müşterilerine Bildirildi
Salı günü Fidelity National Financial, LoanCare ihlalinden etkilenen yaklaşık 1,3 milyon müşteriyi uyarmayı tamamladığını ve onlara ön ödemeli kredi izleme, web izleme ve kimlik hırsızlığı tespit hizmetleri sunduğunu söyledi. Şirket ayrıca ilgili tüm eyalet başsavcılarını ve diğer düzenleyicileri bilgilendirdiğini ve kolluk kuvvetlerinin ihlali araştırmaya devam ettiğini söyledi.
FNF, ihlalin bir sonucu olarak birden fazla davada sanık olarak adlandırıldığını söyledi.
Bir LoanCare müşterisi tarafından geçen ay ABD Orta Kaliforniya Bölgesi Bölge Mahkemesinde açılan toplu dava tekliflerinden biri, Fidelity National Financial ve yan kuruluşunu “sistemini güvence altına almak için makul önlemleri almamakla” suçluyor.
Şikayette şu ifadeler yer alıyor: “Veri ihlalinin kendisi ve sanıkların ihlal hakkında bugüne kadar açıkladığı bilgiler (uzunluğu, sanıkların siber güvenliğini iyileştirme ihtiyacı ve etkilenen verilerin hassas yapısı dahil), toplu olarak sanıkların makul önlemleri uygulamadığını gösteriyor.”
FNF, “olayla ilgili açılan her türlü davaya karşı kendisini güçlü bir şekilde savunacağını” söyledi.
Zaman çizelgesi
Büyük ölçüde FNF’nin SEC dosyalarına dayanan hack saldırısı ve şirketin iyileşmesi için bir zaman çizelgesi:
- 19 Kasım 2023: FNF, bir izinsiz giriş tespit ettiğini ve üçüncü taraf uzmanları getirerek bir soruşturma başlattığını söyledi.
- 20 Kasım: Bu, saldırganların FNF ağına eriştiği teyit edilen son tarihtir.
- 21 Kasım: FNF, bir SEC dosyasında, ihlal yanıtı sırasında “tapu sigortası, emanet ve diğer tapu ile ilgili hizmetler, ipotek işlem hizmetleri ve emlak ve ipotek endüstrilerine yönelik teknoloji” ile bağlantılı olanlar da dahil olmak üzere bazı hizmetlere erişimi engellediğini söyledi. “
- 22 Kasım: Alphv/BlackCat hizmet olarak fidye yazılımı grubu, saldırının sorumluluğunu üstlendi, herhangi bir verinin çalınıp çalınmadığı konusunda önlem aldı ve FNF’yi, araştırması için Google Cloud’un Mandiant olay müdahale grubunu işe aldığı için eleştirdi.
- 26 Kasım: FNF, ihlalin “kontrol altına alındığını” söyledi.
- 6 Aralık: FNF’deki operasyonlar tamamen eski durumuna getirildi.
- 13 Aralık: Dijital adli soruşturma tamamlandı.
- 20 Aralık: Fidelity National Financial, etkilenen müşterilere ve ilgili eyalet başsavcılarına ve düzenleyicilerine bildirimde bulunmaya başladı.