Finastra, bir tehdit aktörünün çalındığı iddia edilen verileri bir bilgisayar korsanlığı forumunda satmaya başlamasının ardından müşterilerini bir siber güvenlik olayı konusunda uyardığını doğruladı.
Finastra, dünyanın en büyük 50 bankası ve kredi birliğinden 45’i dahil olmak üzere 130 ülkede 8.000’den fazla kuruma hizmet veren bir finansal yazılım şirketidir. Şirketin 12.000 çalışanı var ve geçen yıl 1,7 milyar dolar gelir bildirdi.
Güvenlik olayı, 7 Kasım 2024’te bir saldırganın, Finastra’nın Güvenli Dosya Aktarım Platformu (SFTP) sistemlerinden birine erişmek için ele geçirilen kimlik bilgilerini kullanması sonucu meydana geldi.
Firma, dış siber güvenlik uzmanlarının da desteklediği şu ana kadarki soruşturmanın, ihlalin SFTP platformunun ötesine geçtiğine dair hiçbir kanıt göstermediğini söylüyor.
Firmanın yazılım hizmetleri arasında borç verme çözümleri, ödeme işlemleri, bulut özellikli perakende ve bankacılık platformları ve ticari risk yönetimi araçları yer alıyor.
Brian Krebs, Finastra’nın dün etkilenen bir kişiye gönderilen bir veri ihlali bildirimini gördükten sonra bir güvenlik ihlali yaşadığını bildirdi.
Saldırının, “abyss0” adlı bir tehdit aktörünün Finastra’dan çalınan 400 GB veriyi sattığını iddia ettiği bir bilgisayar korsanlığı forumunda yakın zamanda yayınlanan bir gönderiyle bağlantılı olduğuna inanılıyor.
Forum gönderisi sorulduğunda Finastra sözcüsü, verilerin kendisine ait olup olmadığını ne doğruladı ne de inkar etti; yalnızca BleepingComputer’a sınırlı kapsamlı bir güvenlik ihlaline maruz kaldıklarını ve şu anda bunun etkisini değerlendirdiklerini söyledi.
Finastra, BleepingComputer’a şunları söyledi: “7 Kasım 2024’te Finastra’nın Güvenlik Operasyon Merkezi (SOC), belirli müşterilere dosya göndermek için kullandığımız dahili olarak barındırılan Güvenli Dosya Aktarım Platformu (SFTP) ile ilgili şüpheli etkinlik tespit etti.”
“Üçüncü taraf bir siber güvenlik firmasıyla birlikte derhal bir soruşturma başlattık ve ihtiyati bir adım olarak platformu izole edip kontrol altına aldık. Bu olay tek platformla sınırlıydı ve onun ötesinde yanal bir hareket olmadı.”
Şirket ayrıca ele geçirilen SFTP platformunun tüm müşterileri tarafından kullanılmadığını ve bunun Finastra tarafından dosya alışverişi için kullanılan varsayılan platform olmadığını da açıkladı.
Ancak ihlalin kesin etkisi ve kapsamı hala araştırılıyor ve kimin etkilendiğinin belirlenmesinin tamamlanması biraz zaman alabilir.
Etkilendiği düşünülen kişilerle doğrudan temasa geçileceğinden Finastra’nın kamuya açıklama yapması beklenmiyor.
Veri örneklerini bu ayın başlarında yayınlayan tehdit aktörünün o zamandan beri gönderiyi sildiğini, dolayısıyla verilerin bir alıcıya mı satıldığını yoksa ‘abyss0’ın ani tanıtımdan endişe mi duyduğunun bilinmediğini belirtmekte fayda var.
Mart 2020’de Finastra, fidye yazılımı aktörlerinin saldırısına uğradığında başka bir büyük siber güvenlik olayıyla karşı karşıya kaldı.
O zamanlar fintech şirketi, hizmet kesintilerine neden olan tehdide yanıt olarak BT altyapısının bir kısmını çevrimdışına almak zorunda kalmıştı.
İlk erişim yöntemi bilinmese de, tehdit izleme platformlarından gelen raporlar firmanın zayıf güvenlik açığı yönetimi stratejisini vurguladı ve şirketin Pulse Secure VPN ve Citrix sunucularının eski sürümlerini kullandığını belirtti.