Finansal teknoloji firması En iyi KrebsOnSecurity’nin edindiği bilgiye göre, şirket içi dosya aktarım platformundan büyük ölçekli bilgi hırsızlığı iddiasını araştırılıyor. Dünyanın en büyük 50 bankasının 45’ine yazılım ve hizmet sağlayan Finastra, bir siber suçlunun şirketten çalındığı iddia edilen 400 gigabayttan fazla veriyi satmaya başlamasının ardından müşterilerini güvenlik olayı hakkında bilgilendirdi.
Londra merkezli Finastra’nın 42 ülkede ofisi bulunuyor ve geçen yıl 1,9 milyar dolar gelir bildirdi. Şirket 7.000’den fazla kişiyi istihdam etmekte ve dünya çapında yaklaşık 8.100 finans kuruluşuna hizmet vermektedir. Finastra’nın günlük işinin büyük bir kısmı, müşterileri adına banka havalesi ve banka havalesi talimatlarını içeren büyük hacimli dijital dosyaların işlenmesini içermektedir.
8 Kasım 2024’te Finastra, finans kurumu müşterilerine, güvenlik ekibinin 7 Kasım’da Finastra’nın dahili olarak barındırılan dosya aktarım platformunda şüpheli etkinlik tespit ettiğini bildirdi. Finastra ayrıca müşterilere, birisinin sistemlerinden çalındığı iddia edilen büyük miktarda dosyayı satmaya başladığını da söyledi.
Finastra’nın bir kopyası müşteri firmalardan birindeki bir kaynak tarafından paylaşılan açıklamasında “8 Kasım’da bir tehdit aktörü karanlık ağ üzerinden iletişim kurarak bu platformdan veri sızdırdığını iddia etti” deniyor.
Bildirim şöyle devam ediyordu: “Müşteri operasyonları, müşterilerimizin sistemleri veya Finastra’nın şu anda müşterilerimize hizmet verme yeteneği üzerinde doğrudan bir etki yoktur.” “Sürekliliği sağlamak için alternatif bir güvenli dosya paylaşım platformunu hayata geçirdik ve soruşturmalar devam ediyor.”
Ancak müşterilere yapılan bildirim, davetsiz misafirin belirsiz miktarda müşteri verisini çıkarmayı veya “dışarı çıkarmayı” başardığını gösteriyor.
Bildirimde, “Tehdit aktörü kötü amaçlı yazılım dağıtmadı veya ortamdaki herhangi bir müşteri dosyasına müdahale etmedi” deniyor. “Ayrıca, sızdırılan dosyalar dışında hiçbir dosya görüntülenmedi ve bunlara erişilmedi. Sızdırılan dosyalarda yer alan verilerin kapsamını ve niteliğini belirlemeye odaklanmayı sürdürüyoruz.”
Olayla ilgili sorulara yanıt veren yazılı açıklamada Finastra, “Müşterilerimizin sorularını aktif ve şeffaf bir şekilde yanıtlayarak, onları ne yaptığımız ve yayınlanan veriler hakkında henüz bilmediklerimiz konusunda bilgilendirdiğimizi” söyledi. Şirket ayrıca müşterileriyle güncellenmiş bir iletişim paylaştı; bu iletişimde, hâlâ temel neden araştırılırken “ilk kanıtların kimlik bilgilerinin ele geçirildiğine işaret ettiği” belirtildi.
Açıklama şöyle devam ediyor: “Ek olarak, Tehlike Göstergelerini (IOC’ler) paylaşıyoruz ve CISO’muz, soruşturma ve e-Keşif sürecimiz hakkında güncellemeler sağlamak için müşterilerimizin güvenlik ekipleriyle doğrudan konuşuyor.” İşte paylaştıklarının geri kalanı:
“E-Keşif açısından, hangi belirli müşterilerin etkilendiğini belirlemek için verileri analiz ediyoruz, aynı zamanda hangi ürünlerimizin ele geçirilen SFTP platformunun belirli bir sürümüne bağlı olmadığını değerlendiriyor ve iletişim kuruyoruz. Etkilenen SFTP platformu tüm müşteriler tarafından kullanılmamaktadır ve Finastra veya müşterileri tarafından geniş bir ürün grubuyla ilişkili veri dosyalarını paylaşmak için kullanılan varsayılan platform değildir; bu nedenle, etkilenen müşterileri elemek için mümkün olduğunca hızlı çalışıyoruz. Ancak tahmin edebileceğiniz gibi bu, zaman alıcı bir süreç çünkü işlerinin farklı bölümlerinde farklı Finastra ürünlerinden faydalanan çok sayıda büyük müşterimiz var. İletişimlerimizde doğruluk ve şeffaflığa öncelik veriyoruz.
