Finans ve Bankacılık, Olay ve İhlallere Müdahale, Sektöre Özel
Şirket, Saldırganın 400 Gigabyte Veri Hırsızlığı İddiasından Sonra Etkilenen Müşterileri Araştırıyor
Mathew J. Schwartz (euroinfosec) •
20 Kasım 2024
Dünyanın en büyük finansal yazılım firmalarından biri, bir suç forumunda bir bilgisayar korsanının şirketten çalındığı iddia edilen verileri satışa sunmasının ardından, bir saldırganın bilinmeyen miktarda veriyi çaldığı konusunda müşterileri uyardı.
Ayrıca bakınız: İnfografik: Rakamlarla Finansal Hizmetler Kimlik Güvenliği
Özel bir şirket olan Londra merkezli Finastra, 130 ülkede 8.000’den fazla finansal hizmet firmasını müşteri olarak belirtti ve 2023 gelirinin 1,9 milyar dolar olduğunu açıkladı. Şirket, finansal hizmet firmalarının nakit ve fon transferlerini yönetebilecekleri bir ödeme platformu sunuyor.
Şirket, 7 Kasım’da güvenlik operasyon merkezinin, müşterilere dosya göndermek için kullandığı dahili olarak barındırılan güvenli dosya aktarım platformu SFTP’ye bağlı olağandışı etkinlik tespit ettiğini söyledi. Finastra, Information Security Media Group’a yaptığı yazılı açıklamada, “Derhal bir üçüncü taraf siber güvenlik firmasıyla birlikte bir soruşturma başlattık ve ihtiyati bir adım olarak platformu izole edip kontrol altına aldık” dedi. “Bu olay tek platformla sınırlıydı ve onun ötesinde yanal bir hareket yoktu.”
Şirket, ihlal konusunda müşterilerini 8 Kasım’da bilgilendirdiğini ve hem kendilerini hem de çalışanları ve düzenleyicileri halen devam eden bir soruşturmanın sonuçlarıyla güncellemeye devam ettiğini söyledi.
İzinsiz giriş tespit edilmeden bir haftadan daha uzun bir süre önce başlamış olabilir.
İhlali ilk kez bildiren siber güvenlik gazetecisi Brian Krebs, tehdit istihbarat firması Kela tarafından toplanan ekran görüntülerine atıfta bulunarak, 31 Ekim’de “abyss0” kullanıcı adıyla Breach Forums’un bir kullanıcısının ilk olarak “birinden çalınan verileri sunduğunu” söyledi. en büyük finansal yazılım çözümleri şirketi”, kurban şirketin adı verilmeden 20.000 dolara satılıyor. 7 Kasım’da fiyatı 10.000 dolara düşüren abyss0, Finastra’yı kurban olarak adlandırdı ve 400 gigabaytlık çalıntı veri sattığını iddia etti.
Daha sonra abyss0, Krebs’in haberine göre hem Breach Forums hesabını hem de daha önce profillerinde listelenen Telegram hesabını kapattı. Neden ortadan kayboldukları belli değil.
Finastra, çalınan verileri etkilenen müşterilerle ilişkilendirmek için zahmetli bir süreçten geçtiğini söyledi.
“Etkilenen SFTP platformu tüm müşteriler tarafından kullanılmıyor ve Finastra veya müşterileri tarafından geniş bir ürün grubuyla ilişkili veri dosyalarını paylaşmak için kullanılan varsayılan platform değil. Bu nedenle, etkilenen müşterileri elemek için mümkün olduğunca hızlı çalışıyoruz. ” dedi şirket. “Bu, zaman alıcı bir süreç çünkü işlerinin farklı bölümlerinde farklı Finastra ürünlerinden faydalanan çok sayıda büyük müşterimiz var. İletişimlerimizde doğruluk ve şeffaflığa öncelik veriyoruz.”
Şirket zaten saldırıda çalıntı kimlik bilgilerinin kullanıldığından şüpheleniyor. Finastra, “Temel nedeni araştırmaya devam ediyoruz, ancak ilk kanıtlar kimlik bilgilerinin ele geçirildiğine işaret ediyor” dedi. “Uzlaşmanın kaynağı soruşturmanın öncelikli bir yönüdür.”
Şirket, müşterilerin yalnızca kullanıcı adı ve şifre yerine çok faktörlü kimlik doğrulama kullanmasını zorunlu kılarak SFTP erişimini koruyup korumadığına ilişkin yorum talebine hemen yanıt vermedi.
Bilgi çalan kötü amaçlı yazılımlar yoluyla statik kimlik bilgilerini toplayan ve bunları hesaplara ve hizmetlere erişmek için kullanan saldırganların izini sürmeye devam eden çok sayıda büyük ihlal var. Bu tür saldırılara karşı savunmalardan biri, müşterilerin hesaplarına erişmek için çok faktörlü kimlik doğrulamayı kullanmalarını uzun süredir zorunlu tutmak olmuştur; ancak tüm hizmet sağlayıcılar bunu sunmamakta, kolaylaştırmamakta ve hatta zorunlu hale getirmemektedir (bkz.: Müşterilerin İhlalinin Ardından Snowflake Güvenliği İyileştiriyor).
Bu Finastra’nın uğradığı ilk ihlal değil. 2020 yılında şirket, sistemleri geri yüklerken izinsiz girişi kontrol altına almak için fidye yazılımının saldırısına uğradıktan sonra birden fazla sistemi çevrimdışına aldı (bkz.: Fintech Firması Finastra Fidye Yazılımı Saldırısından Kurtuluyor).