Daha da önemlisi, etkilendiği düşünülen tüm müşterilerle doğrudan iletişime geçip onlarla birlikte çalışacağız.”
8 Kasım’da bir siber suçlu “” takma adını kullanarakuçurum0” İngilizce siber suç topluluğunda yayınlandı İhlalForumları Finastra’nın en büyük bankacılık müşterilerinden bazılarının dosyalarını çaldıklarını söyledi. Veri açık artırmasında bir başlangıç veya “hemen satın al” fiyatı belirtilmedi ancak ilgilenen alıcıların kendilerine Telegram üzerinden ulaşması gerektiği söylendi.
abyss0’ın BreachForums’taki 7 Kasım satış başlığında, çeşitli Finastra müşterilerinin dosya dizini listelerini gösteren birçok ekran görüntüsü yer aldı. Resim: Ke-la.com.
Siber istihbarat platformu Ke-la.com tarafından toplanan ekran görüntülerine göre abyss0, ilk olarak 31 Ekim’de Finastra’dan çalındığı iddia edilen verileri satmaya çalıştı ancak daha önceki satış yazışmalarında kurban şirketin adı belirtilmedi. Ancak 8 Kasım’da BreachForums’ta yayınlanan gönderide Finastra müşterisi olarak anılan bankaların çoğuna atıfta bulunuldu.
Abyss0’ın 31 Ekim tarihli orijinal gönderisinde, büyük bir finansal yazılım şirketinin müşterisi olan birkaç büyük bankanın verilerinin satışının reklamını yapıyorlar. Resim: Ke-la.com.
Ekim satış başlığında ayrıca bir başlangıç fiyatı da vardı: 20.000$. 3 Kasım itibarıyla bu fiyat 10.000 dolara düşürüldü. Abyss0’ın BreachForums’taki gönderileri incelendiğinde, bu kullanıcının son altı ayda duyurulan diğer düzinelerce ihlalde çalınan veritabanlarını satmayı teklif ettiği ortaya çıktı.
Bu ihlalin görünürdeki zaman çizelgesi, abyss0’ın Finastra’nın dosya paylaşım sistemine, şirketin ilk şüpheli etkinliği tespit ettiğini söylemesinden en az bir hafta önce erişim sağladığını ve Finastra tarafından belirtilen 7 Kasım etkinliğinin, daha fazla veri sızdırmak için geri dönen davetsiz misafir olabileceğini gösteriyor.
Belki abyss0 erken emekliliğin bedelini ödeyen bir alıcı bulmuştur. Bunu asla bilemeyebiliriz çünkü bu kişi fiilen ortadan kaybolmuştur. Abyss0’ın satış başlığında listelediği Telegram hesabı askıya alınmış veya silinmiş gibi görünüyor. Benzer şekilde, abyss0’ın BreachForums’taki hesabı artık mevcut değil ve o zamandan beri tüm satış konuları da ortadan kayboldu.
Hem Telegram hem de BreachForums’un bu kullanıcıya aynı anda önyükleme yapması pek olası görünmüyor. En basit açıklama, iyi bakımlı bir siber suç kişiliğine ek olarak, bir şeyin onları bekleyen bir dizi satış fırsatından vazgeçmelerine yetecek kadar ürküttüğüdür.
Mart 2020’de Finastra, şirketin bazı temel faaliyetlerini günlerce devre dışı bırakan bir fidye yazılımı saldırısına maruz kaldı. Bloomberg’in haberine göre Finastra, bu olaydan fidye ödemeden kurtulmayı başardı.
Bu gelişen bir hikaye. Güncellemeler zaman damgalarıyla not edilecektir. Bu olayla ilgili ek bilginiz varsa lütfen krebsonsecurity @ gmail.com veya protonmail.com adresinden iletişime geçin.